- Una base de datos sin protección expuso 149 millones de credenciales, con unos 48 millones de cuentas de Gmail afectadas.
- Las contraseñas proceden de años de robos con malware infostealer y keyloggers, no de un ataque directo reciente a Gmail.
- La filtración incluye accesos a redes sociales, banca online, criptomonedas y posibles cuentas gubernamentales.
- Expertos recomiendan cambiar claves, activar doble factor y revisar sesiones y dispositivos, especialmente en Europa y España.
La magnitud del hallazgo es especialmente preocupante porque afecta de lleno a Gmail, uno de los servicios de correo más usados en España y Europa. Aunque no se trata de un ataque directo y reciente contra los servidores de Google, la publicación de esta base de datos en abierto multiplica el riesgo de accesos no autorizados, fraudes y robos de identidad para cualquiera que reutilice contraseñas o no haya activado medidas de seguridad adicionales.
Una base de datos desprotegida con 149 millones de credenciales
El incidente salió a la luz gracias al investigador de ciberseguridad Jeremiah Fowler, que localizó en la nube un servidor accesible sin contraseña ni cifrado. En su interior encontró una base de datos masiva de 96 GB con 149.404.754 combinaciones de inicio de sesión únicas, según el análisis posterior realizado en colaboración con la firma de seguridad ExpressVPN.
El archivo no era una simple lista de correos. Contenía direcciones de email, nombres de usuario, contraseñas en texto claro y, en muchos casos, la URL concreta de inicio de sesión asociada a cada cuenta. Ese nivel de detalle facilita muchísimo los ataques automatizados, al indicar directamente qué servicio debe probarse con cada par usuario-contraseña.
En este gigantesco conjunto de datos, Gmail aparece como el servicio más afectado, con unos 48 millones de cuentas asociadas a credenciales robadas. Junto a ellas figuran, entre otras, 4 millones de accesos de Yahoo, 1,5 millones de Outlook y unas 900.000 credenciales de iCloud, además de cerca de 1,4 millones de cuentas ligadas a dominios educativos (.edu).
La investigación determinó que la base estuvo expuesta públicamente durante un tiempo indeterminado, de forma que cualquiera que conociera o encontrara su dirección podía descargar el contenido completo. Fowler comprobó que los registros seguían aumentando mientras el servidor permanecía visible, lo que indica que se trataba de un repositorio activo en constante actualización.
Tras varios intentos de contacto, el investigador alertó al proveedor de hosting responsable mediante un formulario de abuso. La respuesta no fue inmediata: la dirección IP pertenecía a una subsidiaria y no a la compañía matriz, lo que complicó el proceso. Finalmente, tras casi un mes de insistencia, el servicio fue suspendido y la base de datos dejó de estar accesible, aunque se desconoce cuántas copias pudieron descargarse antes de su retirada.
Gmail en el centro del problema: por qué esta filtración es tan delicada
Más allá de la cifra de registros, lo que convierte esta filtración en particularmente delicada es el papel que juega Gmail como pieza central de la vida digital de millones de personas. Para muchos usuarios en España y en el resto de Europa, la cuenta de Google es la llave que abre el acceso a compras online, banca, redes sociales, servicios de streaming, trámites administrativos o historiales médicos.
Entre los datos expuestos se contabilizan alrededor de 48 millones de credenciales de Gmail. Esto no significa que todas ellas sigan siendo válidas, pero sí que, en su momento, estuvieron en uso y pudieron haber sido reutilizadas en numerosos servicios. El correo de Google también se utiliza con frecuencia como método de recuperación de otras claves, por lo que un acceso indebido a esa bandeja de entrada puede desencadenar una cascada de intrusiones en cuentas adicionales.
Los especialistas recalcan que no hay indicios de un ataque directo reciente contra la infraestructura de Gmail. Lo descubierto es, más bien, el resultado de años de robos silenciosos de credenciales que ahora han acabado mezclados en un repositorio mal protegido. Sin embargo, para el usuario final la diferencia práctica es escasa: si su correo y su contraseña están en la lista y se siguen utilizando, el riesgo es real.
