Detrás de la “madre de todas las filtraciones” se revela una compilación de datos antiguos, no un ciberataque reciente

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

La reciente noticia sobre la supuesta “madre de todas las filtraciones” generó un aluvión de titulares alarmistas y una reacción mediática cargada de pánico. Muchos medios la presentaron como un nuevo ciberataque de grandes dimensiones. Sin embargo, al examinar a fondo lo ocurrido, la situación resulta mucho menos sensacionalista de lo que se ha hecho parecer. No se trata de un ataque reciente ni de una nueva intrusión a sistemas digitales, sino de la recopilación masiva de credenciales robadas previamente a lo largo del tiempo, lo cual no deja de ser peligroso.

Esta base de datos, identificada por el equipo de investigadores de Cybernews, contiene información obtenida en incidentes de seguridad anteriores, donde los datos personales y credenciales de acceso fueron sustraídos por ciberdelincuentes. A lo largo de los años, estos datos fueron obtenidos mediante diversos métodos: desde hackeos masivos hasta ataques de credential stuffing — es decir, el uso automatizado de combinaciones de usuario y contraseña obtenidas en filtraciones anteriores — . La novedad en esta ocasión no está en el origen de los datos, sino en que han sido organizados y expuestos públicamente en un único archivo durante un breve periodo.

La recopilación descubierta seguía el formato comúnmente utilizado por los registros generados por programas especializados en el robo de información. Aunque los investigadores no divulgaron ejemplos específicos de los datos, describieron que el contenido consistía en archivos de texto con miles de líneas de credenciales. El formato típico de estos registros presenta una estructura con tres componentes: una URL, un nombre de usuario y una contraseña, separados por dos puntos o símbolos similares. Un ejemplo de esto sería:

URL:nombre_de_usuario:contraseña

Este tipo de información proviene habitualmente de equipos que han sido infectados por programas maliciosos conocidos como infostealers, diseñados para extraer datos personales del usuario. Una vez que un equipo se ve comprometido, el software malicioso recopila todos los datos almacenados localmente, como credenciales de acceso, tokens de sesión, monederos de criptomonedas, e incluso información guardada por navegadores o aplicaciones.

Posteriormente, toda esta información es empaquetada en un archivo de registro que se envía automáticamente al servidor controlado por el atacante. Luego, estos registros pueden ser comercializados en foros clandestinos, o incluso publicarse gratuitamente como estrategia de reputación o como cebo para futuras estafas.

Actualmente, el robo de credenciales se ha convertido en una de las principales puertas de entrada para los ciberdelincuentes. Este tipo de información se utiliza para atacar tanto a individuos como a empresas y organizaciones gubernamentales. Basta con que estos datos se filtren temporalmente en plataformas públicas como Telegram, Pastebin o Discord para que millones de combinaciones de usuario y contraseña queden expuestas al alcance de cualquiera.

En esta ocasión, los archivos divulgados superaban los 1.2 GB de tamaño y contenían decenas de miles de cuentas. Aunque este número es significativo, no se trata de un evento aislado. Existen cientos de filtraciones similares que, en conjunto, suman miles de millones de líneas de credenciales comprometidas que han estado circulando en la darknet durante años. Ejemplos conocidos de este tipo de recopilaciones son la colección RockYou2024, con más de 9 mil millones de registros, y la Colección n.º 1, que contenía alrededor de 22 millones de contraseñas únicas.

Por lo tanto, es importante aclarar que esta “nueva” filtración no representa una amenaza inédita. No se han registrado hackeos recientes a sitios web ni a aplicaciones asociados con esta base de datos. Lo que ha ocurrido es simplemente una nueva presentación de una amenaza persistente: una acumulación de datos antiguos que, aunque no nuevos, siguen representando un riesgo para quienes utilizan contraseñas débiles o no han actualizado sus medidas de seguridad en años.

A pesar de los esfuerzos por combatir este problema, los infostealers continúan propagándose activamente en el entorno digital. Se distribuyen a través de sitios web falsos, actualizaciones de software engañosas y hasta banners publicitarios infectados. Durante los años 2024 y 2025, diversas operaciones internacionales intentaron frenar la proliferación de estos programas. Entre ellas destacan la Operación Secure y el desmantelamiento de LummaStealer, uno de los malware más utilizados para este fin. No obstante, la amenaza persiste y está lejos de haber sido erradicada.

Frente a este escenario, ¿qué acciones deben tomar los usuarios?

El primer paso es verificar si el dispositivo ha sido infectado con software malicioso. Es fundamental realizar esta comprobación antes de modificar cualquier contraseña, ya que si el infostealer sigue presente, la nueva clave también será robada y enviada al atacante.

Una vez asegurado que el dispositivo está libre de malware, se debe proceder a mejorar las contraseñas: utilizar combinaciones únicas, largas y complejas para cada sitio web, y almacenarlas en un gestor de contraseñas confiable. Estos gestores no solo ayudan a crear y recordar contraseñas seguras, sino que muchos también permiten almacenar códigos de autenticación de dos factores (2FA).

Habilitar la autenticación 2FA es otra capa crucial de defensa. Se recomienda evitar los métodos basados en SMS y optar por aplicaciones dedicadas como Google Authenticator, Authy o Microsoft Authenticator. Incluso si una contraseña se encuentra en una base de datos filtrada, la presencia de 2FA puede impedir el acceso no autorizado a la cuenta.

Además, los usuarios pueden recurrir a servicios especializados que permiten verificar si sus correos electrónicos o contraseñas han sido parte de filtraciones anteriores. Esta medida permite detectar exposiciones pasadas y tomar acción inmediata. Si se ha utilizado la misma contraseña en múltiples sitios, es indispensable cambiarla cuanto antes para evitar compromisos en cadena.

Aunque la reciente filtración no se trata de una amenaza nueva, sí es un recordatorio contundente de la importancia de adoptar prácticas seguras en el manejo de credenciales. La amenaza no está en un ciberataque reciente, sino en la persistente circulación de datos antiguos que pueden seguir siendo utilizados por actores maliciosos. Tomar medidas hoy puede hacer la diferencia frente a filtraciones futuras.

Para más información, visite: https://www.silikn.com/