Seguridad digital · Global · Brechas

24.000 millones de credenciales al descubierto: lo que un volcado gigante revela sobre la economía de los infostealers

Investigadores de Cybernews hallaron en junio una base de datos abierta con 24.000 millones de registros y 8,3 TB, en su mayoría registros de programas que roban contraseñas. El número impresiona, pero el dato fino es otro: se desconoce cuántos son duplicados y cuántas personas únicas hay detrás, y el dueño resultó ser una empresa de seguridad que la dejó expuesta por una mala configuración.

Por Juan D. Gonzáles Datos y visualizaciones 9 min de lectura Publicado 20 de junio de 2026

infostealers credenciales Cybernews Elasticsearch filtración MFA robo de contraseñas Telegram RedLine ciberseguridad

El hallazgo

La cifra es de las que se leen dos veces. Investigadores de Cybernews hallaron el 12 de junio de 2026 un clúster de Elasticsearch accesible públicamente con 24.000 millones de registros y más de 8,3 terabytes de datos, que describieron como probablemente una de las mayores bases de datos jamás expuestas. El clúster quedó fuera de línea hacia el 15 de junio, y los investigadores afirmaron haber comprobado el recuento por triplicado.

La mayoría de los registros parecían ser logs de infostealers: nombres de usuario, correos, contraseñas en texto plano y las URL de inicio de sesión a las que correspondían esas credenciales. Ese último detalle es el que convierte un listado en un mapa: los registros incluían la dirección exacta del servicio que cada credencial debía abrir, lo que entrega a un atacante una hoja de ruta explícita.

Qué había dentro

El interior del volcado dice más que su tamaño. Cybernews atribuyó los 24.000 millones de registros a 36 fuentes: alrededor de 1.700 millones procedían de canales de Telegram ligados al cibercrimen, en inglés y ruso, y unos 22.600 millones aparecían bajo una etiqueta llamada “colecciones” que no pudo investigarse a fondo antes de que la base se cerrara. Entre los datos los investigadores encontraron un subconjunto inusual: cerca de 17.000 registros con identificadores de vulnerabilidades (CVE) y enlaces a repositorios de GitHub, y más de 5.200 con artículos de prensa sobre brechas recientes, uno de ellos de febrero de 2026. Esa mezcla sugiere que quien mantenía la base seguía de cerca la actualidad de la seguridad para mantenerla al día.

El giro: no era el botín de un criminal

Aquí es donde el titular pide un matiz, y el matiz es la noticia. Después de publicar el hallazgo, Cybernews supo que la base pertenecía a una plataforma de inteligencia de amenazas y monitoreo de filtraciones, usada para detectar riesgos que afectan a sus clientes, y que los datos quedaron expuestos por una mala configuración durante una migración temporal. El mismo material que en manos de un defensor sirve para avisar a una víctima, en manos de un atacante sirve para hallar el siguiente objetivo. Los propios investigadores resumieron esa ambivalencia: una empresa puede acumular estos datos para un servicio de monitoreo, y un actor malicioso puede acumularlos para descubrir nuevas vías de ataque.

La economía de los infostealers

El volcado es un síntoma de un mercado, no un accidente aislado. Un log de infostealer de un solo equipo infectado puede incluir las contraseñas guardadas en todos los navegadores, las cookies y tokens de sesión activos —incluidos los que permiten saltarse la verificación en dos pasos—, datos de autocompletado, huellas del dispositivo y, a veces, billeteras de criptomonedas. Programas como RedLine operan como malware como servicio, lo que permite que atacantes poco cualificados participen en el negocio. Estos programas se propagan a través de anuncios maliciosos, falsas actualizaciones de navegador, descargas de un clic, técnicas de ingeniería social como ClickFix, software pirateado y extensiones dudosas.

Por qué el tamaño no es el dato más importante

Para un diario de datos, la tentación es titular con el número grande; la honestidad obliga a desinflarlo un poco. Cybernews no pudo confirmar cuántos registros eran duplicados ni cuántas personas únicas estaban afectadas, porque la base se retiró poco después del hallazgo. Veinticuatro mil millones de registros no equivalen a veinticuatro mil millones de víctimas: muchas credenciales se repiten, se recombinan y reaparecen entre colecciones. El volcado se sitúa en la misma liga que la llamada “mother of all breaches” de 2024, pero pesa más hacia logs frescos de infostealers que hacia brechas antiguas y estáticas. El riesgo real no es la magnitud abstracta, sino una práctica concreta: la reutilización de contraseñas en cuentas sin verificación en dos pasos.

Qué hacer con esto

La defensa es poco glamorosa y eficaz. Los investigadores insistieron en que miles de millones de cuentas quedan en riesgo de secuestro si no están protegidas con verificación en dos pasos, y recomendaron revisar la exposición de los propios datos y cambiar las contraseñas reutilizadas. A escala individual, la receta es conocida: contraseñas únicas, gestor de contraseñas, verificación en dos pasos y desconfianza de los anuncios y descargas que abren la puerta a la infección. A escala de organización, el caso deja una lección incómoda: una base pensada para defender se volvió, por una migración mal asegurada, una filtración más. La higiene de la configuración importa tanto como la del usuario.

Seguir leyendo

Seguridad digital · Educación · Datos

La mayor brecha educativa de la historia: 275 millones de usuarios de Canvas y la decisión de pagar el rescate

12 jun 2026 · 13 min

Seguridad digital · Global · Análisis

Tres horas y cuarenta y cuatro minutos: la ventana entre que se anuncia un fallo de IA y el primer ataque, y por qué el regulador dice que el futuro ya llegó

23 may 2026 · 12 min

Datos · América Latina · Ciberseguridad

América Latina es de las regiones más atacadas del mundo en el ciberespacio, y casi siempre refuerza sus defensas después del golpe

22 may 2026 · 11 min

← Más análisis Inicio