Investigadores encuentran 24 mil millones de credenciales robadas en un volcado de infostealer de 8.3 TB expuesto en línea

Los investigadores de Cybernews descubrieron lo que describen como uno de los mayores vertidos de credenciales jamás encontrados: un clúster Elasticsearch no protegido que contiene 24 mil millones de registros que suman más de 8.3 terabytes de datos. La colección fue encontrada el 12 de junio de 2026, y la base de datos fue desconectada o asegurada para el 15 de junio. Si bien la ventana de exposición inmediata se ha cerrado, los datos en sí — recopilados de registros de malware infostealer, canales de Telegram y compilaciones de brechas existentes — siguen en circulación dondequiera que se compartieron antes del descubrimiento.

La escala coloca esta filtración en una categoría propia. La compilación RockYou2021 de 2021, ampliamente citada como la lista de credenciales más grande jamás publicada, contenía 8.4 mil millones de registros. La versión RockYou2024 de 2024 expandió eso a casi 10 mil millones. Con 24 mil millones de registros, esta colección es más del doble de cualquiera de esas, y la composición importa: a diferencia de compilaciones más antiguas que son en su mayoría datos reciclados, una parte significativa de este vertido proviene de registros de infostealer frescos, lo que significa credenciales robadas recientemente que aún no se han rotado ampliamente.

Qué Son los Registros de Infostealer y Por Qué Son Peores que los Vertidos de Bases de Datos

Las bases de datos de brechas tradicionales contienen credenciales robadas cuando un servicio específico se ve comprometido; tienden a incluir contraseñas hash que requieren descifrado y, a menudo, tienen años de antigüedad cuando aparecen en los vertidos. Los registros de infostealer son diferentes. Son generados por malware que se ejecuta en dispositivos infectados: software que captura contraseñas almacenadas en el navegador, credenciales de autocompletar y cookies de sesión en texto plano en el momento en que se utilizan.

Esto significa que los registros de infostealer contienen credenciales funcionales a partir de la fecha de la infección. Evitan la necesidad de descifrar hashes. A menudo incluyen la URL de inicio de sesión asociada, lo que hace trivial emparejar una contraseña con el servicio que desbloquea. Y debido a que extraen credenciales del almacenamiento del navegador de la máquina infectada, a menudo capturan contraseñas que los usuarios no han cambiado en años — aquellas que están en su gestor de contraseñas o autocompletar del navegador en las que han dejado de pensar.

Los 24 mil millones de registros en esta colección se recopilaron de al menos 36 fuentes diferentes: varios canales de Telegram donde los operadores de infostealer venden registros, compilaciones de brechas existentes y lo que los investigadores describen como datos que parecen haber sido exportados directamente desde servidores en vivo, lo que sugiere que una parte de los datos estaba muy recientemente activa.

Quién lo Encontró y Qué Sucedió

El equipo de investigación de Cybernews identificó la base de datos expuesta el 12 de junio como parte de un escaneo continuo de instancias de almacenamiento en la nube y bases de datos expuestas públicamente. El clúster era accesible sin autenticación: una mala configuración que dejó los 8.3 terabytes legibles para cualquiera que encontrara la dirección IP. El propietario de la base de datos no ha sido identificado públicamente. Los investigadores especulan que los datos podrían pertenecer ya sea a un actor de amenazas que los utiliza como una base de datos operativa de credenciales, o a una empresa de seguridad que agrega datos de brechas para servicios de monitoreo, aunque la exposición en texto plano y la falta de controles de acceso aparentes hacen que la teoría de la empresa de seguridad sea menos plausible.

La base de datos fue asegurada o desconectada para el 15 de junio, tres días después del descubrimiento. La ventana de exposición desprotegida es desconocida: podría haber sido días o meses.

El Riesgo de Credential Stuffing

El riesgo práctico de este tipo de filtración es el credential stuffing: herramientas automatizadas que toman pares de nombre de usuario-contraseña de bases de datos de brechas y los prueban contra servicios en vivo a gran escala. Los servicios sin limitación de tasa, bloqueo de IP o autenticación multifactor obligatoria son particularmente vulnerables.

Los investigadores de seguridad y proveedores, incluidos Malwarebytes y TechRadar, que cubrieron la divulgación de Cybernews, enfatizan que los usuarios de mayor riesgo son aquellos que reutilizan contraseñas en varios servicios, que según la mayoría de las encuestas, son la mayoría de los usuarios. Una credencial en este vertido que coincida con la contraseña bancaria de un usuario, la contraseña de correo electrónico o la contraseña de VPN corporativa crea un riesgo inmediato de apropiación de cuentas, independientemente de dónde se haya robado originalmente la credencial.

Qué Hacer

El consejo estándar se aplica y sigue siendo la respuesta correcta: use un gestor de contraseñas para generar contraseñas únicas para cada servicio, active la autenticación multifactor donde esté disponible y esté atento a las alertas de actividad de la cuenta de sus proveedores de correo electrónico y financieros. Se espera que servicios como HaveIBeenPwned ingieran datos de credenciales de esta escala una vez que los investigadores los pongan a disposición; vale la pena verificar su dirección de correo electrónico allí en los próximos días.

Para los equipos de seguridad en las organizaciones: este vertido debe tratarse como un desencadenante para auditar si alguna credencial de empleado aparece en bases de datos de brechas disponibles públicamente y para imponer la rotación de contraseñas para cualquier coincidencia. Dado que los datos se recopilan de registros de infostealer, las credenciales corporativas de empleados con dispositivos personales infectados corren un riesgo particular.