- Una base de datos pública llegó a reunir 149 millones de credenciales de acceso, con 48 millones de cuentas de Gmail, 17 millones de Facebook y miles de OnlyFans y Binance.
- Los datos procedían probablemente de malware roba‑contraseñas y estaban organizados para su consulta por ciberdelincuentes, incluyendo accesos a servicios gubernamentales, bancarios y de streaming.
- El investigador Jeremiah Fowler descubrió la base, alojada en una filial en Canadá, y logró que el proveedor la eliminara por violar sus términos de servicio.
- La filtración evidencia el riesgo global —también para usuarios en España y Europa— de reutilizar contraseñas y no activar medidas como la autenticación en dos pasos.
Una enorme base de datos accesible desde cualquier navegador web llegó a almacenar 149 millones de combinaciones de nombres de usuario y contraseñas de todo tipo de servicios online, desde correos electrónicos hasta redes sociales y plataformas financieras. Entre los registros figuraban, de forma destacada, 48 millones de cuentas de Gmail, 17 millones de Facebook y miles de accesos a OnlyFans y Binance, lo que ha disparado las alertas de seguridad a escala global, también en España y el resto de Europa.
El archivo, que permaneció expuesto durante semanas, fue localizado por el analista de seguridad Jeremiah Fowler, quien comprobó que cualquiera podía consultar los datos sin autenticación ni cifrado. Tras un proceso de avisos al proveedor de alojamiento, la base de datos fue finalmente eliminada por incumplir las condiciones de uso del servicio, pero el incidente deja tras de sí un serio aviso sobre cómo se están recolectando y comerciando nuestras credenciales en la red.
Una base de datos con 149 millones de contraseñas a la vista
Según el relato de Fowler, la base de datos albergaba 149 millones de pares de usuario y contraseña procedentes de múltiples servicios. El volumen más llamativo correspondía a 48 millones de accesos de Gmail, un servicio que acostumbra a centralizar comunicaciones personales, laborales y notificaciones bancarias. A ello se sumaban 17 millones de credenciales de Facebook y alrededor de 100.000 de OnlyFans, una plataforma donde, además, suele manejarse contenido sensible y pagos recurrentes.
El repositorio también incluía algo más de 420.000 accesos vinculados a Binance, una de las principales plataformas de criptomonedas, así como miles de cuentas de otros servicios financieros, bancarios y de tarjetas de crédito. El alcance de la filtración iba más allá del ocio digital: Fowler detectó credenciales de sistemas gubernamentales de varios países y cuentas institucionales y académicas, un material especialmente valioso para campañas de espionaje, fraude a gran escala o ataques dirigidos.
En el listado figuraban, además, millones de accesos a otros proveedores de correo: aproximadamente 4 millones de cuentas Yahoo, 1,5 millones de Microsoft Outlook, cerca de 900.000 de iCloud y en torno a 1,4 millones de correos académicos o de organizaciones. Tampoco faltaban servicios de entretenimiento: se localizaron unos 3,4 millones de inicios de sesión de Netflix y cientos de miles vinculados a TikTok, todos accesibles como si se tratara de un buscador más.
El archivo estaba alojado en un servidor de una empresa global de alojamiento que opera mediante filiales regionales; en este caso, un proveedor asociado en Canadá. Fowler prefiere no revelar el nombre de la compañía matriz, pero sí explica que, durante el tiempo que tardó en lograr respuesta, la base no dejó de crecer, incorporando nuevos registros día tras día, como si se alimentara de forma automática.
Malware roba‑contraseñas y una “lista de deseos” para delincuentes
A falta de un responsable identificado, todo apunta a que las credenciales se obtuvieron mediante malware especializado en robar información. Este tipo de programas maliciosos se instala de forma silenciosa en ordenadores y móviles —por ejemplo, a través de descargas fraudulentas, adjuntos maliciosos o webs comprometidas— y se dedica a registrar lo que el usuario teclea (keylogging) o a extraer directamente contraseñas guardadas en el navegador.
