Investigadores de Cybernews descubrieron un servidor Elasticsearch abierto con 8,3 terabytes de credenciales robadas - aproximadamente 24.000 millones de registros procedentes de 36 fuentes distintas. El conjunto de datos, hallado a finales de junio de 2026, combina registros recientes de infostealers, canales de Telegram que comercian con datos de tarjetas robadas y exportaciones directas de bases de datos corporativas comprometidas. Una parte significativa de los registros provenia de servidores activos en el momento de la recopilacion. Credenciales de cuentas VPN, pares de inicio de sesion SaaS y contrasenas bancarias aparecen en todo el conjunto de datos.
Que se encontro y de donde proviene
El malware infostealer es una categoria de software que extrae silenciosamente contrasenas guardadas en el navegador, cookies de sesion, datos de autocompletado y archivos de monederos de criptomonedas de maquinas infectadas. Una vez instalado - tipicamente a traves de correos de phishing, software pirateado o extensiones de navegador maliciosas - un infostealer transmite todo lo que encuentra a un servidor de mando y control en cuestion de segundos. El operador vende los registros resultantes en canales de Telegram o mercados de la dark web.
El conjunto de datos de Cybernews agrega 36 de estas fuentes en un indice unico y consultable. La cifra de 24.000 millones incluye duplicados, pero los investigadores identificaron una parte sustancial de pares de credenciales unicos - direcciones de correo electronico emparejadas con contrasenas en texto claro o con hashes debiles. La presencia de exportaciones de servidores activos sugiere que parte de los datos eran actuales en el momento de la indexacion.
Por que los datos de infostealers son mas peligrosos que las brechas estandar
En una brecha de datos convencional, los atacantes roban la base de datos de una empresa. Esas credenciales suelen estar hasheadas, pueden tener meses o anos de antiguedad y representan lo que los usuarios ingresaron al registrarse. El grupo ShinyHunters expuso 455.000 registros de estudiantes de la Universidad de Nottingham mediante este modelo - nombres, correos y contrasenas hasheadas de una sola institucion.
Los datos de infostealers funcionan de forma diferente. El malware captura las contrasenas mientras se escriben o se recuperan del almacen de contrasenas del navegador. El resultado es un par usuario-contrasena en texto claro, actualizado a la fecha de la infeccion. No hay ningun hash que descifrar. El incidente Fortibleed expuso 86.000 credenciales VPN de Fortinet en texto claro mediante un mecanismo similar: compromiso del dispositivo en lugar de robo de base de datos.
Esto significa que incluso si siempre has usado contrasenas fuertes y unicas, una infeccion por infostealer en cualquiera de tus dispositivos puede exponer todas las credenciales almacenadas en tu navegador en ese momento. La solidez de la contrasena es irrelevante si se captura antes de que se produzca cualquier cifrado.
Como comprobar si tus credenciales estan en el conjunto de datos
Varios servicios permiten comprobar si tu direccion de correo electronico o contrasenas especificas han aparecido en bases de datos de brechas conocidas. Ninguno de estos servicios requiere que ingreses tu contrasena real: todos utilizan tecnicas criptograficas para verificar solo contra versiones hasheadas.
- Have I Been Pwned: El servicio gratuito mas consolidado. Introduce tu correo para ver en que brechas aparecio, o comprueba contrasenas individuales mediante hashing k-anonimato, sin que tu contrasena completa se transmita. El sitio ahora tiene una categoria especifica "Stealer Logs" para credenciales de infostealers.
- Cybernews Personal Data Leak Checker: Gestionado por los mismos investigadores que encontraron este conjunto de datos. Comprueba tu correo contra su propia base de datos acumulada de registros filtrados, incluido el conjunto de 24.000 millones de registros descrito en este articulo.
- Firefox Monitor: El servicio gratuito de Mozilla, impulsado por datos de Have I Been Pwned. Ofrece seguimiento continuo: te alerta por correo electronico si tu direccion aparece en futuras brechas.
- Google Password Checkup: Si guardas contrasenas en Chrome, Google las compara con pares de credenciales comprometidas conocidas y te avisa de coincidencias en la seccion de Comprobacion de seguridad. Tus contrasenas en texto plano no se envian a los servidores de Google.
Que hacer si se encuentran tus datos
Si alguno de los servicios anteriores muestra una coincidencia con tu correo o contrasenas, la respuesta debe ser inmediata y sistematica:
- Cambia la contrasena expuesta de inmediato en el servicio afectado. Si usaste la misma contrasena en otros sitios, cambiala en todos ellos.
- Activa la autenticacion de dos factores (2FA) en todas las cuentas que la soporten. Aunque un atacante tenga tu contrasena correcta, un codigo TOTP o una clave de hardware impide el acceso. Las aplicaciones de autenticacion (Google Authenticator, Authy, Aegis) son mas solidas que la 2FA por SMS.
- Adopta un gestor de contrasenas que genere contrasenas unicas y aleatorias para cada servicio. Si no reutilizas contrasenas, una sola compromission queda contenida en una cuenta. Bitwarden, 1Password y KeePassXC son opciones consolidadas.
- Comprueba tus dispositivos en busca de infecciones de infostealers. Si una contrasena fue capturada por malware y no robada de una base de datos, cambiar la contrasena no elimina el malware. Realiza un analisis completo con un antivirus actualizado.
- Revoca las sesiones activas en cuentas criticas (correo, banca, almacenamiento en la nube). La mayoria de las plataformas ofrecen la opcion "Cerrar sesion en todos los otros dispositivos" en la configuracion de seguridad.
Lo que realmente protege tus cuentas
Una VPN cifra tu trafico de Internet y previene la interceptacion a nivel de red. No protege contra el malware infostealer, que opera completamente en tu dispositivo antes de que los datos lleguen a la red. La brecha de Carnival Cruises expuso datos de pasaportes de 6 millones de viajeros mediante un compromiso del lado del servidor - un vector de ataque diferente, pero con las mismas consecuencias practicas para las victimas.
La defensa multicapa mas efectiva contra el robo de credenciales combina: un gestor de contrasenas que genera credenciales unicas por servicio, 2FA de hardware o aplicacion en cada cuenta que la soporte, y verificaciones periodicas en bases de datos de brechas. Una VPN anade proteccion a nivel de red, pero no puede compensar contrasenas reutilizadas ni dispositivos infectados.