Un investigador de ciberseguridad ha descubierto un vasto repositorio de credenciales de inicio de sesión robadas, accesible públicamente, recopiladas de dispositivos personales infectados con malware. Jeremiah Fowler, un reconocido investigador de seguridad, destacó un conjunto de datos que contiene alrededor de 149 millones de nombres de usuario y contraseñas recopilados de teléfonos inteligentes y ordenadores. Los registros abarcan una variedad de servicios, incluyendo plataformas sociales como Facebook e Instagram, servicios de streaming como Netflix, y cuentas relacionadas con criptomonedas vinculadas a la bolsa Binance, de las cuales al menos 420,000 credenciales estaban relacionadas con usuarios de Binance. El descubrimiento subraya cómo el malware para robar credenciales continúa infiltrándose en dispositivos cotidianos, exponiendo a los usuarios a ataques de phishing, toma de control de cuentas y abusos multiplataforma.
Puntos clave
El conjunto de datos, reportado por ExpressVPN, representa una volcado de credenciales de malware infostealer en lugar de una brecha en los sistemas de una sola empresa.
Las cantidades de registros por servicio son considerables: 48 millones de cuentas de Gmail, 4 millones de Yahoo, 17 millones de Facebook, 6.5 millones de Instagram, 3.4 millones de Netflix y 780,000 de TikTok, entre otros.
Binance aparece específicamente en el volcado, con al menos 420,000 credenciales asociadas a sus usuarios, destacando el riesgo para las cuentas en intercambios de criptomonedas gestionadas desde dispositivos comprometidos.
Los expertos en seguridad enfatizan que esto es una exposición a nivel de endpoint—las credenciales fueron recopiladas desde dispositivos de usuarios finales, no desde la infraestructura interna de Binance.
Los investigadores advierten que en el conjunto de datos aparecen cuentas relacionadas con el gobierno y dominios .gov, lo que genera preocupaciones sobre phishing y suplantación de identidad junto con riesgos financieros.
Tickers mencionados:
Contexto del mercado: El incidente refuerza la creciente conciencia de que el robo de credenciales sigue siendo un vector principal para accesos no autorizados, especialmente para usuarios de criptomonedas que a menudo reutilizan contraseñas en diferentes servicios o dependen de dispositivos que pueden carecer de controles de seguridad robustos.
Sentimiento: Neutral
Impacto en el precio: Neutral. El informe se centra en la exposición de credenciales en lugar de movimientos inmediatos del mercado o transferencias de activos, aunque destaca riesgos de seguridad más amplios para intercambios y carteras.
Idea de trading (No es consejo financiero): Mantener. El evento refuerza la necesidad de prácticas de autenticación más fuertes y una higiene adecuada del usuario, en lugar de respuestas de trading improvisadas ante filtraciones de credenciales.
Contexto del mercado: La seguridad en los dispositivos de los usuarios finales y la higiene de credenciales siguen moldeando el riesgo en el ecosistema cripto, con intercambios y carteras enfatizando la defensa contra phishing, autenticación multifactor y educación del usuario como líneas de defensa clave.
Por qué importa
La divulgación de un conjunto de datos de 94 gigabytes de infostealer—que contiene cientos de millones de credenciales—sirve como un recordatorio contundente de que el perímetro de seguridad para los usuarios de cripto comienza en el nivel del dispositivo. La amplitud del conjunto de datos es notable: decenas de millones de cuentas de Gmail, millones de inicios de sesión en redes sociales y cientos de miles de credenciales relacionadas con criptomonedas vinculadas a Binance. Aunque los investigadores en seguridad subrayan que esto no constituye una brecha en los sistemas de Binance, la exposición evidencia cómo operan los atacantes en la naturaleza: compilando vastas colecciones de credenciales de dispositivos comprometidos y luego intentando reutilizar esas credenciales en diferentes sitios o mediante campañas de phishing para monetizarlas.
