Una base de datos alojada en la nube y sin ningún tipo de protección ha dejado al descubierto millones de credenciales de acceso de servicios tan populares como Facebook, Gmail, iCloud, TikTok, Netflix, Binance u OnlyFans. El archivo, accesible públicamente durante un periodo todavía desconocido, contenía combinaciones completas de usuario y contraseña listas para ser reutilizadas por ciberdelincuentes.
El hallazgo lo realizó el investigador de seguridad Jeremiah Fowler, quien notificó de inmediato el incidente a la firma de ciberseguridad ExpressVPN. La compañía analizó el repositorio y confirmó que se trataba de una colección masiva de credenciales procedentes de filtraciones anteriores, reunidas en un único contenedor en la nube sin cifrado ni controles de acceso.
Una base de datos con 149 millones de credenciales expuestas
Según los datos recopilados por ExpressVPN, el servidor desprotegido albergaba alrededor de 96 gigabytes de información, principalmente credenciales de acceso de todo tipo de servicios digitales. No eran simples listas de correos sueltos: el archivo incluía correos electrónicos, nombres de usuario y contraseñas en texto claro, un material extremadamente valioso para ataques automatizados a gran escala.
En total, la base de datos reunía aproximadamente 149 millones de registros únicos de inicio de sesión. Entre ellos destacaban 48 millones de credenciales asociadas a Gmail, 900.000 de cuentas de iCloud, 1,5 millones de Outlook, 17 millones de Facebook, 6,5 millones de Instagram, 780.000 de TikTok y 3,4 millones de Netflix. También figuraban 100.000 accesos de OnlyFans y 420.000 cuentas de la plataforma de criptomonedas Binance, además de cientos de miles de credenciales vinculadas a otras aplicaciones financieras y bancarias.
La lista de servicios afectados se extiende todavía más: Facebook, Instagram, TikTok y X (antes Twitter) entre las redes sociales; Gmail, Outlook y Yahoo en correo electrónico; y plataformas de streaming como Netflix, HBO Max y Disney Plus. Para más información sobre Instagram, puedes consultar la alerta por masiva filtración de datos en Instagram. Junto a ellas aparecían cuentas de Roblox, otros servicios de almacenamiento en la nube y aplicaciones de monederos digitales y trading, lo que aumenta el riesgo de un eventual uso fraudulento.
El propio Fowler constató que el número de registros aumentó mientras la base de datos seguía accesible, lo que indica que se trataba de un repositorio vivo que se actualizaba de forma periódica. Este detalle refuerza la hipótesis de que alguien estaba agregando de manera sistemática sets de credenciales filtrados en distintos incidentes a lo largo del tiempo.
Entre los registros también se detectó información vinculada a cuentas educativas con dominios .edu y, en menor medida, a dominios institucionales o gubernamentales (.gov). Este tipo de perfiles puede ser especialmente sensible si las cuentas comprometidas cuentan con permisos elevados o acceso a sistemas internos de universidades y administraciones.
Origen incierto y un repositorio que ya ha sido retirado
Tras confirmar la magnitud de la exposición, ExpressVPN contactó con el proveedor de servicios en la nube responsable del alojamiento. Una vez emitida la alerta, el repositorio fue retirado del servidor y dejó de ser accesible públicamente. Sin embargo, los especialistas reconocen que es imposible saber con exactitud cuántas veces pudo descargarse el archivo ni quién tuvo acceso a su contenido.
Las primeras conclusiones apuntan a que la base de datos no se originó en un único ataque reciente, sino que agrupa credenciales robadas en múltiples filtraciones anteriores. Alguien habría ido recopilando listas de usuarios y contraseñas procedentes de distintos incidentes, para después almacenarlas juntas en un mismo repositorio sin aplicar ninguna medida básica de seguridad.
