- Una base de datos en la nube sin protección dejó expuestas 149 millones de credenciales de acceso de todo el mundo.
- Entre los servicios afectados figuran Facebook, Gmail, iCloud, TikTok, Netflix, Binance y otras plataformas financieras y de entretenimiento.
- Se desconoce el origen de la base de datos y el tiempo que estuvo accesible, aunque ya ha sido eliminada del servidor.
- Los expertos recomiendan cambiar claves, activar doble factor y revisar permisos y dispositivos para reducir el riesgo de fraudes.
Una base de datos alojada en la nube y sin ningún tipo de protección ha dejado expuestas las credenciales de acceso de millones de usuarios de todo el mundo. Entre los servicios afectados se encuentran plataformas tan extendidas como Facebook, Gmail, iCloud y otros servicios, TikTok, Netflix, Binance u OnlyFans, lo que da una idea del alcance del incidente y de su impacto potencial en la vida digital de los afectados.
El hallazgo fue realizado por el investigador de seguridad Jeremiah Fowler y posteriormente analizado por el equipo de la firma de ciberseguridad ExpressVPN, que publicó los primeros detalles en su blog. Según sus conclusiones, el repositorio contenía 149 millones de registros únicos de inicio de sesión, con correos electrónicos, nombres de usuario y contraseñas, todo ello almacenado en un servidor visible en internet sin encriptación ni medidas de acceso restringido.
Los datos corresponden a usuarios de servicios digitales de múltiples regiones, incluyendo Europa y, por extensión, España, donde el uso de muchas de estas plataformas es masivo. En la lista aparecen redes sociales, servicios de correo, plataformas de streaming, sistemas de almacenamiento en la nube y aplicaciones financieras y de criptomonedas, lo que eleva el riesgo de estas credenciales si los atacantes explotan estas credenciales.
De acuerdo con las cifras difundidas por ExpressVPN, la base de datos recopilaba detalles de acceso de 48 millones de cuentas de Gmail, 900.000 de iCloud y 1,5 millones de Outlook, además de millones de perfiles de redes sociales y servicios de entretenimiento. La magnitud de la exposición confirma, una vez más, que reciclar contraseñas o no activar sistemas de verificación adicionales puede salir muy caro al usuario medio.
Aunque el incidente no apunta a un país concreto, la presencia de servicios globales como Gmail, Facebook, TikTok o Binance hace muy probable que haya usuarios europeos y españoles entre los afectados. En un contexto en el que el acceso online se ha convertido en la puerta de entrada a trámites bancarios, gestiones administrativas, ocio y comunicación, una filtración de este alcance supone un riesgo evidente para la privacidad y el bolsillo.
Qué se ha filtrado y qué plataformas están implicadas
Las investigaciones internas indican que el archivo en la nube almacenaba aproximadamente 96 gigabytes de información, centrada principalmente en credenciales de acceso. No solo se trata de direcciones de correo, sino de combinaciones completas de usuario y contraseña listas para ser utilizadas en intentos de acceso automatizados contra un sinfín de servicios.
Entre las plataformas afectadas destacan redes sociales de gran difusión como Facebook, Instagram, TikTok y X (antes Twitter); servicios de correo electrónico tan implantados como Gmail, Outlook o Yahoo; y aplicaciones de vídeo bajo demanda como Netflix, HBO Max y Disney Plus. También figuran cuentas de Roblox y OnlyFans, junto a otros servicios menos visibles pero igualmente delicados desde el punto de vista de la seguridad.
Las cifras publicadas por ExpressVPN detallan un desglose particularmente preocupante: 48 millones de credenciales corresponden a Gmail, 17 millones a Facebook, 6,5 millones a Instagram, 780.000 a TikTok y 3,4 millones a Netflix. A esto se suman, entre otros, 900.000 accesos de iCloud, 1,5 millones de Outlook, 100.000 de OnlyFans y 420.000 de la plataforma de criptomonedas Binance, además de cientos de miles de cuentas ligadas a servicios financieros y bancarios.
Según el investigador que descubrió el repositorio, la base de datos incluía también información de cuentas educativas (.edu) y, en menor medida, institucionales o gubernamentales (.gov), lo que amplía el perfil de posibles víctimas a estudiantes, docentes y personal de administraciones públicas. En estos contextos, el impacto de una intrusión puede ser especialmente delicado si las cuentas comprometidas tienen permisos elevados.
