Mark Twain, cuyo nombre real era Samuel Langhorne Clemens, es conocido por sus ingeniosas y satíricas frases que han perdurado a través del tiempo. Aquí están algunas de sus frases más célebres:
«Cuando yo tenía catorce años, mi padre era tan ignorante que no podía soportarle. Pero cuando cumplí los veintiuno, me parecía increíble lo mucho que mi padre había aprendido en siete años»
«La única manera de conservar la salud es comer lo que no quieres, beber lo que no te gusta, y hacer lo que preferirías no hacer»
«Nunca discutas con gente estúpida, te arrastrarán a su nivel y entonces te ganarán con la experiencia»
«El cielo se gana por favores. Si fuera por méritos, usted se quedaría afuera y su perro entraría»
«El hombre es el único animal que come sin tener hambre, bebe sin tener sed y habla sin tener nada que decir»
«Un banquero es alguien que os presta un paraguas cuando el sol brille y os lo reclama al caer la primera gota de agua»
«Si la única herramienta que se tiene es un martillo, pensará que cada problema que surge es un clavo»
«La buena educación consiste en esconder lo bueno que pensamos de nosotros y lo malo que pensamos de los demás»
«Si es un milagro, cualquier testimonio es suficiente, pero si es un hecho, es necesario probarlo»
«El humor es el gran desengrasante de la maquinaria del pensamiento»
«El secreto para llegar lejos es comenzar»
«No dejes que la escuela interfiera en tu educación»
¿Quién es Jeremiah Fowler?
Jeremiah Fowler es un investigador de ciberseguridad conocido por rastrear brechas de datos y bases de datos expuestas. A principios de mayo de 2025 localizó –mediante herramientas automáticas que escanean servicios Elasticsearch abiertos– esta base de datos pública sin protección. Según Wired, Fowler es un “cazador de filtraciones” con años de experiencia en encontrar repositorios mal configurados en Internet. Aunque la base estaba en la red pública (no en la dark web propiamente dicha), quedó expuesta sin contraseña alguna, lo que facilitó su detección. Fowler analizó muestras y no halló pistas claras del propietario: “no incluyó indicadores de quién recopiló esos datos”, relata. Inmediatamente avisó al hosting para tomar medidas
Cómo lo cuenta Jeremiah Fowler
La base de datos expuesta públicamente no estaba protegida con contraseña ni encriptada. Contenía 184,162,718 inicios de sesión y contraseñas únicos, totalizando un masivo 47,42 GB de datos de credenciales sin procesar. En una muestra limitada de los documentos expuestos, vi miles de archivos que incluían correos electrónicos, nombres de usuario, contraseñas y enlaces URL al inicio de sesión o autorización para las cuentas. La base de datos contenía credenciales de inicio de sesión y contraseña para una amplia gama de servicios, aplicaciones y cuentas, incluidos proveedores de correo electrónico, productos de Microsoft, Facebook, Instagram, Snapchat, Roblox y muchos más. También vi credenciales para cuentas bancarias y financieras, plataformas de salud y portales gubernamentales de numerosos países que podrían poner a las personas expuestas en un riesgo significativo.
La dirección IP indicaba que la base de datos estaba conectada a dos nombres de dominio. Un dominio está estacionado y no está disponible, mientras que el otro parece no estar registrado y disponible para comprar. El registro de Whois es privado, y no parecía haber un método verificable para identificar al verdadero propietario de la base de datos que contiene datos potencialmente ilegales. Por lo tanto, inmediatamente envié un aviso de divulgación responsable al proveedor de alojamiento, y la base de datos se restringió del acceso público poco después.
El proveedor de alojamiento no divulgaría la información de sus clientes, por lo que no se sabe si la base de datos se utilizó para actividades delictivas o si esta información se recopiló con fines de investigación legítimos y posteriormente se expuso debido a la supervisión. Tampoco se sabe cuánto tiempo estuvo expuesta la base de datos antes de que la descubriera o si alguien más pudo haber tenido acceso a ella.
