- Una base de datos sin protección expuso 149 millones de combinaciones de usuario y contraseña de servicios como Gmail, Facebook, Instagram, Netflix u OnlyFans.
- Los datos procedían de años de infecciones con malware tipo infostealer capaz de capturar pulsaciones, claves guardadas y otra información sensible.
- La filtración aumenta el riesgo de fraude, robo de identidad y ataques automatizados, especialmente por la reutilización de contraseñas.
- Expertos recomiendan cambiar contraseñas, usar gestores, activar verificación en dos pasos y comprobar si los correos han sido filtrados.
Una enorme base de datos con 149 millones de nombres de usuario y contraseñas de todo tipo de servicios en línea ha estado accesible en internet sin ningún tipo de protección. Entre los accesos expuestos se encontraban cuentas de Gmail, Facebook, Instagram, Netflix, TikTok, OnlyFans, servicios bancarios, plataformas de criptomonedas, sistemas gubernamentales y otros servicios de suscripción utilizados a diario por millones de personas.
Lo más inquietante es que no se ha detectado una brecha directa en estas plataformas, sino que todo apunta a un repositorio creado a partir de credenciales robadas durante años mediante software malicioso. La filtración, que también afecta potencialmente a usuarios en España y el resto de Europa, vuelve a poner sobre la mesa la fragilidad de nuestras costumbres con las contraseñas y la urgencia de reforzar la seguridad digital.
Qué se ha descubierto exactamente en la filtración de 149 millones de contraseñas
El responsable de sacar este caso a la luz fue el investigador de ciberseguridad Jeremiah Fowler, quien localizó una base de datos de más de 96 GB expuesta en un servidor comercial, accesible con un simple navegador web y sin contraseña ni cifrado. Cualquiera que tropezase con la dirección correcta podía consultar, descargar o copiar su contenido sin trabas técnicas.
Dentro de ese repositorio se encontraban millones de combinaciones de correo electrónico y contraseña, acompañadas de referencias claras al servicio al que daban acceso. La estructura del archivo mostraba un sistema automatizado capaz de indexar y clasificar grandes volúmenes de información, con identificadores únicos por registro que no se repetían, lo que facilitaba búsquedas rápidas por tipo de servicio o por usuario.
Según el análisis publicado por medios especializados como Wired, el archivo contenía credenciales de correos electrónicos, redes sociales, plataformas de streaming, banca minorista, tarjetas de crédito, servicios de criptomonedas y sistemas gubernamentales de varios países. Es decir, no se trataba solo de cuentas de ocio o redes sociales, sino también de accesos con un fuerte componente financiero y administrativo.
Durante el tiempo en que Fowler intentó averiguar quién estaba detrás de la base de datos y contactó con el proveedor de alojamiento, observó que el número de registros seguía creciendo. Es decir, el sistema que alimentaba el repositorio continuaba volcando nuevas credenciales robadas, lo que indica una operación activa y en marcha mientras la base permanecía pública.
Servicios más afectados: del correo y las redes sociales a la banca y las criptomonedas
Entre los datos analizados, uno de los elementos que más llama la atención es la distribución de las cuentas filtradas por servicio. El volumen más alto corresponde a Gmail, con unos 48 millones de accesos, lo que refleja el papel central del correo de Google en el día a día digital de millones de usuarios.
En segundo lugar aparece Facebook, con alrededor de 17 millones de credenciales, seguida de otras plataformas como Instagram (unos 6,5 millones de accesos) y Yahoo (alrededor de 4 millones). También se detectaron millones de cuentas de servicios de streaming como Netflix, con cifras en torno a 3,4 millones de registros, además de accesos relacionados con Outlook y TikTok.
El repositorio no se detenía ahí: se identificaron también cientos de miles de registros vinculados a servicios financieros. Entre ellos, constaban aproximadamente 420.000 credenciales relacionadas con la plataforma de criptomonedas Binance, así como accesos a bancos minoristas, tarjetas de crédito y otros servicios económicos que, en manos de ciberdelincuentes, pueden facilitar fraudes de alto impacto.
La diversidad de los servicios comprometidos convierte esta base de datos en un recurso muy valioso para el cibercrimen. No solo permite entrar en perfiles de redes sociales o cuentas de ocio digital, sino que abre la puerta a operaciones de robo de identidad, movimientos de dinero no autorizados o acceso a información sensible en entornos corporativos y gubernamentales.
Cómo se obtuvieron las 149 millones de contraseñas: el papel del malware infostealer
El origen de los datos no está en un único hackeo masivo, sino en una acumulación progresiva de credenciales robadas durante años. Según las investigaciones, la base de datos se habría alimentado principalmente de malware especializado en el robo de información, conocido como infostealer.
