Se filtraron en Internet 16 mil millones de contraseñas
Las contraseñas son un elemento básico tanto en internet como en la informática en general. A pesar de la aparición de nuevos protocolos de autenticación, desde claves de acceso hasta la biometría, la mayoría de nosotros las usamos para acceder a nuestras cuentas y sitios web diarios mediante un código compuesto por letras, números y símbolos.
El problema es que la contraseña fue en realidad un producto de su época y no encaja en la era digital moderna. Las amenazas a la ciberseguridad han evolucionado tanto que superan la capacidad de una contraseña para protegerse, que se han convertido en un problema, incluso si se siguen las mejores prácticas para crearlas y mantenerlas seguras. Un ejemplo: la noticia de la última filtración de datos, una de las más grandes de la historia, en la que los investigadores descubrieron no millones, sino miles de millones de contraseñas circulando por la web.
Se filtraron en Internet dieciséis mil millones de contraseñas
Cybernews publicó la noticia el viernes: Este año, los investigadores del medio encontraron 30 conjuntos de datos expuestos en internet, cada uno conteniendo entre decenas de millones y más de 3.500 millones de registros. Según los investigadores, han encontrado un total de 16.000 millones de contraseñas filtradas en la web.
Además, todas estas contraseñas son nuevas filtraciones. Ninguna de ellas se había reportado en filtraciones de datos anteriores, salvo aproximadamente 180 millones de contraseñas encontradas en mayo en una base de datos desprotegida. Los investigadores afirman que siguen encontrando nuevos conjuntos de datos masivos cada pocas semanas, por lo que los descubrimientos no parecen disminuir.
Según los investigadores, la estructura de los datos sugiere firmemente que las credenciales filtradas fueron robadas por infostealers, un tipo de malware que extrae información de los dispositivos precisamente para este tipo de información. Los cibercriminales lograron obtener los datos de inicio de sesión de las principales cuentas, como Apple, Google, GitHub, Facebook, Telegram y servicios gubernamentales. Como aclara Cybernews, esto no significa que dichas empresas sufrieran filtraciones de datos; más bien, la base de datos contenía las URL de inicio de sesión de las páginas de inicio de sesión de estas empresas, extraídas de dispositivos individuales, probablemente mediante malware.
Algunas credenciales también contenían datos adicionales, además de nombres de usuario y contraseñas, como cookies y tokens de sesión. Esto significa que es posible que esta información se utilice para eludir la autenticación de dos factores (2FA) en ciertas cuentas, especialmente aquellas que no restablecen las cookies tras cambiar la contraseña.
Si hay un aspecto positivo de esta historia, es el hecho de que las 16 mil millones de contraseñas filtradas no representan 16 mil millones de registros individuales; hay cierta superposición, aunque no está claro cuánta: si bien es seguro decir que menos de 16 mil millones de cuentas individuales se vieron afectadas por estas violaciones, también es difícil saber el número exacto.
¿Qué pueden hacer los actores maliciosos con estos datos?
En primer lugar, si tus cuentas solo están protegidas por una contraseña y no has cambiado su contraseña recientemente, un actor malicioso podría usar esta base de datos de contraseñas filtrada para acceder a tu cuenta.
Pero las implicaciones van más allá. Como se mencionó anteriormente, las cookies y los tokens de sesión filtrados podrían usarse para acceder a cuentas con una autenticación de dos factores (A2F) más débil. Si tu cuenta no restablece las cookies después de cambiar tu contraseña, podrían engañar al sistema de A2F haciéndoles creer que han proporcionado el código o la credencial correctos. También pueden usar esta información en estrategias de phishing: los hackers pueden usar tu contraseña para generar un código de A2F. Cuando recibas el código, intentarán engañarte para que lo entregues, haciéndose pasar por la empresa responsable de la cuenta en cuestión. Si envías el código, obtendrán acceso a tu cuenta.
Por qué es hora de dejar de usar contraseñas por completo
Este nivel de sofisticada (y rutinaria) filtración de datos no era común cuando la contraseña se popularizó como la principal herramienta de seguridad digital. Durante años, expertos en tecnología y ciberseguridad han insistido en la importancia de usar una combinación de contraseñas seguras y únicas, herramientas de gestión de contraseñas y autenticación de dos factores (2FA) para mantener las cuentas seguras. Todas estas herramientas siguen siendo importantes hoy en día, pero cuando existe malware que puede extraer tus credenciales directamente de tus dispositivos, estas tácticas ya no parecen tan infalibles.
El hecho es que un sistema de seguridad que depende de algo que pueda ser robado no es un sistema seguro en 2025. Las cosas deben cambiar, y afortunadamente, ya lo están haciendo.
Las claves de acceso son mucho más seguras
De ahora en adelante, es hora de tomar las claves de acceso mucho más en serio. A diferencia de las contraseñas, las claves de acceso no corren riesgo de robo, ni los delincuentes pueden engañarte para que se las envíes. La tecnología está vinculada a un dispositivo personal, como un smartphone, y protegida mediante una autenticación robusta. Sin un escaneo facial, un escaneo de huellas dactilares o la introducción del PIN en dicho dispositivo, nadie podrá acceder a tu cuenta.
Las claves de acceso combinan las mejores partes de las contraseñas y la 2FA: son convenientes, ya que te autenticas rápidamente con tu teléfono inteligente (como completar automáticamente con un administrador de contraseñas), pero también requieren que ese dispositivo personal esté en tu posesión para acceder a la cuenta, de manera similar a cómo necesitas un método de autenticación secundario para iniciar sesión con 2FA.
Cada vez más empresas, como Apple, Google, Facebook, Microsoft y X, están adoptando claves de acceso como método de autenticación. Si alguna de tus cuentas admite claves de acceso, te recomiendo encarecidamente que las configures. De esta forma, estarás protegido ante la próxima filtración de datos.
Qué hacer con las cuentas que no aceptan claves de acceso
Por supuesto, no todas las cuentas pueden usar claves de acceso actualmente. En esos casos, deberás reforzar la seguridad de tu contraseña lo mejor posible.
Primero, asegúrate de que cada una de tus cuentas tenga una contraseña segura y única. Esto significa que sea difícil de adivinar, tanto para humanos como para computadoras, y que no hayas usado antes para ninguna otra cuenta. Si bien no es necesario cambiar tus contraseñas con tanta frecuencia como sugieren los consejos de seguridad tradicionales, dadas las noticias, te conviene actualizarlas, por si acaso.
Es imposible recordar todas esas contraseñas seguras y únicas, y ahí es donde entra en juego un buen gestor de contraseñas. Estos servicios utilizan un cifrado robusto para proteger tu base de datos de contraseñas: solo necesitas recordar la contraseña segura y única que usas para acceder al gestor, y la aplicación puede recordar el resto. Algunos de estos servicios también incluyen otras herramientas, como la generación de código de autenticación, por lo que la inversión merece la pena. PCMag tiene una lista de los mejores gestores de contraseñas de 2025 , si buscas recomendaciones probadas.
Hablando de autenticadores, configura la 2FA para todas las cuentas que la admitan (que, por ahora, deberían ser la mayoría). Si bien las claves de acceso son el método de autenticación más sólido, la 2FA refuerza tu seguridad en caso de que se filtre tu contraseña. Sin el código ni una herramienta de autenticación, como una llave de seguridad, los atacantes no podrán acceder a tu cuenta, ni siquiera con tu contraseña.
Finalmente, dado que cada vez más sitios web y empresas admiten claves de acceso (incluido Facebook, a principios de esta semana), estate atento a la opción en tus cuentas y cámbialas lo antes posible. Cuídate.