En España, donde Gmail se ha convertido en el correo por defecto para gestiones cotidianas, esta situación supone un problema muy tangible. El mismo email que se usa para Netflix o Instagram suele estar vinculado a servicios bancarios, plataformas educativas o comunicaciones con la Administración, de modo que un atacante con acceso a esa cuenta podría redirigir correos, solicitar cambios de contraseña o autorizar operaciones en nombre de la víctima.
Por ello, los expertos en ciberseguridad insisten especialmente en que los usuarios de Gmail en Europa y España tomen medidas preventivas de inmediato, incluso si no han recibido ninguna notificación oficial de incidente por parte de Google.
De dónde salen las contraseñas: malware infostealer y keylogging
El análisis de Fowler y de otros expertos apunta a que la fuente de esta enorme colección de accesos no es una sola brecha, sino la suma de múltiples filtraciones previas alimentadas por malware especializado en robar credenciales. Este tipo de programas, conocidos como infostealers, se infiltran en ordenadores y móviles y se dedican a recopilar información sensible sin que el usuario note nada raro.
Entre sus capacidades se incluye registrar pulsaciones de teclado (keylogging), extraer contraseñas almacenadas en el navegador, copiar cookies de sesión y recolectar datos personales que luego envían a servidores controlados por ciberdelincuentes. Una vez allí, las credenciales se agrupan y se revenden, se cruzan con otras bases de datos y terminan formando parte de gigantescas colecciones como la encontrada en esta ocasión.
Según detalla el informe, la base de datos descubierta incluía información técnica adicional, como la ruta “host_reversed” en formato del tipo com.ejemplo.usuario.equipo. Este detalle permite ordenar los datos robados por víctima, dispositivo y origen, lo que denota un cierto cuidado a la hora de preparar la información para futuras explotaciones.
Expertos en inteligencia de amenazas señalan que los infostealers han democratizado el delito digital: hoy en día existen kits listos para usar que se alquilan por cantidades relativamente bajas, abriendo la puerta a que delincuentes con poca experiencia técnica puedan gestionar campañas de robo de credenciales a gran escala.
La filtración pone de relieve una paradoja incómoda: ni siquiera los propios ciberdelincuentes son inmunes a las fugas de datos. Al almacenar enormes cantidades de información robada en repositorios inseguros, se exponen a que otros actores —incluidos investigadores— localicen y descarguen estos archivos, como ha ocurrido en este caso.
Más allá de Gmail: redes sociales, streaming, banca y criptomonedas
Aunque la preocupación se centra en las contraseñas de Gmail, la base de datos expuesta abarca un abanico mucho más amplio de servicios. Entre las credenciales analizadas aparecen millones de accesos a redes sociales, plataformas de entretenimiento, servicios financieros y aplicaciones de criptomonedas, lo que multiplica el potencial de daño.
Según las cifras publicadas a partir del análisis de la base, se encontraron aproximadamente 17 millones de cuentas de Facebook y 6,5 millones de Instagram, además de alrededor de 780.000 perfiles de TikTok y decenas de miles de accesos a X (la antigua Twitter). En el ámbito del vídeo bajo demanda, se identificaron unos 3,4 millones de credenciales de Netflix, junto con cuentas de HBO Max, Disney Plus y Roblox.
La filtración también afectaría a plataformas de contenido para adultos como OnlyFans, con cerca de 100.000 credenciales, incluyendo accesos de creadores y de clientes. En el terreno económico, el repositorio contenía datos de acceso a billeteras de criptomonedas, servicios de trading, plataformas como Binance (unas 420.000 cuentas) y posibles accesos a banca online y tarjetas de crédito.
Uno de los puntos más sensibles del análisis fue la presencia de cuentas asociadas a dominios institucionales (.gov) y educativos (.edu) de distintos países. Aunque no todas estas credenciales dan paso a sistemas críticos, basta con que algunas tengan permisos elevados para que el riesgo para la seguridad de organismos públicos y centros académicos se dispare.
Este cóctel de correos personales, perfiles de redes sociales, servicios de ocio y plataformas financieras en una sola base de datos hace que las posibilidades de ataque se disparen: si un usuario ha reutilizado la misma contraseña en varios de estos servicios, un único acierto en un intento automatizado puede abrir la puerta a varios frentes a la vez.
