Filtraron 200 millones de contraseñas: tu cuenta puede estar comprometida y no lo sabés

Gmail, Instagram, Apple y hasta servicios gubernamentales figuran entre las plataformas afectadas por una filtración masiva que dejó expuestos datos sensibles en internet sin ninguna protección.

PlayPauseStop

6 minutos de lectura

Un archivo de casi 50 GB fue encontrado en un servidor sin contraseña ni cifrado. Contenía accesos a servicios financieros, redes sociales, correos electrónicos y organismos públicos. La filtración, detectada por un experto en ciberseguridad, pone en alerta sobre la fragilidad de nuestras contraseñas y la urgencia de adoptar mejores prácticas digitales.

Cuerpo de la nota:

Si alguna vez dudaste de cuán seguras son tus contraseñas, este dato te va a dejar helado: cerca de 200 millones de claves de cuentas como Gmail, Instagram, Apple o incluso servicios gubernamentales quedaron expuestas en un servidor sin ninguna protección. Sí, leíste bien: cero protección.

El hallazgo fue realizado por Jeremiah Fowler, un especialista en ciberseguridad que detectó esta base de datos abierta, sin contraseña ni cifrado, como si alguien hubiera dejado la puerta de su casa abierta de par en par y con un cartel que diga “pasá nomás”.

El archivo pesaba cerca de 50 GB y estaba al alcance de cualquiera con conocimientos básicos. Contenía credenciales que usamos todos los días: accesos a redes sociales, mails, plataformas de compras, y lo más preocupante: información financiera y de organismos públicos.

Fowler actuó rápido y notificó al proveedor del hosting, que restringió el acceso a la base de datos. Pero el daño ya podría estar hecho: no hay forma de saber cuánto tiempo estuvo disponible ni si algún ciberdelincuente ya se la llevó.

¿Cómo pasó esto?

La filtración se dio porque el servidor estaba totalmente expuesto. No tenía ni contraseña ni ningún tipo de cifrado. Según los expertos, la información fue recopilada mediante un malware conocido como infostealer, que se infiltra en dispositivos a través de correos truchos o programas infectados. Una vez adentro, roba las claves guardadas en navegadores, correos y apps. Incluso puede llevarse los datos del autocompletado y hasta las billeteras de criptomonedas.

Con esta info en mano, los atacantes hacen lo que se llama credential stuffing: prueban combinaciones de usuarios y contraseñas filtradas en distintos servicios hasta que alguna funciona. Así, pueden suplantar tu identidad, hacer compras, vaciarte una cuenta bancaria o incluso lanzar campañas de phishing mucho más creíbles.

Y como si esto fuera poco, muchas personas todavía usan contraseñas como 123456, qwerty o elnombredeperro2020. En serio. Algunas claves “más seguras”, como Maria1992! o Sevilla2024, también se crackean en segundos con herramientas automáticas.

“Cada año se filtran 1.000 millones de datos personales”

La experta en ciberseguridad María Perado lo dice sin pelos en la lengua: “Cada año se filtran mil millones de datos personales, incluyendo correos, contraseñas y nombres de usuario.” Y lo más grave es que la mayoría de la gente ni sabe que su información está dando vueltas en la dark web.

Sitios como Have I Been Pwned permiten chequear si tus datos fueron parte de alguna filtración. Y te sorprenderías: mucha gente descubre que su clave fue filtrada en 2018… ¡y todavía la está usando!

¿Qué podés hacer ahora?

La solución no es compleja, pero sí requiere compromiso:

  • Usá contraseñas distintas para cada cuenta. Si te cuesta memorizarlas, usá un gestor de contraseñas.
  • Activá la verificación en dos pasos en todos los servicios que lo permitan.
  • Revisá si tus datos fueron filtrados en https://haveibeenpwned.com
  • Evitá usar fechas de nacimiento, nombres comunes o palabras del diccionario como contraseñas.

Porque al final, la verdadera pregunta no es si te van a intentar hackear, sino cuándo. Y ahí es donde conviene estar un paso adelante.