Varios medios de comunicación han informado sobre una supuesta filtración masiva de 183 millones de contraseñas del “Gmail” y de otros proveedores. Lamentablemente, los titulares no siempre dejan claro qué es lo que realmente se debe saber sobre este nuevo paquete de credenciales.

A primera vista, podría parecer que el archivo contiene contraseñas para acceder a cuentas de correo electrónico, o incluso que los propios proveedores —como Google y Microsoft— sufrieron un ciberataque que puso en riesgo los datos de sus usuarios.

Sin embargo, ninguna de esas suposiciones es cierta. De hecho, Google envió un comunicado a los medios negando cualquier violación de sus sistemas.

A continuación, los puntos principales que ayudan a entender este episodio: el origen, qué fue robado y el contexto de la información.

El origen de los datos: stealers

Las contraseñas no fueron expuestas a través de una base de datos ni de otro tipo de intrusión. En sentido estricto, por tanto, no se trata de una “filtración”, aunque el término sea habitual en este tipo de situaciones.

En realidad, el archivo es una recopilación de credenciales expuestas dentro del ecosistema de los infostealers. Ya hemos explicado en detalle cómo este tipo de malware puede recopilar información diversa cuando se ejecuta en un dispositivo.

Como existe una amplia infraestructura criminal detrás de las operaciones de los stealers, miles de credenciales son capturadas diariamente en sistemas comprometidos y expuestas. Sin embargo, muchas de ellas se difunden inicialmente solo en canales específicos y restringidos.

Con el tiempo, estas credenciales robadas se van propagando por distintos espacios del cibercrimen. En determinado momento, llegan a recopilaciones públicas creadas por delincuentes que buscan ganar reputación o notoriedad.

No obstante, el riesgo para la persona afectada por un stealer comienza en el momento en que la credencial es robada por primera vez. Cuando los datos aparecen en este tipo de recopilaciones públicas, las contraseñas suelen ser antiguas.

¿Qué fue robado?

Los stealers roban todo tipo de credenciales. Por tanto, las credenciales expuestas no están asociadas únicamente a cuentas de correo electrónico, sino también a una gran variedad de sitios y plataformas que utilizan direcciones de correo como nombre de usuario.

En otras palabras, el alcance es mucho más amplio que el de las cuentas de correo electrónico.

Por un lado, eso es positivo: las cuentas de correo pueden usarse para restablecer otras contraseñas, y por ello podrían servir como puerta de acceso indirecta a múltiples servicios.

Por otro lado, hay un aspecto negativo: los criminales obtienen acceso directo a otros tipos de sistemas, incluidos entornos que podrían contener datos corporativos, aunque sea de forma indirecta.

En cualquier caso, es importante entender que cambiar la contraseña del correo de forma preventiva no resolverá el problema.

Datos aún no contabilizados

Además de los datos provenientes de stealers, la recopilación también incluye credenciales obtenidas mediante credential stuffing. Ya hemos explicado este tema en profundidad.

En resumen, los delincuentes prueban credenciales expuestas en un servicio dentro de otro. Por ejemplo, un usuario y una contraseña filtrados de una red social pueden ser utilizados para intentar acceder a otra red social distinta.

Dado que muchos usuarios reutilizan sus contraseñas, este método permite descubrir combinaciones que fueron usadas más de una vez y aumentar así la utilidad de las credenciales robadas.

Los ataques de credential stuffing incrementan el volumen total de credenciales válidas. Sin embargo, como dependen de datos previamente expuestos, es muy probable que varios grupos encuentren la misma contraseña repetida, generando un volumen aún mayor de datos duplicados.

Aproximadamente el 90 % de los datos procedentes de stealers no son nuevos. Por tanto, es de esperar que esta otra parte del conjunto tenga una cantidad aún mayor de credenciales repetidas. No obstante, es posible que algunas estén asociadas a sitios nuevos, lo que significa que aún existe un riesgo residual que debe mitigarse.

Cabe recordar, además, que todas estas credenciales ya estaban en manos de los delincuentes desde al menos abril. El riesgo no está en el futuro.

Exposición de credenciales en 2025

En Axur monitoreamos diversos canales donde los delincuentes comparten credenciales expuestas. Saber si una credencial ha sido filtrada resulta útil para aclarar casos de accesos indebidos y para adoptar medidas preventivas.

Durante el último año, detectamos más de 177 mil millones de credenciales expuestas, de las cuales 6 mil millones eran nuevas. Las demás ya habían sido divulgadas anteriormente en la fecha en que fueron detectadas.

Esta “republicación” no significa que los criminales hayan vuelto a validar las credenciales ni que sepan si siguen siendo útiles. La explicación es más sencilla: reempacar datos antiguos es una práctica común entre los ciberdelincuentes y forma parte del proceso que lleva las credenciales robadas a espacios cada vez más públicos.

Aun así, no se puede asumir que las credenciales republicadas ya no representen ningún riesgo. Aunque el peligro principal haya pasado, todavía es posible que los atacantes encuentren nuevas formas de aprovechar esos datos o que surjan vulnerabilidades que permitan nuevos tipos de ataque.

El Informe Anual de Axur presentará estas y otras cifras sobre el panorama global de amenazas. Para ser de los primeros en acceder al contenido, únase a la Comunidad Axur y regístrese para recibir novedades sobre su lanzamiento.

Si desea saber más sobre las recopilaciones de credenciales y los riesgos que representan, consulte nuestro ebook sobre el tema.