A comienzos de mayo, el investigador de ciberseguridad Jeremiah Fowler identificó una base de datos sin protección que contenía más de 184 millones de combinaciones únicas de nombres de usuario y contraseñas.
El hallazgo fue informado por el portal especializado Website Planet y evidencia una de las mayores exposiciones recientes de credenciales almacenadas en texto plano. La base de datos, de 47 GB, no tenía contraseña ni cifrado y se encontraba alojada en un servidor mal configurado.
Entre los registros analizados se encontraron credenciales de acceso a redes sociales, servicios bancarios, plataformas de salud, portales gubernamentales y aplicaciones de mensajería.
El investigador también detectó correos electrónicos con dominios oficiales (.gov) de países como Estados Unidos, Reino Unido, India y Australia. Esta situación representa un riesgo considerable tanto para usuarios individuales como para instituciones públicas.
Un malware el responsable de la filtración
Todo apunta a que los datos fueron recopilados por un malware del tipo InfoStealer. Este software malicioso está diseñado para recolectar información confidencial almacenada en navegadores web y aplicaciones.
Una vez instalado en un dispositivo comprometido, extrae datos de autocompletado, cookies, cuentas de correo y credenciales de plataformas populares. Luego, esa información es enviada a servidores controlados por actores maliciosos.
Este tipo de malware se propaga mediante correos electrónicos de phishing, sitios web infectados o descargas de software no verificado. La facilidad con la que pueden obtenerse y utilizarse herramientas de este tipo ha sido impulsada por el modelo de negocio conocido como “malware como servicio”, que permite a ciberdelincuentes sin conocimientos técnicos adquirir suscripciones mensuales a kits listos para operar.
El hallazgo de Fowler también reveló una posible conexión con redes de habla portuguesa, ya que muchas entradas contenían el término “Senha”, que significa “contraseña” en portugués.
Sin embargo, no fue posible establecer con certeza la identidad del propietario de la base de datos. Uno de los dominios asociados estaba inactivo y el otro ni siquiera se encontraba registrado. La información del servidor, registrada de forma privada, impidió rastrear a los responsables.
Cuáles servicios fueron los afectados
Las credenciales filtradas abarcan servicios ampliamente utilizados como Facebook, Google, Microsoft, Amazon, PayPal, Apple, Netflix, Snapchat, Discord, Twitter, Roblox, Yahoo y WordPress.
También se encontraron datos de acceso a instituciones financieras y plataformas estatales. Algunos registros contenían enlaces URL directos para iniciar sesión o autorizar cuentas, lo que podría facilitar accesos no autorizados si son aprovechados por atacantes.
Uno de los aspectos más graves del hallazgo es que las contraseñas no estaban cifradas. Esto implica que cualquier persona que accediera a la base podía utilizar directamente las credenciales sin necesidad de decodificarlas.
Aunque no hay pruebas de que la base haya sido utilizada con fines delictivos, el simple hecho de estar expuesta constituye una amenaza significativa.
Según Fowler, no se sabe cuánto tiempo estuvo accesible la información ni si fue descargada por terceros. El proveedor de alojamiento al que se notificó no ofreció detalles sobre sus clientes, por lo que tampoco fue posible confirmar si el servidor fue comprometido o si la base fue expuesta por descuido tras una investigación legítima.
Cómo identificar y prevenir infecciones
El incidente pone en evidencia la importancia de la protección de dispositivos móviles, que se han convertido en objetivos frecuentes de ataques digitales. Desde troyanos bancarios hasta adware invasivo, los smartphones concentran gran parte de la información sensible de los usuarios.
Los síntomas de infección pueden incluir lentitud inexplicable, sobrecalentamiento, consumo excesivo de batería o datos móviles, y comportamiento anómalo de las aplicaciones.
También se han reportado casos de malware que accede a la lista de contactos para propagarse mediante enlaces fraudulentos.
Ante la sospecha de una infección, los expertos recomiendan ejecutar un análisis completo con software antivirus confiable y, en casos más complejos, revisar manualmente los permisos de las aplicaciones instaladas. Es fundamental eliminar cualquier aplicación sospechosa y cambiar todas las contraseñas asociadas a servicios sensibles.