Con la información disponible, ExpressVPN admite que no se puede determinar si el responsable actuaba con fines delictivos o legítimos. Podría tratarse de un actor malicioso que gestionaba un arsenal de credenciales para futuras campañas, o de alguien que manejaba datos filtrados con propósitos de investigación y descuidó por completo la protección del servidor. En ambos supuestos, el resultado es el mismo: millones de accesos potencialmente reutilizables quedaron expuestos al alcance de cualquiera.
Otro aspecto preocupante es que, aunque el servidor original ya no esté en línea, cualquier copia descargada antes de la retirada puede seguir circulando en foros clandestinos o canales privados. En el mercado negro de datos robados, este tipo de colecciones masivas tiene un valor elevado porque permite montar ataques automatizados a gran escala con un coste muy bajo.
El propio Fowler señaló que desconoce cuánto tiempo exacto estuvo visible la base de datos. Desde que la descubrió hasta que el acceso fue restringido, el volumen de registros continuó creciendo, lo que sugiere una actividad constante por parte de quien la administraba. Esa ventana de exposición puede haber sido suficiente para que diversos grupos de ciberdelincuentes descargasen la información íntegra.
Riesgos: del credential stuffing al fraude financiero
La principal amenaza que plantean colecciones de credenciales como esta es el uso intensivo de técnicas de «credential stuffing». Este método consiste en probar de forma masiva y automatizada combinaciones reales de correo y contraseña en multitud de servicios distintos, aprovechando que muchos usuarios repiten la misma clave en varias plataformas.
Cuando una combinación coincide, el atacante logra acceso directo a la cuenta sin necesidad de vulnerar sistemas técnicos complejos. A partir de ahí se abre un abanico de posibilidades: desde la toma de control de perfiles en redes sociales, utilizados para difundir estafas o malware entre contactos de confianza, hasta el inicio de sesión en servicios bancarios, monederos de criptomonedas o pasarelas de pago vinculadas al correo comprometido.
Incluso si el acceso inicial se limita a una cuenta de correo, la situación puede complicarse rápidamente. Con el dominio de la bandeja de entrada, un atacante puede restablecer contraseñas de otros servicios asociados, revisar notificaciones financieras, solicitar códigos de recuperación y, en general, pivotar hacia otras plataformas críticas que dependan de ese correo.
Los investigadores de ExpressVPN también advierten de un incremento potencial en campañas de phishing y suplantación de identidad basadas en estos datos. Disponer de la dirección de correo de la víctima, conocer qué servicios utiliza e incluso manejar parte de sus credenciales antiguas facilita enormemente la creación de mensajes fraudulentos que resultan verosímiles y difíciles de identificar como engaños.
En el contexto europeo, donde el uso de la banca online y de aplicaciones de pago está muy extendido, una exposición de esta magnitud puede traducirse en un aumento de fraudes financieros dirigidos. España lleva tiempo registrando oleadas de SMS, correos y mensajes en redes sociales que suplantan a entidades bancarias, empresas de mensajería o plataformas digitales, muchas veces apoyándose en datos obtenidos en filtraciones masivas como esta.
Aunque por el momento no se ha vinculado públicamente una ola concreta de ataques a este repositorio específico, los expertos subrayan que los efectos de una filtración pueden manifestarse de forma gradual. Los ciberdelincuentes suelen explotar estas colecciones durante meses o años, combinándolas con otras fuentes de información para afinar sus campañas, mientras muchos usuarios siguen sin ser conscientes de que sus credenciales figuran en listas comprometidas.
Usuarios europeos y españoles, en el punto de mira
El carácter global de servicios como Gmail, Facebook, TikTok, iCloud o Netflix implica que entre las cuentas afectadas hay una proporción relevante de usuarios europeos y españoles. En la práctica, estas credenciales dan acceso a la puerta de entrada de buena parte de la vida digital: banca, compras por internet, gestiones con la Administración, plataformas sanitarias o sistemas educativos.
En la Unión Europea, el Reglamento General de Protección de Datos (RGPD) obliga a las empresas que sufren brechas internas a notificar a las autoridades y a los usuarios. Sin embargo, en este caso concreto, el repositorio parece ser un recopilatorio externo de incidentes previos, lo que complica atribuir la responsabilidad a una sola compañía y dificulta la aplicación directa de esos mecanismos de notificación.
