Una falla grave en la protección de datos digitales terminó convirtiéndose en una bomba de tiempo para millones de personas en todo el mundo. Más de 140 millones de cuentas quedaron vulnerables luego de que una enorme base de datos con información privada estuviera disponible en Internet sin ningún tipo de bloqueo.
(Ver también: Riesgo para ciertos usuarios de Apple, Google, Facebook y más: les publicaron contraseñas)
El episodio fue detectado por el analista de ciberseguridad Jeremiah Fowler, quien se topó con un archivo de tamaño descomunal —casi 100 gigabytes de información sensible— que podía ser consultado libremente por cualquiera que supiera dónde buscar.
Al revisar el contenido, el experto encontró casi 150 millones de combinaciones de usuario y contraseña, junto con correos electrónicos, enlaces directos de acceso y otros datos que facilitaban el ingreso inmediato a cuentas personales.
El problema no fue menor: la base no contaba con cifrado, ni contraseña, ni mecanismos mínimos de seguridad. En otras palabras, era una puerta abierta a la suplantación de identidad y al fraude digital.
Para Fowler, este tipo de exposiciones dejan en evidencia una amenaza silenciosa que sigue creciendo. Los datos robados, explicó, suelen almacenarse en servidores en la nube y quedan expuestos incluso para otros delincuentes informáticos.
El alcance del incidente fue tan amplio como preocupante. Entre los registros aparecieron accesos a Facebook, Instagram, TikTok y X, además de aplicaciones de citas y servicios de contenido exclusivo, tanto de usuarios comunes como de creadores.
Pero el riesgo fue más allá del entretenimiento. También se identificaron credenciales de plataformas de ‘streaming’, videojuegos en línea y, lo más delicado, servicios financieros, incluyendo billeteras de criptomonedas, plataformas de inversión y datos asociados a cuentas bancarias.
Las estimaciones dan cuenta del tamaño del golpe: decenas de millones de correos electrónicos comprometidos, encabezados por Gmail, junto a cuentas de Yahoo, Outlook e iCloud. A esto se suman millones de perfiles en redes sociales y miles de accesos a plataformas de pago digital.
Uno de los hallazgos que más preocupación generó fue la aparición de cuentas vinculadas a entidades gubernamentales de distintos países. Aunque no todas darían acceso a sistemas críticos, los expertos advierten que incluso un permiso limitado puede ser suficiente para ejecutar ataques dirigidos o engaños sofisticados.
Este tipo de información podría ser utilizada para ‘phishing’ selectivo, espionaje digital o accesos no autorizados a redes oficiales, elevando el riesgo no solo para usuarios individuales, sino también para instituciones públicas.
El investigador intentó identificar al responsable de la base de datos, pero no encontró rastros claros sobre su origen. Ante la imposibilidad de contactar a un propietario, decidió reportar la situación al proveedor de alojamiento.
El proceso fue lento. Tras varias semanas de insistencia y respuestas parciales, finalmente el servidor fue desactivado y el acceso a las credenciales quedó bloqueado. Sin embargo, no se confirmó quién recopiló la información ni si fue utilizada con fines criminales.
Tampoco hay claridad sobre cuánto tiempo estuvo expuesta la base ni cuántas personas pudieron descargar los datos antes de que se cerrara el acceso.
El análisis técnico apunta a que la información habría sido obtenida mediante programas maliciosos diseñados para robar datos, conocidos como ‘infostealers’. Este tipo de software se instala sin que el usuario lo note y registra pulsaciones de teclado, contraseñas y actividad sensible.
A diferencia de otros casos, esta base incluía detalles técnicos que permitían organizar la información por dispositivo y origen, lo que refuerza la hipótesis de una recolección masiva y sistemática.
(Ver también: “Por necesidad”: ciudadanos ponen el ojo y venden sus datos por dinero para Navidad)
Para los expertos, este episodio deja una advertencia clara: un solo descuido en seguridad puede exponer la vida digital de millones de personas, incluso sin que estas lo sepan.
* Pulzo.com se escribe con Z
LO ÚLTIMO
.svg)