Este tipo de software malicioso infecta ordenadores y dispositivos móviles y se dedica a registrar pulsaciones de teclado, capturar contraseñas guardadas en el navegador y extraer información personal almacenada en el sistema. A diferencia de otros tipos de malware más sigilosos, su objetivo no es necesariamente permanecer durante meses oculto, sino actuar rápidamente y enviar grandes volúmenes de datos a servidores controlados por ciberdelincuentes.
Una vez recopilados, los datos se vuelcan en repositorios como el descubierto por Fowler, donde se organizan de forma que resulten prácticos para su explotación posterior. Los cibercriminales pueden vender subconjuntos concretos —por ejemplo, solo accesos bancarios, solo cuentas de redes sociales o solo credenciales corporativas— dependiendo del tipo de fraude que quieran ejecutar.
La presencia de identificadores únicos y campos estructurados en cada registro indica que detrás hay un sistema automatizado bien diseñado, más propio de una infraestructura profesional de robo de datos que de un simple experimento de aficionados. Esta industrialización del cibercrimen es uno de los factores que más preocupa a los expertos en seguridad.
Riesgos para los usuarios en España y Europa
Aunque la base de datos incluía víctimas de todo el mundo, los usuarios españoles y europeos no quedan al margen. Los servicios más afectados —Gmail, Facebook, Instagram, Netflix, OnlyFans, bancos minoristas o plataformas de criptomonedas— tienen una fuerte implantación en España, donde la práctica totalidad de la población conectada utiliza al menos varios de ellos a diario.
El principal problema no es solo que una contraseña concreta haya quedado expuesta, sino que muchas personas reutilizan la misma clave en múltiples servicios. Esta costumbre, muy extendida también en España, es la puerta de entrada ideal para lo que se conoce como ataques de “credential stuffing”: los delincuentes prueban de forma automatizada la misma combinación de usuario y contraseña en decenas o cientos de plataformas distintas hasta que alguna se abre.
En la práctica, una única filtración de una cuenta aparentemente poco crítica —por ejemplo, un servicio de ocio o una plataforma secundaria— puede terminar dando acceso a correos personales, perfiles profesionales, banca online o cuentas corporativas. De ahí que los especialistas hablen de un riesgo en cadena que se multiplica con cada repositorio filtrado.
Además, los datos expuestos no se limitan a claves en texto plano: la información recopilada mediante infostealers suele incluir historial de navegación, cookies de sesión, datos de autocompletado y otra información personal. Combinados, estos elementos facilitan técnicas de ingeniería social, fraudes detallados y suplantaciones de identidad muy creíbles dirigidas tanto a particulares como a empresas.
Qué hicieron los investigadores y qué se sabe de los responsables
Tras confirmar la magnitud de la filtración, Jeremiah Fowler trató de identificar al propietario del servidor que alojaba la base de datos y averiguar si se trataba de una empresa legítima, de un proveedor de servicios o de una infraestructura directamente vinculada al cibercrimen. Pese a sus esfuerzos, no consiguió localizar a un responsable claro ni una organización que asumiera esa titularidad.
Ante la falta de respuesta, optó por notificar directamente al proveedor de alojamiento, aportando pruebas de que el repositorio contenía información sensible y violaba los términos de servicio de la compañía. Durante ese periodo, el investigador siguió monitorizando el servidor y comprobó que el número de registros continuaba aumentando, lo que confirma que seguía recibiendo datos robados en tiempo real.
Finalmente, el proveedor decidió bloquear el acceso público y eliminar la base de datos por incumplimiento de sus políticas. Aun así, no se ha podido determinar quién creó el repositorio, con qué finalidad exacta lo mantenía abierto ni cuántas veces pudo ser descargado por terceros antes de su retirada.
Los especialistas consultados por medios internacionales señalan que la alta calidad y diversidad de las credenciales apuntan a que clientes del cibercrimen podrían haber accedido ya a esos datos. En los mercados clandestinos es habitual pagar por subconjuntos concretos: por ejemplo, accesos a entidades financieras de un país determinado, a cuentas de correo corporativas o a perfiles en redes sociales con alto número de seguidores.
Consecuencias potenciales: de fraudes económicos a robos de identidad
La disponibilidad masiva de contraseñas y nombres de usuario abre un abanico muy amplio de posibles abusos. En el plano económico, los ciberdelincuentes pueden intentar acceder a cuentas bancarias, billeteras de criptomonedas o servicios de pago vinculados a las direcciones de correo filtradas. Incluso cuando no logran entrar directamente, estos datos facilitan ataques indirectos, como solicitudes de restablecimiento de contraseña o estafas dirigidas.
Otro frente es el robo de identidad. Con acceso a correos electrónicos, redes sociales y otros servicios, es posible reconstruir buena parte de la vida digital de una persona: contactos, hábitos de consumo, información laboral, aficiones, opiniones políticas o datos familiares. Esa información puede usarse para suplantar al usuario ante terceros, abrir cuentas fraudulentas o engañar a su entorno mediante mensajes aparentemente legítimos.