Los registros muestran múltiples signos de que los datos expuestos fueron recolectados por algún tipo de malware infostealer. Infostealer es un tipo de software malicioso diseñado específicamente para recolectar información confidencial de un sistema infectado. Este malware generalmente se dirige a credenciales (como nombres de usuario y contraseñas) almacenadas en navegadores web, clientes de correo electrónico y aplicaciones de mensajería. Algunas variantes del malware también pueden robar datos de autocompletar, cookies e información de billetera criptográfica — algunas incluso pueden capturar capturas de pantalla o registrar pulsaciones de teclas.
No se sabe exactamente cómo se recopilaron estos datos específicos, pero los ciberdelincuentes utilizan una variedad de métodos para implementar infostealers. Por ejemplo, a menudo ocultan malware dentro de correos electrónicos de phishing, sitios web maliciosos o software descifrado. Una vez que el infostealer está activo, los datos robados a menudo se distribuyen en mercados web oscuros y canales de Telegram o se usan directamente para cometer fraude, intentar el robo de identidad o lanzar más ataques cibernéticos.
¿Qué datos se filtraron? (según Wired y Website Planet)
La filtración contenía credenciales de correo electrónico y usuarios de una amplia variedad de servicios y aplicaciones. Según Fowler, en Website Planet, la base incluyó cientos de miles de archivos con usuarios, contraseñas y enlaces a servicios, abarcando desde proveedores de correo, plataformas sociales y aplicaciones populares hasta bancos y portales gubernamentales. En una muestra de 10.000 registros, se identificaron cuentas de Facebook, Google, Instagram, Roblox, Discord, Microsoft, Netflix, PayPal, Amazon, Apple, Nintendo, Snapchat, Spotify, Twitter, WordPress, Yahoo y muchas más.
Había 220 direcciones de correo con dominio .gov vinculadas a al menos 29 países (EE. UU., Australia, China, India, Israel, Reino Unido, etc.). También aparecieron términos financieros como “bank” y “wallet” en los datos, sugiriendo que había accesos a servicios bancarios y financieros.
La base de datos era una especie de compendio masivo de credenciales, aparentemente recolectadas por malware “infostealer”, sin dueño identificable. Tras la notificación de Fowler, World Host Group aisló el servidor comprometido y eliminó los datos expuestos. No está claro si antes de eso otros atacantes pudieron descargar la base de datos.
Riesgos para usuarios y ¿seguridad nacional?
A nivel individual, cada usuario afectado puede sufrir suplantación de identidad y fraude financiero. Con un nombre de usuario y contraseña robados, los ciberdelincuentes pueden realizar credential stuffing (ataques de relleno de credenciales): prueban automáticamente esas combinaciones en múltiples servicios para secuestrar cuentas en otras plataformas (NO RECICLAR CONTRASEÑAS). Si no está activada la verificación de dos pasos (2FA), el atacante puede lograr un toma de control total de la cuenta, robando datos personales, dinero u otras informaciones sensibles. Fowler advierte que tener millones de credenciales en texto plano es “el sueño de los cibercriminales” porque les da acceso directo a cuentas reales. Incluso aunque algunas contraseñas fuesen antiguas, saber los usuarios y contraseñas anteriores facilita ataques de phishing más convincentes (por ejemplo, fingiendo ser un contacto conocido).
A nivel seguridad nacional, el riesgo es igualmente crítico. Entre las credenciales expuestas había cientos de cuentas oficiales (.gov, .mil) de decenas de gobiernos en todo el mundo. Si alguna de esas cuentas correspondía a funcionarios con acceso sensible, su suplantación podría poner en peligro secretos de estado o infraestructuras críticas.