En España, la Agencia Española de Protección de Datos (AEPD) insiste desde hace años en la importancia de adoptar buenas prácticas de higiene digital: contraseñas robustas, verificación en dos pasos, revisión periódica de permisos y limitación de la información compartida con terceras aplicaciones. Un conjunto de 149 millones de credenciales expuestas pone a prueba hasta qué punto estas recomendaciones se están cumpliendo en la realidad cotidiana.
Para los usuarios españoles con cuentas en las plataformas señaladas —desde correos de Gmail u Outlook hasta redes sociales, servicios de streaming o aplicaciones financieras— la recomendación más prudente es actualizar sus datos de acceso cuanto antes, especialmente si hace tiempo que no cambian la contraseña o si la reutilizan en varios servicios. Aunque no exista una lista pública de direcciones comprometidas, el sentido común lleva a actuar como si el riesgo fuera real.
El impacto no se limita a particulares. Muchas empresas y administraciones permiten el acceso a recursos corporativos desde dispositivos y cuentas personales. En esos entornos, una sola credencial comprometida puede ser la puerta de entrada a redes internas mal segmentadas, sistemas obsoletos o aplicaciones sin la protección adecuada, con consecuencias que van mucho más allá del robo de una cuenta individual.
Medidas inmediatas para reforzar la seguridad
Los especialistas consultados coinciden en que el primer paso, tanto para usuarios en España como en el resto de Europa, es cambiar las contraseñas de los servicios potencialmente afectados. Esta acción debe extenderse a cualquier otra plataforma en la que se haya utilizado la misma clave o una muy parecida, con el objetivo de cortar de raíz el efecto dominó que buscan los atacantes.
De forma complementaria, se recomienda activar la autenticación de doble factor (2FA o MFA) siempre que sea posible. Este sistema añade una capa adicional de seguridad al exigir un código temporal —enviado por SMS, generado por una app o almacenado en una llave física— incluso cuando el usuario y la contraseña han quedado expuestos.
Otra de las recomendaciones que se repite es el uso de gestores de contraseñas, herramientas que permiten generar claves largas, complejas y únicas para cada servicio, y almacenarlas de forma segura. De este modo se evita la tentación, todavía muy extendida, de reciclar la misma contraseña en múltiples plataformas, uno de los hábitos que más facilitan el trabajo de los ciberdelincuentes.
Los expertos aconsejan también revisar los permisos otorgados a aplicaciones de terceros conectadas a cuentas de Google, Apple, redes sociales u otros servicios. Revocar el acceso a apps que ya no se utilizan, y limitar los privilegios de las que se mantienen, reduce el impacto en caso de que una credencial comprometida se utilice para acceder a más información de la deseada.
Igualmente importante es mantener sistemas operativos, navegadores y soluciones de seguridad actualizados en todos los dispositivos, así como extremar las precauciones frente a correos, SMS o mensajes que soliciten datos personales o financieros. Verificar el remitente, desconfiar de las peticiones urgentes y acceder a los servicios escribiendo manualmente la dirección en el navegador son pequeños gestos que ayudan a esquivar muchos intentos de fraude.
La exposición de una base de datos desprotegida con 149 millones de credenciales de acceso a servicios como Facebook, Gmail, iCloud, TikTok, plataformas de streaming y aplicaciones financieras vuelve a evidenciar lo frágil que puede ser la seguridad digital cuando se descuidan las medidas básicas. Aunque el repositorio ya ha sido eliminado y todavía haya incógnitas sobre su origen exacto, la posibilidad de que copias de esos datos sigan circulando obliga a usuarios europeos y españoles a tomarse muy en serio la protección de sus cuentas: actualizar contraseñas, activar el doble factor, revisar permisos y adoptar hábitos de navegación prudentes puede marcar la diferencia entre seguir usando internet con relativa tranquilidad o convertirse en víctima de un fraude complejo y difícil de revertir.
