Las noticias se supo hoy sobre «una de las mayores violaciones de datos de la historia», provocando una amplia cobertura de los medios llena de advertencias y miedo. Sin embargo, parece ser solo una compilación de credenciales previamente filtradas robadas por infantes de infantes, expuestos en violaciones de datos y mediante ataques de relleno de credenciales.
Para ser claros, esta no es una nueva violación de datos, o una violación en absoluto, y los sitios web involucrados no se comprometieron recientemente a robar estas credenciales.
En cambio, estas credenciales robadas probablemente circularon durante algún tiempo, si no durante años. Luego fue recolectado por una firma de ciberseguridad, investigadores o actores de amenaza y reempaquetado en una base de datos expuesta en Internet.
CyberNews, que descubrió los conjuntos de datos brevemente expuestos de las credenciales compiladas, declaró que se almacenó en un formato comúnmente asociado con el malware del infostaler, aunque no compartieron muestras
Un infoptealer es el malware que intenta robar credenciales, billeteras de criptomonedas y otros datos de un dispositivo infectado. A lo largo de los años, los infostadores se han convertido en un problema masivo, lo que lleva a infracciones en todo el mundo.
Estos tipos de malware impactan tanto Windows como Macs, y cuando se ejecutan, reunirán todas las credenciales que puede encontrar almacenadas en un dispositivo y guardarlas en lo que se llama «registro».
Un registro de InfoTealer es generalmente un archivo que contiene numerosos archivos de texto y otros datos robados. Los archivos de texto contienen listas de credenciales robadas de navegadores, archivos y otras aplicaciones.
Fuente: BleepingComuter
Las credenciales robadas generalmente se guardan una por línea en el siguiente formato:
URL: nombre de usuario: contraseña
A veces, el delimitador entre cada componente se cambia a una coma, punto y coma o tablero.
Por ejemplo, lo siguiente es cómo un InfoTealer salvará las credenciales robadas de un dispositivo a un registro:
https://www.facebook.com/:jsmith@example.com:Databr3achFUd!
https://www.bank.com/login.php:jsmith:SkyIsFa11ing#
https://x.com/i/flow/login:jsmith@example.com:StayCalmCarryOn
Si alguien está infectado con un infoptealer y tiene mil credenciales guardadas en su navegador, el infoptealer los robará a todos y las almacenará en el registro. Estos registros se cargan al actor de amenazas, donde las credenciales se pueden usar para ataques adicionales o vendidos en los mercados de delitos cibernéticos.
El problema del infostaler se ha vuelto tan malo y generalizado que las credenciales comprometidas se han convertido en una de las formas más comunes para que los actores de amenazas violen las redes.
Tenemos un seminario web el próximo mes titulado «Credenciales robadas: la nueva puerta principal a su red«Eso se centra en los infineros, las credenciales comprometidas y cómo las organizaciones pueden protegerse.
Este problema también ha llevado a la aplicación de la ley en todo el mundo a tomar medidas enérgicas activamente en estas operaciones de delitos cibernéticos en acciones recientes, como «Operation Secure» y la interrupción de LummStealer.
A medida que los infostadores se han vuelto tan abundantes y comúnmente utilizados, los actores de amenazas lanzan compilaciones masivas de forma gratuita en telegrama, pastebin y discordia para ganar reputación entre la comunidad de delitos cibernéticos o como teasers a las ofertas pagas.
Fuente: BleepingComuter
Para ver cuántas contraseñas se entregan de forma gratuita, el archivo único de 1,261.4 MB en la imagen de arriba contenía más de 64,000 pares de credenciales.
Hay miles, si no cientos de miles, de archivos filtrados de manera similar que se comparten en línea, lo que resulta en miles de millones de registros de credenciales publicados de forma gratuita.
Es probable que muchos de estos archivos gratuitos se compilaran en conjuntos de datos masivos que fueron expuestos y vistos brevemente por CyberNews.
Se publicaron colecciones de credenciales similares en el pasado, como la filtración Rockyou2024, con más de 9 mil millones de registros, y «Colección #1», que contenía más de 22 millones de contraseñas únicas.
A pesar del zumbido, no hay evidencia de que esta compilación contenga datos nuevos o previamente invisibles
¿Qué debes hacer?
Entonces, ahora que sabe que hubo una filtración masiva de credenciales que probablemente se robaron a través de inflales, infracciones de datos y ataques con credenciales, es posible que se pregunte qué debe hacer.
El paso más importante es adoptar y mantener buenos hábitos de ciberseguridad que ya debería seguir.
Si le preocupa que un infador de infantes pueda estar presente en su computadora, escanee su dispositivo con un programa antivirus confiable antes de cambiar cualquier contraseña. De lo contrario, las credenciales recién ingresadas también podrían ser robadas.
Una vez que esté seguro de que su sistema está limpio, concéntrese en mejorar su higiene de contraseña.
Eso significa usar una contraseña única y segura para cada sitio que use y confiar en un administrador de contraseñas para mantenerlos organizados y seguros.
Sin embargo, incluso las contraseñas únicas no lo ayudarán a mantenerse protegido si está pirateado, enamorarse de un ataque de phishing o instalar malware.
Por lo tanto, es crucial que también use autenticación de dos factores (2FA) junto con una aplicación de autenticación, como Microsoft Authenticator, Google Authenticator o Authy, para administrar sus códigos 2FA. Algunos administradores de contraseñas, como Bitwarden y 1Password, también incluyen la funcionalidad de autenticación, lo que le permite usar una aplicación para ambos.
Con 2FA habilitado, incluso si una contraseña en un sitio está comprometida, los actores de amenaza no pueden acceder a la cuenta sin su código 2FA.
Como regla general, debe evitar usar textos de SMS para recibir códigos 2FA, ya que los actores de amenaza pueden realizar ataques de intercambio SIM para secuestrar su número de teléfono y obtenerlos.
En cuanto a esta filtración, con estas credenciales filtradas, existe la posibilidad de que uno de los lectores de este artículo se enumere en la compilación.
Sin embargo, no se asuste y estrese al respecto, ejecutando cambiando todas sus contraseñas. En cambio, aproveche esta oportunidad para mejorar sus hábitos de ciberseguridad.
Para verificar si sus credenciales han aparecido en infracciones conocidas, considere usar servicios como he sido PWNED.
Y si usa la misma contraseña en varios sitios, ahora es el momento de cambiar a los únicos.
De esa manera, las filtraciones como esta se vuelven mucho menos peligrosas para usted.
Actualización del 20/06/25 10:08 PM EST: Artículo actualizado para aclarar que se encontraban múltiples conjuntos de datos en lugar de una sola base de datos y para eliminar «Madre de todas las infracciones», como era describir la otra compilación descubierta en 2024.
El parche solía significar scripts complejos, largas horas y simulacros de fuego interminables. Ya no.
En esta nueva guía, Tines desglosa cómo las organizaciones modernas de TI están subiendo de nivel con la automatización. Parche más rápido, reduzca la sobrecarga y concéntrese en el trabajo estratégico, no se requieren scripts complejos.