Del listado a la intrusión: credential stuffing, phishing y robo de identidad
Disponer de un listado tan grande de usuarios y contraseñas válidos o recientemente válidos abre la puerta a una serie de ataques bien conocidos por las fuerzas de seguridad y los equipos de respuesta ante incidentes. Uno de los más extendidos es el llamado credential stuffing, o relleno de credenciales.
Esta técnica consiste en probar de forma automatizada millones de combinaciones de correo y clave contra multitud de webs y servicios online. Los atacantes confían en un hábito muy extendido: la reutilización de contraseñas en diferentes plataformas. Cuando encuentran una coincidencia, consiguen acceso directo a la cuenta sin necesidad de explotar vulnerabilidades técnicas complejas.
Una vez dentro, el abanico de daños posibles es amplio. Los delincuentes pueden secuestrar perfiles de redes sociales para difundir estafas, vender el acceso a cuentas de plataformas de streaming, vaciar monederos de criptomonedas o intentar movimientos de dinero en servicios de banca online. En el caso del correo electrónico, el riesgo se amplifica porque permite restablecer contraseñas de otros servicios asociados con apenas unos clics.
La información filtrada también resulta muy útil para montar campañas de phishing mucho más creíbles. Conocer qué servicio utiliza la víctima, a qué dirección está asociado y, en ocasiones, qué contraseña utilizó en el pasado, permite diseñar correos o SMS personalizados que simulan avisos legítimos de seguridad, renovaciones de suscripción o alertas bancarias.
Los expertos advierten de que los efectos de una filtración de esta envergadura pueden sentirse de forma gradual. No siempre hay un pico inmediato de incidentes visibles; en muchos casos, los datos se van explotando poco a poco, se combinan con otras filtraciones y se emplean en múltiples campañas de fraude a lo largo del tiempo.
Impacto en Europa y España: usuarios de Gmail en el punto de mira
El carácter global de plataformas como Gmail, Facebook, TikTok, Netflix o Binance hace prácticamente inevitable que entre los 149 millones de credenciales filtradas haya una presencia significativa de usuarios europeos y españoles. Aunque la base de datos no incluya un desglose por países, la altísima penetración de estos servicios en la Unión Europea permite suponer un impacto relevante en la región.
En el marco del Reglamento General de Protección de Datos (RGPD), las empresas con sede o actividad en la UE están obligadas a notificar brechas internas que afecten a los datos de sus clientes. Sin embargo, esta filtración se sitúa en una zona gris regulatoria: todo apunta a que no procede de un único fallo de seguridad en una empresa concreta, sino de la agregación de múltiples filtraciones anteriores reunidas en un solo repositorio externo.
En España, organismos como la Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Ciberseguridad (INCIBE) llevan tiempo alertando sobre el aumento del robo de credenciales y el auge del malware tipo infostealer. Esta nueva filtración masiva demuestra que, pese a las campañas de concienciación, muchos usuarios siguen sin aplicar prácticas básicas de seguridad, como cambiar periódicamente las contraseñas o activar el doble factor.
Para la ciudadanía española, el problema es muy concreto: el correo de Gmail utilizado para suscripciones de ocio suele estar ligado también a banca online, comercios electrónicos, portales de salud, educación y gestiones con la Administración. Esto significa que un incidente que aparentemente afecta solo a un servicio de correo puede derivar en una cadena de accesos no autorizados en otros ámbitos.
El tejido empresarial y las administraciones públicas tampoco quedan al margen. En muchas organizaciones se permite que el personal acceda a herramientas internas desde dispositivos personales o que reciba notificaciones corporativas en cuentas privadas de Gmail u otros proveedores. Si una de esas credenciales figura en la base de datos filtrada y se reutiliza la misma clave en entornos laborales, el atacante podría encontrar una vía de entrada a redes internas con medidas de seguridad desiguales.
Qué hacer si usas Gmail y otros servicios afectados
Aunque sea imposible comprobar de forma directa si una cuenta concreta está incluida en la base filtrada, los expertos coinciden en que la respuesta más sensata es actuar como si cualquier usuario frecuente de estos servicios pudiera estar en riesgo. No hace falta esperar a que nadie envíe un aviso personalizado para tomar medidas.