Fowler destaca que la estructura de la base de datos era especialmente reveladora: cada registro aparecía etiquetado con un identificador único que no se repetía, y el sistema parecía estar diseñado para clasificar y buscar grandes volúmenes de información de manera muy eficiente. Todo indica que no se trataba de un simple volcado caótico, sino de un repositorio organizado para que terceros pudieran localizar rápidamente un tipo de credencial concreto.
En palabras del investigador, el archivo se asemejaba a “la lista de deseos soñada por cualquier ciberdelincuente”, por la mezcla de accesos a organismos públicos, bancos, plataformas de pagos, redes sociales y servicios de streaming. Este mosaico de datos permite, por ejemplo, construir perfiles detallados de víctimas, lanzar campañas de phishing dirigidas o vaciar cuentas si las contraseñas se reutilizan en servicios financieros.
Expertos en inteligencia de amenazas como Allan Liska, de Recorded Future, llevan tiempo alertando de que los ladrones de información han bajado drásticamente la barrera de entrada al cibercrimen. Hoy, un aspirante a delincuente puede alquilar infraestructura de malware por unos 200 o 300 dólares al mes y acceder así a cientos de miles de credenciales nuevas cada mes, listas para ser probadas de forma masiva en todo tipo de servicios.
Este modelo de negocio explica por qué aparecen constantemente bases de datos enormes, mal configuradas y expuestas al público: son el resultado de campañas automatizadas que recolectan contraseñas sin descanso, muchas veces administradas por intermediarios que luego revenden el acceso por lotes según el valor del servicio comprometido (bancario, empresa concreta, sector público, etc.).
Impacto para usuarios en España y Europa
Aunque la base de datos contenía información de múltiples regiones, las plataformas afectadas —Gmail, Facebook, OnlyFans, TikTok, Netflix o Binance— tienen una enorme penetración entre usuarios españoles y europeos. Eso hace muy probable que un número significativo de ciudadanos en la UE también figure entre las credenciales recopiladas, incluso aunque sus datos concretos no se hayan hecho públicos.
Para cualquier persona que utilice estos servicios, el riesgo principal es claro: accesos no autorizados, robo de identidad y fraudes financieros. Si una misma contraseña se emplea tanto en el correo personal como en redes sociales o en la banca online, basta con que uno de esos servicios se vea comprometido para que un atacante pruebe la misma combinación en cascada en otros portales, a menudo con éxito.
En el caso europeo, además, entra en juego el marco legal: el Reglamento General de Protección de Datos (RGPD) obliga a las empresas a proteger adecuadamente la información personal y a notificar brechas relevantes. Sin embargo, la filtración descubierta por Fowler no proviene de una sola empresa víctima, sino de la agregación clandestina de fugas, malware y prácticas ilícitas, algo mucho más difícil de controlar desde la normativa tradicional.
Organismos como el INCIBE en España y las agencias nacionales de ciberseguridad de otros países europeos llevan tiempo advirtiendo de que la reutilización de contraseñas es uno de los grandes talones de Aquiles de la ciudadanía digital. Estudios recientes sitúan por encima del 60 % el porcentaje de usuarios españoles que repiten clave en varios servicios, lo que multiplica el impacto de filtraciones masivas como esta de 149 millones de credenciales.
Para empresas y administraciones públicas europeas, el incidente también sirve de recordatorio: casos como la filtración en PcComponentes muestran que los empleados son una puerta de entrada habitual a sistemas internos. Si un trabajador utiliza la misma contraseña en un portal personal comprometido y en la intranet corporativa, un atacante podría aprovechar estas bases de datos expuestas para pivotar hacia redes críticas, con consecuencias mucho más graves que el simple robo de una cuenta individual.
Cómo saber si tus cuentas pueden estar afectadas
Aunque la base de datos localizada por Fowler ya no es accesible, no hay garantía de que copias completas o parciales no sigan circulando por foros o mercados clandestinos. Por ello, conviene adoptar una actitud proactiva y comprobar si nuestras cuentas han aparecido en alguna filtración conocida.
