En Resumen
- Los investigadores de Cybernews descubrieron más de 16.000 millones de credenciales expuestas de servicios como Facebook, Google y GitHub en almacenamiento en la nube no seguro.
- Los expertos advirtieron que la brecha impactará más severamente a sitios web pequeños y usuarios con recursos limitados de ciberseguridad que no usan 2FA.
- Un especialista en seguridad señaló que los usuarios con autenticación de dos factores estarán protegidos, mientras que los usuarios normales se verán afectados.
Un incidente de seguridad previamente no reportado ha expuesto más de 16.000 millones de credenciales de inicio de sesión, convirtiéndose en una de las mayores recopilaciones de datos personales robados jamás descubiertas.
Primero informado por Cybernews, el tesoro de datos incluye credenciales de servicios ampliamente utilizados, como Facebook, Google, Telegram y GitHub, así como acceso a sitios web corporativos, de desarrolladores y gubernamentales.
Investigadores de Cybernews indicaron que la información probablemente proviene de una combinación de registros de malware infostealer, bases de datos de relleno de credenciales y filtraciones previamente reempaquetadas.
"Esto no es solo una filtración, es un plan para la explotación masiva", dijeron los investigadores de Cybernews en un comunicado. "Con más de 16.000 millones de registros de inicio de sesión expuestos, los ciberdelincuentes ahora tienen acceso sin precedentes a credenciales personales que pueden ser utilizadas para el secuestro de cuentas, robo de identidad y phishing altamente dirigido".
Google, Meta (propietaria de Facebook) y GitHub no respondieron de inmediato a las solicitudes de comentarios de Decrypt.
Un info-stealer es un software malicioso que recopila en secreto datos sensibles, como contraseñas, información financiera y actividad del navegador, y los envía a ciberdelincuentes.
A diferencia de los keyloggers, los info-stealers no solo capturan lo que escribe una víctima, sino que también escanean sistemas en busca de contraseñas almacenadas, cookies, datos de autocompletar y otra información explotable.
Los investigadores identificaron 30 conjuntos de datos, cada uno con un rango de decenas de millones a más de 3.500 millones de registros. El conjunto de datos promedio contenía alrededor de 550 millones de entradas.
Según Cybernews, los conjuntos de datos estuvieron brevemente expuestos en línea a través de almacenamiento en la nube no seguro. Aunque fueron retirados rápidamente, la exposición fue suficiente para que los conjuntos de datos fueran recopilados y analizados.
Las personas o grupos responsables de la filtración no han sido identificados.
En un incidente separado, Coinbase reveló en mayo que una brecha en diciembre afectó a más de 69.461 clientes. Ese mismo mes, el exchange de criptomonedas fue atacado por ciberdelincuentes que exigían un rescate de $20 millones en Bitcoin por los datos de clientes robados. En lugar de cumplir, Coinbase lanzó una recompensa de $20 millones para rastrear a los atacantes.
"Luego intentaron extorsionar a Coinbase por $20 millones para encubrir esto. Nosotros dijimos que no", dijo Coinbase en un comunicado en ese momento.
Los expertos advierten que las brechas de datos representan riesgos graves para individuos y organizaciones, especialmente aquellas que carecen de prácticas sólidas de ciberseguridad, como la autenticación multifactor y las actualizaciones rutinarias de contraseñas.
"No todos los sitios fuerzan el restablecimiento de contraseñas al descubrir una brecha", le dijo un experto en seguridad a Decrypt. "Las personas reutilizan contraseñas todo el tiempo, o variantes de ellas, lo que las convierte en objetivos fáciles".
El experto, que habló bajo condición de anonimato, señaló que la última filtración impactará más severamente a sitios web más pequeños y a usuarios individuales con recursos limitados de ciberseguridad.
¿Una Brecha Prevenible?
Si bien la magnitud de la brecha es alarmante, la causa raíz no es nueva ni particularmente sofisticada, y podría tener un impacto limitado en aquellos que utilizan la autenticación de dos factores, gestores de contraseñas y passkeys como defensas esenciales.
"Los usuarios normales se verán afectados", dijo el experto. "Los usuarios con 2FA estarán bien".
La autenticación multifactor en forma de aplicaciones móviles como Google Authenticator y Microsoft Authenticator añade una capa crítica de seguridad al requerir que los usuarios verifiquen su identidad a través de un método adicional, como un código de mensaje de texto, notificación de aplicación, reconocimiento facial o huella digital.
Los passkeys, una alternativa más reciente a las contraseñas tradicionales, eliminan por completo la necesidad de credenciales de inicio de sesión al utilizar claves criptográficas almacenadas en el dispositivo del usuario. Los passkeys son "ligados al origen", lo que significa que solo funcionan con el sitio web o servicio específico para el cual fueron creados.
Los passkeys se consideran más seguros y menos vulnerables a ataques de phishing, y están siendo adoptados por gigantes de la industria como Google, Amazon, Apple y Microsoft.
Editado por Sebastian Sinclair