ESET advierte sobre los riesgos de reutilizar contraseñas y no activar autenticación multifactor.
Una investigación reciente reveló la exposición temporal de una base de datos con 16 mil millones de registros en la dark web, que contenían combinaciones de usuario y contraseña para servicios como Google, Facebook, Apple, Meta, entre otros. La empresa de ciberseguridad ESET analizó el hallazgo y sus posibles consecuencias para los usuarios.
Según Cybernews, el conjunto de datos expuestos incluiría información obtenida a través de actividad reciente de malware infostealer, ataques de credential stuffing y filtraciones previas. Algunos sitios especializados, como Bleeping Computer, indicaron que se trataría de una compilación masiva de registros antiguos.
Un investigador reportó la existencia de 30 conjuntos de datos con formato URL | usuario | contraseña, lo que sugiere que provendrían de registros generados por infostealers. Estos programas suelen distribuirse mediante campañas de phishing, sitios de descargas fraudulentas o software pirateado, y se utilizan para robar credenciales, cookies de sesión o datos financieros.
“Suelen infiltrarse a través de campañas de phishing, sitios de descargas fraudulentas o software pirateado, y representan una de las principales herramientas del cibercrimen moderno para facilitar fraudes de identidad, robos de cuentas y estafas con criptomonedas”, comentó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Los datos expuestos podrían ser utilizados para:
- Credential stuffing: intentos automatizados de inicio de sesión con credenciales filtradas.
- Account Takeover (ATO): acceso no autorizado a cuentas mediante contraseñas o tokens válidos.
- Phishing dirigido: campañas personalizadas usando datos reales de los usuarios.
“Si bien este hallazgo no representa una amenaza nueva, sí pone en evidencia los riesgos de tener credenciales comprometidas”, agregó Gutiérrez Amaya.
Los servicios mencionados en los registros incluyen Google Workspace, Apple ID, Microsoft 365, Meta (Facebook, Instagram, WhatsApp), GitHub, Amazon, Netflix, así como plataformas bancarias, gubernamentales y educativas. No obstante, esto no implica que estos servicios hayan sido comprometidos directamente.
“Este tipo de eventos son un recordatorio de cómo nuestros datos una vez filtrados pueden impactar en nuestra vida digital, tiempo después de haber ocurrido”, señaló Gutiérrez Amaya.
Ante este escenario, ESET recomienda:
- Activar autenticación multifactor (MFA), evitando el uso de SMS como único factor.
- Adoptar passkeys cuando estén disponibles. Estas credenciales usan criptografía asimétrica y ya están integradas en servicios como Google, Apple ID, Microsoft, GitHub y navegadores como Chrome, Safari y Edge.
- Utilizar gestores de contraseñas que alerten sobre posibles compromisos de seguridad.
“La adopción de tecnologías como passkeys y MFA, junto con una gestión proactiva de credenciales, es esencial para reducir el riesgo de que nuestras cuentas sean comprometidas”, concluyó Gutiérrez Amaya.
Más información en el portal de noticias de ESET: welivesecurity.com. Además, la empresa invita a escuchar su pódcast Conexión Segura, disponible en Spotify.