Fowler enfatiza el riesgo sistémico: el malware para robar credenciales prospera donde los dispositivos ejecutan software desactualizado o persiste una higiene de seguridad débil. “No es la primera vez que descubro un conjunto de datos de este tipo y solo resalta la amenaza global que plantea el malware para robar credenciales,” escribió en la publicación de ExpressVPN. “Las cuentas de servicios financieros, billeteras cripto o cuentas de trading, accesos bancarios y de tarjetas de crédito también aparecieron en la muestra limitada de registros que revisé.” La amplitud de servicios representados indica que los atacantes no solo persiguen cuentas sociales o de streaming; buscan cualquier puerta de entrada que pueda desbloquear activos financieros o datos personales sensibles.
La composición del conjunto de datos incluye una mezcla de cuentas de consumo (Gmail, Yahoo, Facebook, Instagram, Netflix, TikTok) junto con servicios financieros y relacionados con cripto. Para los usuarios de cripto, el riesgo es doble: compromiso directo de la cuenta y la potencialidad de campañas de phishing que se hagan pasar por comunicaciones legítimas de plataformas confiables. En la práctica, una sola cuenta de Gmail o red social comprometida puede ser utilizada para restablecer contraseñas en intercambios, billeteras o servicios relacionados, permitiendo transferencias no autorizadas o la recopilación de credenciales a gran escala. La exposición resalta un tema persistente en la seguridad cripto: los atacantes prefieren caminos de acceso de bajo fricción que evaden la resistencia del usuario, especialmente cuando los dispositivos siguen siendo vulnerables a infecciones de malware.
Además del riesgo inmediato para cuentas individuales, el informe señala un número preocupante de credenciales vinculadas a dominios gubernamentales y direcciones .gov. Aunque estas entradas pueden ser menos directamente monetizables que las cuentas financieras, amplifican el panorama de amenazas de phishing y suplantación. Los atacantes pueden hacerse pasar por agencias gubernamentales en campañas de ingeniería social, aumentando la confianza y la probabilidad de que los usuarios cumplan con solicitudes fraudulentas. La conclusión más amplia es clara: la seguridad debe ser integral—cubriendo dispositivos, autenticación, educación del usuario y respuestas rápidas ante exposiciones de credenciales.
La comunidad de seguridad en cripto ha estado advirtiendo durante años sobre familias de malware infostealer—programas que extraen silenciosamente inicios de sesión guardados en dispositivos infectados. Un informe reciente de Kaspersky sobre una familia más nueva de infostealer—a menudo descrita como Stealka—ilustra cómo los atacantes alternan entre entregar troyanos dirigidos a billeteras, extensiones de navegador y módulos de minería de cripto, todo mientras se hacen pasar por mods o cracks de juegos legítimos. El alcance del malware abarca más de 100 navegadores y apunta a docenas de intercambios, incluyendo Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask, y otros. Tales desarrollos subrayan un tema central: a medida que la superficie de ataque se expande, también lo hace la necesidad de defensas robustas en los endpoints y prácticas de contraseñas más seguras.
Un sitio web falso que pretende ofrecer scripts de Roblox, Fuente: Kaspersky
Dado el volumen de datos y su diverso conjunto de objetivos, los equipos de seguridad enfatizan enfoques preventivos. La respuesta de Binance, descrita en una publicación de blog de marzo de 2025, ilustra cómo los intercambios son cada vez más proactivos: monitorean conversaciones en la web oscura por credenciales comprometidas, alertan a los usuarios afectados, fuerzan restablecimientos de contraseña y revocan sesiones comprometidas. Aunque Binance afirma que este incidente proviene de la compromisión del dispositivo del usuario final y no de una brecha en sus sistemas internos, el episodio refuerza un principio clave de ciberseguridad: incluso las defensas más fuertes de un intercambio solo son tan fuertes como el eslabón más débil—que a menudo es el dispositivo y los hábitos del usuario.
