El reconocido medio Cybernews, detalló que encontró un registro de 16 mil millones de credenciales expuestas (Contraseñas, token, cookies, etc), que marca uno de los episodios más graves en la historia de la ciberseguridad.
De acuerdo con el artículo, esta filtración es atribuible a malware del tipo infostealer, revela un panorama a tener muy cuenta, ya que los ciberdelincuentes tienen acceso sin precedentes a datos personales que podrían permitir desde el robo de cuentas hasta campañas de phishing dirigidas.
¿Qué es un malware infostealer, qué roba además de contraseñas?
Un malware del tipo infostealer es un software malicioso que se ejecuta en segundo plano con el propósito de robar información confidencial del dispositivo infectado. Utiliza técnicas avanzadas para extraer datos almacenados de forma local y automática, sin alertar al usuario, entre las principales funciones:
- Contraseñas guardadas en navegadores (Chrome, Edge, Firefox) o aplicaciones FTP
- Cookies de sesión y tokens de autenticación que permiten mantener una sesión abierta en sitios web
- Historial del navegador y datos completados en formularios
- Credenciales de apps específicas como Discord, Telegram o Steam
- Información sensible como números de tarjeta o datos personales ingresados en formularios
Una vez capturada la data, se envía a un servidor de los grupos de hackers, y desde luego, con ella pueden acceder a las plataformas, suplantando la identidad de múltiples usuarios, o bien vender la información.
¿Qué tipo de información fue filtrada y por qué es tan grave?
La información filtrada es grave porque está compuesta de múltiples registros, que considera una estructura específica:
- URL
- Usuario
- Contraseña
El equipo de Cybernews describe de este modo el hallazgo:
“Esto no es solo una filtración: es un plano para una explotación masiva. Lo que preocupa especialmente es la estructura y actualidad de estos datos: no son filtraciones antiguas recicladas, sino inteligencia fresca y utilizable a gran escala”.
Investigadores del equipo de Cybernews
Según la investigación, los registros proceden de más de 30 bases de datos diferentes, algunas con hasta 3.5 mil millones de entradas, y contienen datos provenientes de plataformas como:
- Apple
- GitHub
- Telegram.
La gravedad del incidente también radica en que muchas de estas bases de datos fueron accesibles temporalmente a través de instancias mal configuradas de almacenamiento en la nube.
“Las credenciales que vimos incluían URLs de inicio de sesión de Apple, Facebook y Google. No hubo un ataque centralizado contra estas empresas, pero sí registros que podrían usarse para acceder a esos servicios”.
Bob Diachenko, investigador de ciberseguridad, SecurityDiscovery.com
¿Qué pueden hacer los usuarios para protegerse?
Los usuarios para protegerse deberían cambiar sus contraseñas, borrar historial de los navegadores, y actualizar todas las plataformas, ya que la filtración no se limita solo a contraseña, incluye además, cookies y tokens de sesión, que podrían usarse para evadir métodos como la autenticación en dos pasos (2FA).
Esta sofisticación aumenta la vulnerabilidad de las cuentas, incluso si las contraseñas son cambiadas rápidamente.
“Algunos de los conjuntos expuestos contenían cookies y tokens de sesión, que pueden ser usados para eludir la 2FA. Lo mejor que puede hacerse es cambiar las contraseñas, activar la 2FA y monitorear de cerca las cuentas”.
Aras Nazarovas, investigador de Cybernews
El artículo añade que la magnitud de esta filtración también muestra una posible tendencia en evolución: el abandono de canales como grupos de Telegram en favor de bases de datos centralizadas más fáciles de explotar para los atacantes.
“El aumento de datasets expuestos podría indicar que los criminales están dejando de usar métodos como los grupos de Telegram para concentrarse en bases de datos más estructuradas”.
Aras Nazarovas, investigador de Cybernews
¿Estamos preparados para enfrentar una amenaza que se infiltra sin ruido y expone millones de identidades en segundos?
