Se filtraron 184 millones de datos de inicio de sesión, ¿recopilados por malware? = Informe

El investigador en ciberseguridad Jeremiah Fowler descubrió el 22 de mayo de 2025 que una base de datos sin protección por contraseña contenía 184,167,218 registros de inicio de sesión y contraseñas, y lo reportó a la plataforma de medios de ciberseguridad Website Planet.

Se estima que la capacidad de la base de datos es de 47.42GB y que fue recopilada por el malware InfoStealer (malware de robo de información).

Detalles de los datos filtrados y el alcance del impacto

Fuente: Website Planet

tipos de información de autenticación incluidos

La base de datos publicada contenía credenciales de una amplia gama de servicios. Se han confirmado las informaciones de cuentas de plataformas principales de redes sociales como proveedores de correo electrónico, productos de Microsoft, Facebook, Instagram, Snapchat y Roblox.

Incluye información de acceso a cuentas bancarias y cuentas de instituciones financieras de varios países, plataformas médicas, y portales de agencias gubernamentales, lo que expone a individuos y organizaciones filtrados a riesgos significativos.

El Sr. Fowler se puso en contacto con varias direcciones de correo electrónico registradas en la base de datos y verificó que había contraseñas precisas y válidas en los registros. La base de datos estaba conectada a dos nombres de dominio, pero no se logró identificar al propietario.

Características del malware InfoStealer

InfoStealer (Inforestealer) es un término general para el software malicioso especializado en robar información confidencial de sistemas infectados. Su objetivo principal son las credenciales almacenadas en navegadores web, clientes de correo electrónico y aplicaciones de mensajería, además de robar datos de autocompletar, cookies e información de billeteras de criptomonedas. Algunas variantes también cuentan con funciones para capturar capturas de pantalla y registrar entradas de teclado.

Actualmente, no se ha determinado la ruta de recolección de datos en este asunto, pero es necesario tener cuidado, ya que los ciberdelincuentes a menudo distribuyen malware a través de correos electrónicos de phishing, sitios web maliciosos y software pirateado.

Riesgos de seguridad principales previstos

ataque de credencial stuffing

El ataque de credenciales por relleno es un método de ataque automatizado que intenta acceder ilegalmente a múltiples servicios en línea utilizando credenciales robadas.

Aprovechando la costumbre de muchos usuarios de reutilizar la misma contraseña en varios servicios, utilizan botnets para realizar miles de intentos de inicio de sesión por segundo. Con las 184 millones de credenciales filtradas, los atacantes pueden intentar iniciar sesión en cualquier servicio en línea, incluidos bancos, redes sociales, sitios de comercio electrónico y sistemas corporativos.

La tasa de éxito se considera generalmente entre el 0,1% y el 2%, pero en esta escala, existe la posibilidad de que cientos de miles a millones de cuentas sean comprometidas.

toma de control de cuenta (ATO)

La toma de control de cuentas (Account Takeover: ATO) es un ataque que pone completamente bajo control la cuenta del usuario utilizando credenciales de autenticación legítimas.

Las cuentas que no han implementado la autenticación de dos factores (2FA) son extremadamente vulnerables, ya que pueden ser accedidas únicamente con el ID de inicio de sesión y la contraseña. Si un atacante toma control de la cuenta, podrá acceder a todos los datos almacenados, incluyendo información personal identificable (PII), información de tarjetas de crédito, historial de compras, listas de contactos y más.

Además, existe el riesgo de que se produzcan daños secundarios en cadena, como el envío de correos electrónicos de fraude dirigidos a amigos, familiares y socios comerciales haciéndose pasar por la víctima, transferencias no autorizadas y bloqueos debido a cambios en la configuración de la cuenta.

Impacto en empresas y organismos gubernamentales

Se ha identificado que la violación contiene una serie de cuentas corporativas y cuentas del gobierno nacional (.gov). Si las credenciales de una empresa se ven comprometidas, los atacantes pueden infiltrarse en las redes internas, robar datos empresariales confidenciales, realizar espionaje industrial e incluso llevar a cabo ataques de ransomware.

Lo que más preocupa es que se trate de cuentas de agencias gubernamentales. Si entre ellas se encuentran cuentas con permisos de acceso a infraestructuras críticas del estado o información confidencial, esto representaría una amenaza grave para la seguridad nacional. Además, también podría ser mal utilizado como punto de partida para ataques a la cadena de suministro, existiendo el riesgo de que una sola violación se expanda de manera encadenada.

Riesgos relacionados con los activos digitales

Las variantes del malware InfoStealer no solo apuntan a las cuentas de intercambio, sino también a las claves secretas y frases semilla de las billeteras basadas en extensiones de navegador.

Por ejemplo, StilachiRAT, sobre el que Microsoft advirtió en marzo de 2025, se dirige a más de 20 tipos de billeteras, incluidas MetaMask, Trust Wallet y Phantom, y roba credenciales a través del registro de Windows.

Si las credenciales de autenticación que se filtraron esta vez incluían cuentas de intercambio de criptomonedas, es posible que se realicen transferencias no autorizadas de inmediato en cuentas donde no se haya configurado 2FA.

Las transacciones de criptomonedas son irreversibles, por lo que una vez que se envía un dinero, es extremadamente difícil recuperarlo. Además, algunos de los últimos programas maliciosos tienen la capacidad de monitorear el portapapeles y detectar y robar automáticamente direcciones y claves privadas, lo que lo convierte en una amenaza continua para los poseedores de criptomonedas.

Medidas de seguridad que los usuarios deben implementar

La reciente filtración masiva representa una oportunidad importante para revisar las contraseñas y las medidas de seguridad personales. Para prevenir la expansión del daño, se requiere que todos los usuarios implementen medidas de manera rápida.

Las principales medidas que los usuarios deben tomar son las siguientes. La combinación de estas medidas servirá como un medio para protegerse de la filtración de información.

• Gestión de contraseñas Cambios regulares una vez al año, utilizar contraseñas complejas y únicas en todas las cuentas. Se recomienda el uso de un administrador de contraseñas.
• Autenticación de dos factores (2FA)
  Es esencial, especialmente en instituciones financieras, intercambios de criptomonedas y cuentas importantes.
• Monitoreo de cuenta Verificación de filtraciones en Have I Been Pwned (HIBP), utiliza notificaciones de inicio de sesión y alertas de actividad.
• Protección de activos digitales Una gran cantidad de activos se gestiona en una billetera de hardware.
• Software de seguridad Instale un software antivirus confiable y manténgalo actualizado. Para una protección avanzada, considere una solución EDR