Todo este conjunto de datos, recopilado en un solo contenedor accesible desde internet, puede ser utilizado por ciberdelincuentes para llevar a cabo campañas masivas de robo de cuentas. La combinación de servicios personales, profesionales y financieros en una misma base de datos multiplica las posibilidades de que, usando las mismas credenciales, los atacantes consigan acceder a varias plataformas a la vez.
Origen de la base de datos y dudas sobre su procedencia
Tras el descubrimiento, ExpressVPN se puso en contacto con el proveedor del servicio en la nube que alojaba la base de datos y, una vez emitida la alerta, el repositorio fue retirado del servidor y dejó de estar disponible. Sin embargo, la compañía reconoce que no es posible saber con precisión cuánto tiempo estuvo accesible públicamente ni cuántas personas pudieron descargar o copiar los datos antes de que se bloqueara su acceso.
Otra de las grandes incógnitas es el origen de la información. Los especialistas señalan que el contenido parece ser una agregación de filtraciones anteriores, agrupadas en un único archivo, más que el resultado de una brecha de seguridad reciente contra una empresa concreta. Es decir, alguien habría ido recopilando datos robados en distintos incidentes a lo largo del tiempo y los habría almacenado en este servidor desprotegido.
ExpressVPN subraya que, con la información disponible, no se puede determinar si el responsable de la base de datos actúa con fines delictivos o si se trata de un actor legítimo que manejaba información filtrada con fines de investigación o análisis y descuidó por completo las medidas de protección. En cualquier caso, que una colección de credenciales de estas dimensiones pueda encontrarse en abierto supone un serio problema de seguridad.
Durante el periodo en que el servidor estuvo visible, el número de registros llegó a aumentar, según relata Fowler, lo que sugiere que la base de datos estaba siendo actualizada con nuevas credenciales. Ese crecimiento refuerza la idea de que se trataba de un repositorio activo y no de un archivo viejo abandonado, aunque por ahora no haya datos concluyentes sobre quién estaba detrás.
Más allá de la autoría, los expertos llaman la atención sobre el hecho de que cualquier copia descargada antes de la retirada sigue circulando potencialmente entre grupos de ciberdelincuentes. En los mercados clandestinos de datos robados, este tipo de colecciones tiene un alto valor, ya que permite montar ataques automatizados a gran escala con un coste relativamente bajo.
Riesgos reales: del «credential stuffing» al robo de identidad
El peligro más evidente que plantean este tipo de bases de datos es el uso de las credenciales robadas en ataques de «credential stuffing». Esta técnica consiste en probar de manera automatizada combinaciones reales de correo y contraseña en distintos servicios, confiando en que el usuario haya repetido la misma clave en varias plataformas. Cuando la contraseña coincide, el atacante consigue acceso inmediato sin necesidad de vulnerar sistemas técnicos complejos.
A partir de ahí, el abanico de daños posibles es amplio: desde la toma de control de redes sociales —para difundir estafas o malware entre contactos de confianza— hasta el acceso a servicios de banca online, monederos de criptomonedas o pasarelas de pago vinculadas a las cuentas filtradas. Incluso en escenarios en los que el acceso se limita a un correo electrónico, la posibilidad de restablecer contraseñas de otros servicios complica todavía más la situación.
Los investigadores advierten también de un incremento en los ataques de phishing y suplantación de identidad que utilizan datos filtrados para hacer más creíbles los correos o mensajes fraudulentos. Si el atacante conoce la dirección de correo, el nombre del servicio que utiliza la víctima e incluso parte de sus credenciales antiguas, resulta mucho más sencillo construir un engaño convincente.
En Europa, donde el uso de servicios bancarios online y apps de pago está muy extendido, una filtración de esta magnitud puede traducirse en un aumento de fraudes financieros dirigidos. España no es ajena a esta tendencia: los cuerpos de seguridad vienen alertando desde hace tiempo de oleadas de SMS, correos y mensajes en redes sociales que suplantan a entidades bancarias, empresas de mensajería o plataformas digitales con el objetivo de robar datos adicionales.
Aunque por el momento no se han notificado de forma pública incidentes masivos directamente vinculados a esta colección concreta de credenciales, los especialistas recuerdan que los efectos de una filtración pueden manifestarse de forma gradual, a medida que los atacantes van explotando los datos en distintas campañas. Uno de los problemas de fondo es que muchos usuarios no son conscientes de que sus credenciales se han visto comprometidas y continúan usándolas con normalidad.
