Una base de datos expuso 149 millones de contraseñas de Gmail, Facebook, OnlyFans y más

Una base de datos que contenía 149 millones de nombres de usuario y contraseñas de cuentas, incluidos 48 millones de Gmail, 17 millones de Facebook y 420,000 de la plataforma de criptomonedas Binance, ha sido eliminada después de que un investigador informara al proveedor de alojamiento.

Jeremiah Fowler, el veterano analista de seguridad que descubrió la base de datos, no pudo encontrar indicios de quién era el propietario o quién la gestionaba, por lo que se puso manos a la obra para notificárselo al proveedor de alojamiento, que retiró el archivo porque infringía un acuerdo de términos de servicio.

Qué se encontró

Además de direcciones de correo electrónico y nombres de usuario de redes sociales de varias plataformas, Fowler también observó credenciales de sistemas gubernamentales de varios países, así como de cuentas bancarias y tarjetas de crédito y de plataformas de streaming. Se sospecha que la base de datos se creó mediante malware de robo de información que infecta dispositivos y luego utiliza técnicas como el keylogging (captura de teclado) para registrar la información que las víctimas introducen en sitios web.

Mientras intentaba ponerse en contacto con el servicio de alojamiento en el transcurso de un mes, Fowler afirma que la base de datos siguió creciendo, acumulando inicios de sesión adicionales para una serie de servicios. No va a nombrar al proveedor, porque se trata de una empresa de alojamiento global que contrata a empresas regionales independientes para ampliar su alcance. La base de datos estaba alojada en una de estas filiales en Canadá.

«Es como ‘la lista de deseos soñada por los delincuentes’, porque hay muchos tipos de credenciales. Un ladrón de información sería lo más lógico. La base de datos tenía un formato pensado para indexar grandes registros, como si quien la hubiera creado esperara recopilar cuanto se pudiera. Había toneladas de inicios de sesión gubernamentales de muchos países», explica Fowler a WIRED.

Además de los 48 millones de cuentas de Gmail, también contenía unos 4 millones de Yahoo, 1.5 millones de Microsoft Outlook, 900,000 de iCloud de Apple y 1.4 millones de cuentas académicas e institucionales. También había unos 780,000 inicios de sesión para TikTok, 100,000 para OnlyFans y 3.4 millones para Netflix. Los datos eran de acceso público y se podían buscar con un simple navegador web.

Los datos tuyos, míos… de todos

«Lo más interesante era que el sistema parecía clasificar automáticamente cada registro con un identificador, y estos eran identificadores únicos que no volvían a aparecer. Todo indicaba que el sistema organizaba los datos automáticamente para facilitar la búsqueda», refiere Fowler.

Aunque Fowler no determinó quién poseía o utilizaba la información y con qué propósito, dicha estructura tendría sentido si los datos fueran consultados por clientes cibercriminales que pagan por diferentes subconjuntos de la información en función de sus estafas.

Existe un flujo aparentemente infinito de bases de datos en línea, erróneamente inseguras y de acceso público, que exponen información confidencial a cualquier persona. Pero a medida que los corredores de datos y los ciberdelincuentes acumulan cada vez más, el riesgo de posibles filtraciones no hace más que crecer. Y el malware que roba información ha agravado el problema al hacer más fácil para los hackers la recopilación automatizada de credenciales de inicio de sesión y otros datos confidenciales.

«Los ladrones de información crean una barrera de entrada muy baja para los nuevos delincuentes», afirma Allan Liska, analista de inteligencia de amenazas de la empresa de seguridad Recorded Future. «Hemos visto que alquilar una infraestructura popular cuesta entre 200 y 300 dólares al mes, es decir, por menos de lo que cuesta un préstamo de auto, los hackers podrían obtener acceso a cientos de miles de nuevos nombres de usuario y contraseñas al mes».

Artículo originalmente publicado en WIRED. Adaptado por Alondra Flores.