📱 Tutorial
24,000 millones de contraseñas filtradas: la verdad sobre el robo de datos que nadie quiere que sepas
Imaginate esto: alguien abre un archivo con 24 mil millones de contraseñas en texto plano, las tuyas probablemente incluidas, y cualquiera con una conexión a internet puede verlas. No es una película de hackers. Pasó en junio de 2026 y casi nadie te está advirtiendo de lo que realmente significa.
Un equipo de investigadores de Cybernews se topó con un servidor Elasticsearch completamente expuesto. Sin contraseña. Sin autenticación. 8.3 terabytes de datos con credenciales de todo el mundo: nombres de usuario, direcciones de email, contraseñas y las URLs exactas a las que daban acceso.
Lo peor: no es que las "hackearon". Los datos ya estaban ahí, al alcance de cualquiera. Y si creés que tu contraseña de "gato123" te salva, tengo malas noticias.
¿De dónde sacaron 24 mil millones de credenciales?
Los investigadores rastrearon el origen de los datos y encontraron algo inquietante: 36 fuentes distintas alimentaron esta base de datos. Pero la más alarmante es que más de 30 eran canales de Telegram dedicados al tráfico de credenciales robadas.
Más de 1.7 mil millones de registros salieron directamente de Telegram. Grupos públicos donde los cibercriminales comparten lotes de contraseñas como quien comparte memes. Y el resto provino de infostealers — programas maliciosos que se instalan en tu computadora y roban todo lo que escribís: contraseñas de Chrome, cookies de sesión, archivos del escritorio.
La economía del infostealer ya no es un mercado negro escondido. Es una industria. Según Recorded Future, en 2025 se robaron más de 2.1 mil millones de credenciales a través de infostealers. El 2026 va camino a romper ese récord.
¿Por qué esto es diferente a otras filtraciones?
Has oído de filtraciones antes. LinkedIn, Facebook, Marriott. Pero esta tiene tres características que la hacen exponencialmente más peligrosa:
1. Texto plano. No son hashes que los hackers tienen que romper. Son contraseñas en texto plano. "MiContraseña2024". Tal cual. No hay que descifrar nada.
2. URLs específicas. Cada credencial viene acompañada de la URL exacta del servicio al que pertenece. Los atacantes saben exactamente dónde usar cada par usuario-contraseña. Esto automatiza el credential stuffing.
3. La escala. 24 mil millones no es un número abstracto. Es aproximadamente tres veces la población mundial. Incluso si un porcentaje mínimo son únicas, el volumen hace que el ataque automatizado sea inevitable.
Ya hay reportes de credential stuffing masivo vinculado a estos datos. Los atacantes toman los pares usuario-contraseña y prueban en cientos de servicios diferentes. Si usaste la misma contraseña en Netflix que en tu banco, estás en la mira.
¿Cómo saber si tus datos están ahí?
No hay una forma única de verificar si tus credenciales están en este lote específico (la base de datos ya fue asegurada), pero hay señales de alerta:
- Intentos de inicio de sesión sospechosos desde ubicaciones que no reconocés
- Emails de "restablecimiento de contraseña" que no solicitaste
- Notificaciones de inicio de sesión en servicios que no usás hace meses
- Tu gestor de contraseñas te marca credenciales comprometidas
Usá haveibeenpwned.com para verificar si tu email apareció en filtraciones conocidas. No cubre esta base de datos específica, pero si tu email ya está en otras filtraciones, asumí que está en esta también.
Qué hacer AHORA para protegerte (guía práctica)
No entres en pánico. Entrá en acción. Estos cinco pasos te toman menos de 30 minutos y pueden salvar tus cuentas:
1. Cambiá todas tus contraseñas — pero con prioridad. Empezá por: banco, email principal, redes sociales, servicios de trabajo. Usá un gestor de contraseñas (Bitwarden es gratis y open-source). Cada cuenta debe tener una contraseña ÚNICA y generada aleatoriamente.
2. Activá 2FA en TODAS tus cuentas importantes. No el SMS (pueden interceptarlo). Usá apps de autenticación como Google Authenticator, Authy, o —mejor aún— llaves de seguridad físicas (YubiKey, NitroKey) para tus cuentas críticas. El 90% de los ataques de credential stuffing mueren cuando hay 2FA.
3. Revisá sesiones activas. La mayoría de servicios tienen una sección de "dispositivos conectados" o "sesiones activas". Revisá cada uno y cerrá sesión en los que no reconozcas. Gmail: tu cuenta → gestión de dispositivos. Facebook: configuración → seguridad e inicio de sesión.
4. Descargá un gestor de contraseñas HOY. No importa cuál: Bitwarden, 1Password, o el gestor integrado de tu navegador (pero preferí uno dedicado). El problema no es recordar contraseñas — es no tener que reusarlas.
5. Monitoreá tu correo electrónico. Creá alertas para palabras como "cambio de contraseña", "inicio de sesión desde", "nuevo dispositivo". Si recibís una notificación que no iniciaste, actuá de inmediato. No esperes.
El problema de fondo que nadie quiere admitir
Las empresas saben que esto pasa. Los infostealers llevan años siendo el método de ataque más infravalorado. Pero mientras no haya consecuencias legales reales para las compañías que almacenan contraseñas sin hash, sin 2FA obligatorio, sin protección básica, esto se va a repetir.
La base de datos de 24 mil millones de credenciales no es un accidente. Es el resultado de años de negligencia donde la seguridad es un "gasto" y no una prioridad.
Y mientras tanto, la responsabilidad recae en vos. En cada persona que tiene que adivinar si su contraseña de 2015 sigue siendo segura, si el email que llegó es legítimo, si el enlace que va a hacer clic es el correcto.
Eso tiene que cambiar. Pero hasta que cambie, seguí estos pasos y compartilos.
Compartí esto con alguien que todavía usa la misma contraseña para todo. No es exageración — 24 mil millones de razones para dejar de hacerlo.
¿Ya revisaste si tu email está en haveibeenpwned? ¿Cuántas de tus cuentas tienen 2FA activado? Dejalo en los comentarios.