Existen distintas herramientas en línea —algunas gestionadas por expertos independientes, otras impulsadas por organismos oficiales— que permiten introducir una dirección de correo y verificar si ha formado parte de brechas públicas anteriores. Este tipo de servicios, que consultan repositorios de datos filtrados, ayudan a saber si un email concreto se ha visto comprometido en alguna ocasión, aunque no siempre revelan la contraseña asociada.
Si tu dirección aparece en esos listados, lo prudente es asumir que las credenciales vinculadas a ese correo han sido, o podrían ser, conocidas por terceros. No basta con cambiar la clave en un solo servicio: conviene revisar todas las plataformas donde se utilice la misma combinación o variaciones similares, especialmente si están conectadas con datos bancarios, laborales o información especialmente sensible.
Además de estas comprobaciones, resulta imprescindible revisar la actividad reciente en tus cuentas. Muchos servicios ofrecen historiales de accesos o registros de dispositivos conectados: si detectas ubicaciones extrañas, inicios de sesión desde países donde nunca has estado o dispositivos desconocidos, es señal de que alguien podría haber entrado ya con tus credenciales.
En esos casos, el siguiente paso es cerrar todas las sesiones abiertas, cambiar inmediatamente la contraseña y activar, si no lo has hecho, sistemas de verificación adicional. Si la cuenta está asociada a medios de pago o información financiera, merece la pena dar un aviso al banco o proveedor correspondiente y vigilar movimientos irregulares durante las semanas posteriores.
Medidas clave para reforzar tu seguridad digital
Más allá de esta filtración concreta, el incidente de los 149 millones de credenciales deja claro que las contraseñas siguen siendo la primera línea de defensa, pero también una de las más frágiles si no se gestionan correctamente. Adoptar ciertos hábitos puede marcar la diferencia entre convertirse en víctima o pasar desapercibido para los atacantes.
La recomendación más repetida por los especialistas es clara: utilizar contraseñas únicas, largas y complejas para cada servicio. Esto implica combinar mayúsculas, minúsculas, números y símbolos, y evitar referencias evidentes como fechas de nacimiento, nombres de familiares, equipos de fútbol o palabras del diccionario. Una buena estrategia, cada vez más promovida, es usar frases de paso: combinaciones de varias palabras aparentemente sin relación, salpicadas con números o caracteres especiales.
Como recordar decenas de claves fuertes es prácticamente imposible, lo razonable es recurrir a gestores de contraseñas. Estas aplicaciones funcionan como una bóveda cifrada donde guardas todas tus credenciales y sólo necesitas memorizar una clave maestra. Muchos de estos gestores se integran con navegadores y móviles, rellenando automáticamente los formularios de inicio de sesión y generando contraseñas nuevas cuando creas cuentas.
Otra capa de protección casi imprescindible hoy es la autenticación en dos factores (2FA). Con este sistema, además de la contraseña, el servicio te pide un segundo elemento: un código temporal enviado por SMS, generado por una app de autenticación o, en algunos casos, una llave física. Aunque alguien consiguiera tu contraseña desde una base de datos filtrada, sin ese segundo factor lo tendrá mucho más difícil para entrar.
Por último, conviene adoptar una higiene digital básica: actualizar sistemas operativos y apps, desconfiar de enlaces y archivos sospechosos y evitar introducir credenciales en redes Wi‑Fi públicas para operaciones sensibles. Muchas infecciones de malware roba‑contraseñas comienzan con un simple clic en un correo fraudulento o una descarga aparentemente inocente, por lo que mantener la guardia alta sigue siendo una de las mejores defensas.
Los datos expuestos en esta gigantesca base de 149 millones de contraseñas ilustran que la amenaza no es teórica, sino muy real y en constante crecimiento. Aunque en este caso el servidor se haya desconectado, los ciberdelincuentes continúan recopilando, cruzando y explotando credenciales a escala global. Tanto en España como en el resto de Europa, asumir que nuestras cuentas pueden estar en el punto de mira y actuar en consecuencia —con contraseñas únicas, autenticación reforzada y una mayor prudencia— es ya una parte imprescindible de la vida digital cotidiana.