Impacto en usuarios europeos y españoles
Debido al carácter global de plataformas como Gmail, Facebook, TikTok o iCloud, es prácticamente inevitable que una parte significativa de los afectados se encuentre en Europa y, específicamente, en España. En el día a día, estas cuentas sirven de llave de acceso a servicios críticos: banca, compras online, gestiones administrativas, plataformas sanitarias o sistemas educativos, entre otros.
En el entorno europeo, el Reglamento General de Protección de Datos (RGPD) obliga a las empresas que sufren brechas relevantes a notificar a las autoridades y a los usuarios cuando se detectan filtraciones internas. Sin embargo, en este caso concreto, la base de datos parece ser un recopilatorio externo de incidentes anteriores, lo que dificulta atribuir responsabilidades a una sola compañía y complica la aplicación directa de este tipo de obligaciones.
En España, la Agencia Española de Protección de Datos (AEPD) lleva tiempo insistiendo en la necesidad de que ciudadanos y organizaciones adopten medidas básicas de higiene digital: contraseñas robustas, verificación en dos pasos y minimización de datos compartidos con servicios de terceros. Un repositorio tan grande como el descubierto por Fowler pone a prueba hasta qué punto estas recomendaciones se aplican en la práctica.
Los usuarios españoles que tengan cuentas en las plataformas señaladas —desde correos de Gmail u Outlook hasta redes sociales y servicios de streaming— deberían plantearse, como mínimo, revisar y actualizar sus datos de acceso, especialmente si hace tiempo que no cambian sus contraseñas o si las reutilizan en diversas webs. Aunque no haya una lista pública de direcciones comprometidas, la prudencia invita a actuar como si el riesgo fuera real.
Más allá del impacto en individuos, este tipo de filtraciones también afectan a empresas y administraciones que permiten a su personal acceder a correos corporativos o herramientas internas desde cuentas personales o dispositivos propios. Una única credencial comprometida puede convertirse en la puerta de entrada a redes corporativas mal segmentadas o con políticas de seguridad laxas.
Qué dicen los expertos y cómo recomiendan actuar
Los especialistas consultados coinciden en que el primer paso para los potenciales afectados es cambiar las contraseñas de los servicios implicados y de cualquier otra plataforma en la que se haya usado la misma clave o una muy similar. Esta medida, aunque básica, corta de raíz buena parte de los intentos de acceso que se basan en datos antiguos.
De forma complementaria, se recomienda activar la autenticación de doble factor (2FA o MFA) siempre que sea posible. De este modo, aunque un atacante disponga de usuario y contraseña, tendrá más difícil iniciar sesión sin el código adicional enviado al móvil, generado por una app de autenticación o almacenado en una llave física.
Los expertos también subrayan la utilidad de utilizar gestores de contraseñas para generar y almacenar claves complejas y únicas para cada servicio. Estas herramientas reducen la tentación de repetir la misma contraseña una y otra vez, uno de los hábitos que más facilitan el trabajo a los ciberdelincuentes cuando circulan grandes colecciones de credenciales robadas.
Otra recomendación práctica pasa por revisar los permisos concedidos a aplicaciones de terceros que se conectan a cuentas de Google, Apple, redes sociales u otros servicios. Revocar el acceso a apps que ya no se utilizan y limitar los permisos a lo estrictamente necesario ayuda a reducir el impacto en caso de que una credencial comprometida dé acceso a más información de la deseada.
Por último, los especialistas insisten en mantener sistemas operativos, navegadores y antivirus actualizados en todos los dispositivos, así como en extremar las precauciones ante correos o mensajes que pidan datos personales o financieros. Comprobar la dirección del remitente, desconfiar de solicitudes urgentes y acceder siempre a los servicios escribiendo la URL manualmente son pequeñas rutinas que contribuyen a minimizar riesgos.
Este incidente, con una base de datos desprotegida que reunía 149 millones de credenciales de acceso de servicios tan diversos como Facebook, Gmail, iCloud, TikTok, Netflix o Binance, vuelve a poner sobre la mesa la fragilidad de la seguridad digital cuando se descuidan las medidas básicas. Aunque el repositorio ya ha sido retirado y siguen existiendo dudas sobre su origen exacto, la posibilidad de que copias de esos datos sigan circulando obliga a los usuarios europeos y españoles a tomarse en serio la protección de sus cuentas: actualizar contraseñas, activar doble factor, revisar permisos y mantener una actitud vigilante puede marcar la diferencia entre seguir con la vida online con normalidad o convertirse en víctima de un fraude difícil de revertir.