Muchos correos corporativos y bancarios estaban en la filtración. Esto abre la puerta a espionaje corporativo y fraude a gran escala: un atacante con estas credenciales podría intentar acceder a redes internas de empresas o bancos, robar información confidencial o dinero. Como resumen, la exposición de estas credenciales da a los atacantes herramientas para defraudar, robar identidades e incluso comprometer la seguridad de instituciones o gobiernos.
¿Por qué no debes reutilizar contraseñas?
La filtración evidencia por qué reutilizar contraseñas es peligrosísimo. Si usas la misma contraseña en varios servicios, el robo de una credencial permite comprometer muchas cuentas. Como explica Microsoft en su página de ayuda: “por ese motivo es importante que uses contraseñas diferentes para todas tus cuentas”. En la práctica, esto significa que con los datos filtrados, un ciberdelincuente podría emplear scripts automáticos para hacer login en cientos de servicios con la misma clave. Si esa contraseña se repite en tu cuenta bancaria, correo, redes sociales o cualquier otro sitio, el daño sería masivo. Pasaríamos de un incidente puntual a un desastre de identidad a gran escala. Además, las contraseñas usadas a menudo son fáciles o breves (fechas de cumpleaños, nombres, etc.), lo que acelera su adivinanza con programas especializados.
En resumen: cada cuenta debe tener su propia contraseña robusta. Basta con robar una única contraseña repetida para comprometer varios servicios al mismo tiempo. La reutilización es una invitación al abuso, como los expertos de seguridad han subrayado
Recomendaciones de seguridad por plataforma (paso a paso)
Para protegerte ante esta filtración (y en general), conviene reforzar cada cuenta importante. A continuación, pasos prácticos para las plataformas mencionadas:
Apple (ID de Apple, iCloud, App Store, etc.): En tu iPhone o iPad ve a Ajustes → [Tu nombre] → Inicio de sesión y seguridad, y activa la autenticación de dos factores (2FA). Esto hace que, además de tu contraseña, necesites un código enviado a uno de tus dispositivos de confianza. Usa siempre una contraseña larga y única. (Opcional: crea también una clave de recuperación en tu cuenta de Apple para restaurarla si pierdes acceso).
Google (Gmail, Drive, Android): Accede a tu Cuenta de Google y en la sección Seguridad activa la Verificación en dos pasos. Esto obliga a introducir un código (SMS, app Authenticator o llave de seguridad) al iniciar sesión. Confirma que tienes un correo y teléfono de recuperación actualizados. Usa una contraseña compleja y única para tu cuenta Google.
Microsoft (Outlook, Windows, Office 365): Entra a las Opciones de seguridad avanzadas de tu cuenta Microsoft y elige Activar verificación en dos pasos. Tendrás que usar tu contraseña + un código (desde Microsoft Authenticator o SMS). Microsoft aconseja usar contraseñas diferentes para cada cuenta y enlazar varios métodos de seguridad.
X (antes Twitter): En la app o web de Twitter/X, ve a Configuración y privacidad → Cuenta → Seguridad → Autenticación de dos factores. Activa 2FA usando mensaje de texto, aplicación autenticadora o clave de seguridad física. Asegúrate también de tener tu email y número telefónico confirmados en la cuenta. Con esto, cada nuevo inicio de sesión requerirá un código adicional.
Meta (Facebook/Instagram): En los ajustes de Facebook e Instagram, busca la sección de Seguridad. Activa la autenticación en dos pasos usando una app externa (como Authenticator) o SMS. Además, revisa los inicios de sesión activos y elimina los dispositivos desconocidos. Para Facebook, puedes habilitar alertas de inicio de sesión en Ajustes → Seguridad e inicio de sesión. (No hay cita oficial en esta lista, pero es un procedimiento recomendado por Meta).
PayPal: Ingresa a tu perfil de PayPal y ve a la sección de Seguridad (o “Preferencias de seguridad”). Activa la Verificación en dos pasos (2FA) eligiendo recibir códigos por SMS o usar una app autenticadora. Agrega un número de teléfono de confianza y un correo alternativo. Así, cada vez que inicies sesión necesitarás un código adicional.
