Lo que podría ser el mayor robo de credenciales de la historia ha salido a la luz tras una investigación realizada por expertos en ciberseguridad. El equipo del portal Cybernews ha detectado en internet más de 30 bases de datos expuestas, con un volumen que supera los 16.000 millones de registros. La magnitud de lo descubierto es tal que no se trata de una única filtración, sino de una mezcla masiva de brechas anteriores, combinadas ahora en una sola colección, pública, accesible y sin ningún tipo de protección.
Dentro de ese mar de datos hay de todo: nombres de usuario, contraseñas, cookies, tokens de acceso y otras informaciones sensibles que podrían comprometer millones de cuentas digitales en todo el mundo. Lo más inquietante es que no estamos hablando de un único servicio afectado. Entre los nombres que figuran en la filtración hay gigantes como Apple, Google, Facebook, Amazon, Netflix, PayPal, Telegram, Microsoft o Roblox, pero también aparecen instituciones gubernamentales y otros servicios críticos.
Lejos de ser una mera colección de restos digitales del pasado, buena parte de las credenciales filtradas son completamente actuales. Los expertos aseguran que muchas han sido recopiladas mediante malware infostealer, un tipo de software malicioso capaz de colarse en los dispositivos, robar datos de forma silenciosa y transmitirlos al atacante sin dejar rastro. Eso significa que esta filtración no solo es gigantesca, sino también inminentemente peligrosa, porque los datos están activos y listos para ser explotados.
El análisis de los archivos ha revelado más de 3.500 millones de registros en algunos de ellos, con un promedio de 550 millones por archivo. En total, los investigadores han identificado 26 bases de datos únicas, lo que convierte este hallazgo en la mayor recopilación de credenciales expuestas jamás registrada.
El verdadero riesgo para los usuarios va más allá del volumen. Lo que hace esta filtración especialmente grave es que permite ataques automatizados y masivos. El más temido de ellos es el credential stuffing, una técnica en la que los delincuentes prueban combinaciones de usuario y contraseña robadas en diferentes plataformas para acceder a cuentas que utilizan la misma clave.
El abanico de amenazas que se abren con esta megafiltración es amplio: desde accesos no autorizados a correos electrónicos, redes sociales o cuentas bancarias, hasta robos en carteras de criptomonedas, pasando por casos de suplantación de identidad, fraudes personalizados y filtraciones de datos sensibles tanto en empresas como en organismos públicos.
Desde Cybernews lanzan una advertencia clara: incluso si algunas de estas credenciales son antiguas, el hábito de reutilizar contraseñas por parte de millones de personas sigue siendo uno de los grandes agujeros de seguridad. En otras palabras, la puerta sigue abierta para quien tenga la llave correcta… aunque esa llave haya estado olvidada durante años.
