Una nueva investigación ha destapado uno de los mayores incidentes de seguridad digital registrados hasta la fecha: más de 16 mil millones de combinaciones de nombres de usuario y contraseñas han sido encontradas en bases de datos expuestas en línea. Este hallazgo, realizado por el equipo de Cybernews, confirma que el riesgo de robo de identidad y secuestro de cuentas está más vigente que nunca.
Un hallazgo sin precedentes
El archivo descubierto está compuesto por 30 bases de datos distintas, una de las cuales contiene por sí sola 3.500 millones de registros. Aunque algunas filtraciones anteriores ya habían sido reportadas, como una base con 184 millones de registros encontrada semanas antes, la mayor parte de esta nueva colección era completamente desconocida hasta ahora.
Esto no es un simple reempaque de datos antiguos. Según los investigadores, muchas de las credenciales siguen siendo vigentes y podrían ser utilizadas activamente por atacantes.
Cómo se obtuvo esta información
Los datos fueron localizados porque las bases estaban accidentalmente accesibles en servidores en línea sin protección. Esto significa que cualquiera con el conocimiento adecuado pudo haber accedido a ellas, incluyendo grupos de cibercriminales organizados.
La información proviene de distintas fuentes:
- Malware de tipo infostealer: programas maliciosos que se instalan en dispositivos tras engañar al usuario para que haga clic en archivos o enlaces infectados.
- Ataques de «credential stuffing»: técnica donde los atacantes prueban combinaciones de usuario y contraseña robadas en múltiples servicios.
- Filtraciones anteriores: algunos de los datos provienen de bases de datos ya comprometidas en el pasado, pero ahora consolidadas en un solo megapaquete.
Por qué esta filtración es especialmente peligrosa
Más allá del número, lo que hace que esta filtración sea tan preocupante es la estructura y recencia de los datos. Muchos registros están acompañados por cookies, tokens y otros elementos que permiten a los atacantes acceder a cuentas incluso después de haber cambiado la contraseña.
Según los investigadores, esta base de datos podría abrir la puerta a cualquier tipo de servicio digital: desde cuentas en Apple, Facebook y Google, hasta plataformas como GitHub, Telegram e incluso servicios gubernamentales.
El peligro se multiplica si consideramos que muchas personas reutilizan la misma contraseña en distintos sitios. Esto facilita los ataques en cadena, donde un solo acceso robado puede desencadenar la toma de varias cuentas del mismo usuario.
Qué puedes hacer para protegerte
Aunque el panorama pueda parecer desalentador, hay varias acciones que los usuarios pueden tomar para reducir los riesgos:
1. Cambia tus contraseñas
Comienza por tus cuentas más importantes: correo electrónico, redes sociales, banca online. Usa contraseñas largas, únicas y difíciles de adivinar. Si te resulta complicado recordarlas, opta por un gestor de contraseñas.
2. Activa la autenticación en dos pasos (2FA)
Este sistema añade una capa extra de seguridad al requerir un código adicional (como uno enviado a tu móvil) para iniciar sesión. Muchos servicios lo ofrecen, y es altamente recomendable activarlo siempre que esté disponible.
3. Usa passkeys donde sea posible
Las passkeys son una alternativa moderna a las contraseñas tradicionales, basadas en biometría o dispositivos de confianza. Reducen drásticamente el riesgo de filtración.
4. Cierra todas las sesiones antes de cambiar claves
Esto impide que un atacante ya conectado siga teniendo acceso incluso tras el cambio de contraseña.
5. Protege tu dispositivo
Si tu ordenador o teléfono tiene un malware activo, ninguna contraseña o medida de seguridad te protegerá del todo. Instala y mantén actualizado un buen antivirus, evita hacer clic en enlaces sospechosos y desconfía de los archivos adjuntos que no hayas solicitado.
Una buena regla es: si algo te genera duda, no lo abras. Mejor pecar de precavido que de confiado.
Una advertencia para todos los usuarios de Internet
Este incidente demuestra que la seguridad digital no es solo responsabilidad de las empresas tecnológicas, sino de cada persona que navega por Internet. Pequeñas decisiones cotidianas, como usar la misma contraseña para todo o no actualizar el antivirus, pueden tener consecuencias graves.
Como si alguien dejara la llave de su casa debajo del felpudo, seguir con hábitos poco seguros es una invitación para los delincuentes digitales. No se trata de vivir con miedo, sino de actuar con inteligencia.