Las empresas y administraciones también quedan expuestas. Si un trabajador reutiliza su contraseña personal para acceder a sistemas corporativos o gubernamentales, una filtración de este tipo puede abrir agujeros de seguridad en redes internas, comprometer documentos sensibles o permitir accesos no autorizados a herramientas profesionales críticas.
En España, organismos como el Instituto Nacional de Ciberseguridad (INCIBE) vienen advirtiendo desde hace años de que la reutilización de contraseñas y la baja cultura de seguridad siguen siendo uno de los eslabones más débiles. Este tipo de incidentes globales refuerza ese diagnóstico y subraya la necesidad de cambiar hábitos cotidianos, tanto a nivel personal como empresarial.
Medidas recomendadas para usuarios españoles y europeos
Aunque resulte imposible controlar lo que ocurre en servidores ajenos, los usuarios sí pueden reducir de forma drástica el impacto de una filtración adoptando algunas prácticas básicas. La primera, y más evidente, es cambiar las contraseñas antiguas o sospechosas, especialmente en servicios clave como correo electrónico, banca online, redes sociales y plataformas de trabajo.
Los expertos recomiendan usar una contraseña diferente para cada servicio, algo que puede parecer poco práctico si se hace de memoria, pero que resulta manejable con la ayuda de gestores de contraseñas. Estas herramientas generan claves largas y complejas, las almacenan de forma cifrada y permiten que el usuario solo tenga que recordar una clave maestra fuerte.
Otra medida clave es activar la autenticación en dos pasos —también llamada verificación en dos factores— en todas las cuentas que lo permitan. Este sistema añade una capa extra de seguridad, normalmente mediante códigos enviados al móvil, aplicaciones de autenticación o llaves físicas, de manera que una contraseña robada por sí sola no basta para entrar.
También es recomendable comprobar si alguna dirección de correo propia aparece en bases de datos públicas de filtraciones. Herramientas como «Have I Been Pwned» y servicios similares permiten introducir el correo electrónico y verificar si ha estado implicado en alguna brecha conocida, lo que ayuda a priorizar qué contraseñas cambiar con más urgencia.
Por último, conviene mantener sistemas y aplicaciones al día con las últimas actualizaciones de seguridad, utilizar soluciones antivirus o antimalware fiables y desconfiar de archivos adjuntos, enlaces sospechosos y descargas de origen dudoso, que suelen ser vías de entrada para el tipo de malware infostealer implicado en este caso.
Responsabilidad de plataformas y empresas ante filtraciones masivas
Aunque la filtración descubierta no se haya producido directamente en Gmail, Facebook, bancos u otros servicios afectados, este tipo de incidentes reabre el debate sobre la responsabilidad de las grandes plataformas y de las empresas que almacenan datos sensibles. La protección efectiva de credenciales no puede descansar solo en el lado del usuario.
Las organizaciones deben reforzar sus sistemas de detección de accesos sospechosos, implantar mecanismos que identifiquen patrones anómalos (como intentos masivos de inicio de sesión desde localizaciones inusuales) y forzar el cambio de contraseña cuando existe una sospecha razonable de compromiso. También se les exige cada vez más transparencia y rapidez en la comunicación de incidentes, para que los usuarios puedan reaccionar a tiempo.
En el ámbito europeo, el marco normativo (como el Reglamento General de Protección de Datos) ya obliga a las empresas a notificar brechas relevantes y a adoptar medidas de seguridad adecuadas al tipo de información que gestionan. No obstante, este caso demuestra que los repositorios intermedios y las cadenas de terceros proveedores siguen siendo un punto crítico donde a veces se relajan los controles.
En España, los expertos insisten en que las empresas —especialmente pymes y organizaciones que manejan datos financieros o personales sensibles— deben invertir de forma sostenida en cifrado, auditorías, formación y planes de respuesta. La ciberseguridad ya no es un añadido opcional, sino una parte esencial de la continuidad de negocio y de la confianza del cliente.
Todo apunta a que en los próximos años veremos un crecimiento de métodos de acceso alternativos a las contraseñas tradicionales, como la autenticación biométrica o los sistemas de «inicio de sesión sin contraseña» basados en dispositivos de confianza. Sin embargo, mientras las contraseñas sigan siendo el estándar dominante, la combinación de buenas prácticas individuales y políticas corporativas responsables será la mejor defensa frente a filtraciones como la de estos 149 millones de claves.
Lo ocurrido con esta base de datos expuesta es un recordatorio claro de que la seguridad digital es un equilibrio delicado entre tecnología y hábitos humanos. No basta con confiar en que las grandes plataformas lo harán todo por nosotros: revisar contraseñas, activar protecciones adicionales y mantener cierto escepticismo ante correos y webs sospechosas se ha convertido en parte de la rutina básica de cualquier internauta. En un entorno cada vez más conectado en España, Europa y el resto del mundo, quien se toma en serio estas medidas reduce de forma notable las posibilidades de que su identidad y su dinero terminen en manos equivocadas.
