Un investigador de seguridad digital descubrió una base de datos masiva y desprotegida que contiene 149 millones de credenciales de inicio de sesión únicas. La exposición, que no contaba con ningún tipo de cifrado ni contraseña, dejó los datos vulnerables a cualquiera que tuviera acceso a su dirección de Internet. El volumen de información supone un riesgo importante para millones de usuarios en todo el mundo.
Dentro del vasto conjunto de datos, un total de 48 millones de registros correspondían a cuentas de Gmail, el popular servicio de correo electrónico de Google. Além del servicio Google, se encontraron credenciales para varias otras plataformas digitales, incluidas redes sociales y servicios de streaming, ampliando el alcance del incidente.
La investigación inicial indica que la información no se obtuvo mediante una invasión directa a los servidores de las empresas afectadas. En cambio, los datos fueron recopilados a lo largo del tiempo por un malware “robador de información”, que infecta computadoras personales y roba información ingresada por los propios usuarios.
El origen de la recopilación masiva de datos
El análisis de los archivos reveló que la base de datos se alimentaba continuamente de registros generados por malware especializado en robo de información. Esses Los programas maliciosos operan silenciosamente en los dispositivos infectados, capturando todo lo escrito en los campos de inicio de sesión, como nombres de usuario y contraseñas, así como cookies de sesión que pueden permitir el acceso a cuentas sin necesidad de credenciales. Todo El material recopilado se envía luego a servidores remotos controlados por ciberdelincuentes, quienes lo agregan en grandes compilaciones para venderlo o utilizarlo en futuros ataques. Curiosamente, la exposición pública de esta base de datos, que totalizaba casi 100 GB, pone de relieve un fallo de seguridad en la propia infraestructura de los delincuentes, que dejaron su repositorio de datos robados accesible públicamente en Internet, lo que permitió identificarlos y eliminarlos posteriormente tras notificarlo al proveedor de alojamiento.
Gigantes tecnológicos en el punto de mira de los delincuentes
El análisis de la distribución de credenciales expuestas muestra una clara concentración en plataformas con gran popularidad global. Gmail encabeza la lista con aproximadamente 48 millones de cuentas comprometidas, seguido de Facebook, con 17 millones de inicios de sesión, y Instagram, con 6,5 millones de registros.
Otros servicios notables también se vieron afectados, incluido Yahoo con 4 millones de accesos filtrados, Netflix con 3,4 millones de credenciales y Outlook de Microsoft con 1,5 millones de entradas. La diversidad de objetivos muestra la amplitud de la operación de recopilación de datos.
La gravedad del incidente se ve amplificada por la presencia de credenciales para acceder a servicios gubernamentales de diferentes países y plataformas de instituciones educativas. Isso eleva el riesgo más allá de los usuarios comunes y puede afectar la seguridad de datos corporativos y gubernamentales confidenciales.
¿Qué es el ataque de relleno de credenciales?
Con un volumen tan grande de credenciales válidas en su poder, los ciberdelincuentes suelen recurrir a una técnica de ataque automatizado conocida como “relleno de credenciales”. Con el método Nesse, los robots están programados para probar sistemáticamente combinaciones de nombres de usuario y contraseñas filtradas en una amplia gama de otros sitios web y servicios en línea. La eficacia de esta táctica radica en el hábito común de muchos usuarios de reutilizar la misma contraseña en múltiples plataformas. Por lo tanto, una única credencial comprometida puede servir como clave maestra para desbloquear el acceso a muchas otras cuentas, desde redes sociales hasta servicios bancarios y de comercio electrónico.
Las consecuencias para las víctimas pueden ser graves, desde el secuestro de perfiles en las redes sociales hasta pérdidas económicas directas y robo de identidad. Una vez que los delincuentes obtienen acceso a una cuenta de correo electrónico principal, como Gmail, pueden usarla para restablecer contraseñas de otros servicios asociados, profundizando su control sobre la vida digital de un individuo. La escala del ataque se ve reforzada por la automatización, lo que permite realizar millones de intentos de inicio de sesión en un corto período de tiempo, lo que hace que la detección y el bloqueo sean un desafío constante para las plataformas digitales.
La respuesta de Google al incidente
En respuesta al descubrimiento, Google afirmó que monitorea constantemente la actividad externa que podría comprometer las cuentas de sus usuarios. La empresa destacó que sus sistemas de seguridad no fueron violados y que los datos expuestos no son resultado de una falla interna.
La empresa reforzó que cuenta con mecanismos de protección automatizados que identifican actividades de inicio de sesión sospechosas. Quando se utiliza una credencial presente en listas de fugas conocidas, el sistema puede bloquear el acceso y notificar al usuario para que cambie inmediatamente la contraseña, mitigando el riesgo de acceso no autorizado.
Cómo se propaga el malware de robo de información
El malware Infostealer está diseñado para ser discreto y eficiente, instalándose en computadoras y dispositivos móviles sin que el usuario se dé cuenta. La principal vía de infección sigue siendo la ingeniería social, mediante la cual se engaña a la víctima para que lleve a cabo una acción maliciosa.
Una de las tácticas más comunes es enviar correos electrónicos de phishing que contienen archivos adjuntos infectados o enlaces que apuntan a sitios web falsos. Los sitios web Esses a menudo imitan páginas de inicio de sesión legítimas para robar credenciales directamente o engañar al malware para que se descargue.
Otro vector importante de propagación es la descarga de software pirateado o “crackeado” de fuentes no confiables. Los programas Esses a menudo vienen con malware integrado que se instala junto con el software deseado, lo que abre una puerta de entrada a los delincuentes.
Una vez activos en el sistema, estos programas maliciosos operan en segundo plano, registrando datos y enviándolos a sus operadores. Sua La creciente sofisticación permite a muchos de ellos eludir el software antivirus básico, lo que hace que la prevención y la detección sean aún más desafiantes para el usuario promedio.
Recomendaciones esenciales para una protección inmediata
Ante un escenario de exposición a gran escala, es fundamental que los usuarios tomen medidas proactivas para proteger sus cuentas. La primera acción recomendada es verificar si sus direcciones de correo electrónico están en listas de fugas conocidas, utilizando herramientas en línea especializadas y confiables para esta consulta.
Si se sospecha o se confirma un compromiso, las contraseñas de todas las cuentas asociadas con el correo electrónico expuesto deben cambiarse inmediatamente. Es crucial crear contraseñas únicas y complejas para cada servicio, evitando la reutilización que facilita los ataques de relleno de credenciales. Usar un administrador de contraseñas es una práctica muy recomendada para crear y almacenar estas credenciales de forma segura.
La capa adicional de autenticación multifactor
La medida de seguridad más eficaz para protegerse contra el uso indebido de contraseñas filtradas es habilitar la autenticación de dos factores (2FA) o la autenticación de múltiples factores (MFA) en todas las cuentas que ofrecen esta función. La funcionalidad Essa agrega una capa adicional de verificación, que requiere no solo la contraseña sino también un segundo código, generalmente enviado a un dispositivo confiable, como un teléfono celular. Mesmo Una vez que un delincuente tiene acceso a la contraseña, no podrá completar el inicio de sesión sin esta segunda forma de autenticación, lo que hace que la cuenta sea significativamente más segura contra intrusiones.