Amazon: Entra a Cuenta y listas → Inicio de sesión y seguridad. Activa la Verificación en dos pasos. Amazon pedirá un número de teléfono o usar una app autenticadora. Cada vez que accedas, recibirás un código por SMS o app para confirmar tu identidad. Usa una contraseña fuerte, y considera activar alertas por SMS/email ante compras o cambios de contraseña.
Netflix: Aunque Netflix no ofrece 2FA, sí recomienda usar una contraseña única que no reutilices. Cámbiala a una clave larga con letras, números y símbolos. En la página Tu cuenta de Netflix también puedes cerrar sesión en todos los dispositivos que no reconozcas. Procura no compartir tu contraseña y estar alerta a mensajes falsos que pidan datos (Netflix nunca pide tu contraseña por email o SMS).
Spotify: Spotify no ofrece autenticación de dos factores para usuarios comunes. Lo más seguro es usar una contraseña única y robusta. Si inicias sesión vinculándote por Google o Facebook, asegúrate de haber activado allí la 2FA. Revisa en Configuración → Cuenta tus dispositivos conectados y cierra sesión en los que no reconozcas.
Nintendo: En accounts.nintendo.com inicia sesión y ve a Ajustes de inicio de sesión y seguridad. Activa la Verificación en dos pasos. Nintendo te pedirá usar la app Google Authenticator para generar códigos temporales al iniciar sesión. Así, necesitarás tu contraseña y un código extra desde tu móvil para entrar a tu cuenta.
Cuentas bancarias: Con las plataformas bancarias en línea, lo ideal es habilitar todas las opciones de seguridad extra: verifica que tu banco ofrezca 2FA (código SMS, app, token físico) y actívalo. Cambia tu PIN/contraseña por una larga y única. Registra un número de teléfono celular y correo electrónico para recibir alertas de movimientos. Nunca compartas códigos bancarios por teléfono ni entres tus datos en redes públicas. Cierra sesión y desvincula dispositivos no usados. Si el banco lo permite, usa dobles factores (por ejemplo, una app móvil de autenticación).
Consejos generales
-
Usa un gestor de contraseñas: Herramientas como Bitwarden, 1Password o el propio llavero de Google/Apple generan contraseñas seguras únicas por cuenta. Así no tendrás que memorizarlas ni reutilizarlas.
-
Activa siempre el 2FA: En cualquier servicio que lo ofrezca (correo, redes sociales, nube, etc.) usa la verificación en dos pasos. Es la medida más efectiva contra robos de contraseña.
-
Revisa si estás afectado: Puedes usar servicios como Have I Been Pwned para verificar si tu email aparece en filtraciones conocidas. Si tu cuenta figura en alguna brecha, cambia la contraseña inmediatamente en ese servicio.
-
Cuidado con el phishing: No abras correos o enlaces sospechosos. Verifica las URLs y no ingreses contraseñas en páginas dudosas. Esta filtración podría derivar en campañas de phishing masivas usando los datos robados.
-
Mantente informado: Busca avisos oficiales de cada plataforma para guías detalladas de seguridad (por ejemplo, las páginas de soporte de Apple, Google, Microsoft, Twitter y Netflix).
En definitiva, esta brecha nos recuerda que ninguna contraseña está a salvo si es débil o repetida. La combinación de contraseña única y fuerte + autenticación multifactor es la mejor defensa tanto a nivel personal como nacional. Cada usuario debe revisar y reforzar sus cuentas en Apple, Google, Microsoft, X, Meta, PayPal, Amazon, Netflix, Spotify, Nintendo y en la banca online. Con estas precauciones –y usando administradores de contraseñas y notificaciones de seguridad– se minimizan enormemente los riesgos derivados de filtraciones como esta.