Para reducir riesgos, Fowler y otros investigadores abogan por una seguridad en capas que combine herramientas antivirus y antimalware robustas con actualizaciones regulares del sistema, autenticación multifactor basada en hardware y una higiene diligente de contraseñas. El objetivo es detectar actividades sospechosas temprano, bloquear accesos no autorizados y interrumpir los flujos de trabajo de los atacantes antes de que se puedan mover fondos o exfiltrar cuentas. A medida que el ecosistema cripto continúa evolucionando, la atención a la seguridad en los endpoints probablemente se intensificará, impulsando la demanda de mejor educación del usuario, estándares de autenticación más fuertes y arquitecturas de billeteras y exchanges más resilientes.
Qué seguir
Seguir cualquier actualización de ExpressVPN sobre el conjunto de datos de 149 millones de infostealer y nuevos análisis sobre la composición de los datos.
Estar atento a confirmaciones adicionales de Binance respecto a avisos a usuarios, campañas de restablecimiento de contraseñas y revocaciones de sesiones en respuesta a filtraciones de credenciales.
Monitorear análisis más profundos de los investigadores de seguridad sobre los detalles del infográfico, incluyendo las posibles implicaciones cruzadas entre servicios y relaciones entre cuentas comprometidas.
Evaluar el impacto de familias más nuevas de infostealer como Stealka en billeteras cripto y extensiones de navegador, y cualquier cambio resultante en las herramientas defensivas o estándares de seguridad del mercado.
Fuentes y verificación
Blog de ExpressVPN: análisis de Jeremiah Fowler sobre el conjunto de datos de 149 millones de infostealer y los servicios afectados.
Blog de seguridad de Binance (marzo 2025): declaraciones sobre monitoreo de credenciales, alertas a usuarios, campañas de restablecimiento de contraseñas y revocación de sesiones en respuesta al incidente.
Investigación de Kaspersky: análisis de Stealka y su focalización en billeteras, extensiones de navegador y exchanges, incluyendo un alcance amplio en navegadores y plataformas.
Cobertura de Cointelegraph: discusión sobre incidentes relacionados, incluyendo la brecha de SwapNet y otros eventos de seguridad en cripto referenciados en la cobertura.
Exposición de credenciales y el panorama de amenazas en evolución
El conjunto de datos expuesto subraya una vulnerabilidad persistente: los dispositivos de consumo que ejecutan software sin parches y prácticas de seguridad débiles siguen siendo terreno fértil para el robo de credenciales. La amplitud de servicios representados significa que los atacantes pueden intentar exploits cruzados, campañas de phishing y tácticas de ingeniería social que alcanzan a los usuarios en los ecosistemas de cripto y en internet convencional. Aunque Binance y otras plataformas enfatizan que los sistemas centrales permanecen seguros, incidentes como este iluminan el riesgo constante asociado a los endpoints de los usuarios y la necesidad de estrategias de defensa en profundidad que integren seguridad en los dispositivos, fortalecimiento de la autenticación y conciencia del usuario.
Qué significa para los usuarios y desarrolladores
Para los usuarios individuales, la conclusión es simple pero impactante: reforzar la importancia de contraseñas únicas y fuertes para cada servicio, habilitar la autenticación multifactor basada en hardware cuando sea posible y mantener actualizado el software de seguridad en todos los dispositivos. Para los desarrolladores y operadores en el espacio cripto, el mensaje es doble: construir flujos de autenticación que resistan ataques de relleno de credenciales y reutilización de contraseñas, e invertir en campañas de educación del usuario que destaquen la importancia de la higiene de credenciales más allá de la pantalla de inicio de sesión. En un entorno donde los atacantes usan cada vez más servicios legítimos como escalones, la protección robusta de la identidad se convierte en un elemento fundamental de confianza y resiliencia en los ecosistemas cripto.
Este artículo fue publicado originalmente como 149M Infostealer Data Dump Reveals Crypto Users on Crypto Breaking News – tu fuente confiable para noticias de cripto, noticias de Bitcoin y actualizaciones de blockchain.