El primer paso recomendado es cambiar la contraseña de Gmail y de otros servicios clave: redes sociales principales, banca online, plataformas de pago, monederos de criptomonedas y aplicaciones donde se almacene información especialmente sensible. Conviene evitar completamente la reutilización: cada plataforma debería tener una clave única, larga y difícil de adivinar.
Para gestionar esa complejidad, los especialistas sugieren recurrir a un gestor de contraseñas. Estas herramientas generan combinaciones aleatorias muy robustas, las guardan cifradas y permiten rellenarlas automáticamente cuando se necesitan. De este modo, el usuario solo debe recordar una contraseña maestra y se reduce el riesgo de caer en la tentación de repetir claves.
También es importante revisar la actividad reciente de las cuentas, especialmente en Gmail. En la configuración de seguridad de Google, el apartado “Tus dispositivos” permite ver desde dónde se ha accedido a la cuenta y cerrar sesiones abiertas en equipos desconocidos o que ya no se utilizan. Si se detectan accesos desde ubicaciones extrañas, conviene cambiar la contraseña de inmediato y revisar las opciones de recuperación de cuenta.
Como medida adicional, puede ser útil consultar servicios de confianza que permiten verificar si una dirección de correo ha aparecido en filtraciones públicas anteriores. Estas herramientas no revelan contraseñas, pero sí avisan al usuario si su email se ha visto implicado en incidentes conocidos, lo que puede servir de señal de alerta temprana.
La importancia de la verificación en dos pasos y la higiene digital diaria
Más allá de cambiar contraseñas puntualmente, los especialistas subrayan que la medida más efectiva para limitar el impacto de filtraciones masivas como esta es activar la verificación en dos pasos (2FA o MFA) siempre que esté disponible, empezando por Gmail y continuando con redes sociales, servicios financieros y plataformas más sensibles.
Con esta función habilitada, aunque un atacante disponga de la combinación correcta de usuario y contraseña, no podrá acceder a la cuenta sin un segundo factor de autenticación. Ese segundo elemento puede ser un código recibido por SMS, una notificación en el móvil, una app como Google Authenticator, una llave física o incluso sistemas basados en Passkeys, cada vez más extendidos.
Otra recomendación clave es revisar periódicamente las aplicaciones y servicios de terceros conectados a la cuenta de Google y a otras plataformas. A lo largo de los años se suelen acumular permisos concedidos a apps que ya no se utilizan. Revocar accesos antiguos y limitar los privilegios de las que se mantienen reduce la superficie de ataque en caso de que una credencial se vea comprometida.
Igual de importante es mantener sistemas operativos, navegadores y soluciones de seguridad siempre actualizados. Muchas infecciones por malware infostealer se aprovechan de vulnerabilidades conocidas en software desactualizado o de documentos maliciosos que los antivirus modernos detectan mejor cuando están al día. Un entorno actualizado no garantiza la inmunidad, pero sí dificulta el trabajo de los atacantes.
En el plano del día a día, conviene extremar la prudencia ante correos electrónicos, SMS o mensajes en redes sociales que pidan datos personales o financieros. Comprobar cuidadosamente la dirección del remitente, desconfiar de mensajes con un tono demasiado alarmista o urgente y escribir manualmente la URL del servicio en el navegador —en lugar de hacer clic en enlaces incrustados— son pequeños gestos que pueden evitar muchos disgustos.
El descubrimiento de una base de datos desprotegida con 149 millones de credenciales, entre ellas decenas de millones de cuentas de Gmail, vuelve a dejar claro hasta qué punto la seguridad online puede tambalearse cuando confluyen malware silencioso, servidores mal configurados y hábitos poco seguros por parte de los usuarios. Aunque el repositorio concreto ya no sea accesible y queden muchas incógnitas sobre quién estaba detrás o con qué propósito lo gestionaba, la elevada probabilidad de que sus copias sigan circulando obliga a quienes dependen a diario de Gmail y otros servicios digitales en España y en Europa a cambiar el chip: actualizar contraseñas, activar el doble factor, revisar accesos y mantener una actitud vigilante ha pasado de ser una recomendación teórica a convertirse en una rutina básica para evitar que terceros tomen el control de nuestras cuentas.
