Para quienes no tienen tiempo: se ha descubierto una enorme lista con alrededor de 150 millones de contraseñas filtradas, incluidos también cuentas de Suiza. Deberíais cambiar vuestras contraseñas de inmediato, activar la autenticación en dos factores (2FA) y actualizar vuestros dispositivos.
Jeremiah Fowler encontró en Internet una base de datos de acceso público con casi 150 millones de contraseñas filtradas. Contenía direcciones de correo electrónico, nombres de usuario, en algunos casos incluso las URL de inicio de sesión – y, según se ha confirmado, también datos de acceso suizos. Colecciones de datos como esta permiten secuestros de cuentas, fraudes y robos de identidad. Explicamos en un lenguaje sencillo qué ha pasado y cómo podéis protegeros de forma fiable ahora.
¿Qué se descubrió exactamente?
Jeremiah Fowler encontró una base de datos sin protección que contenía 149.404.754 registros. En ella había datos de acceso a servicios como Gmail, Yahoo, Outlook, iCloud, Facebook, Instagram, TikTok, Netflix y más. El proveedor la retiró después del aviso, pero es posible que existan copias circulando.
También aparecieron direcciones .ch. Entre los servicios mencionados estaban Bluewin, Ricardo, Zalando, Parship, Mediamarkt, Interdiscount y Ticketcorner. Aún más delicado: en la lista incluso se encontró una URL para el e‑banking de Raiffeisen.
Según Fowler, se trata de cuentas de usuarios comprometidas, no de sistemas de las empresas que hayan sido hackeados.
¿Cómo acaban nuestras contraseñas en listas como esta?
A menudo mediante malware infostealer: pequeños programas maliciosos que registran los datos de inicio de sesión cuando los introducís.
Los delincuentes también utilizan credential stuffing: prueban automáticamente combinaciones filtradas en numerosos sitios web.
Si reutilizáis contraseñas, la probabilidad de que os tomen una cuenta es muy alta.
¿Estoy afectado/a?
Nunca se puede saber con un 100 % de certeza.
Pero podéis comprobar rápidamente si vuestra dirección de correo aparece en filtraciones conocidas – por ejemplo en haveibeenpwned.com.
Atención: incluso si no aparece ningún resultado, vuestra cuenta podría estar igualmente en riesgo, ya que los datos pueden revenderse o aún no estar publicados.
Qué debéis hacer ahora mismo (paso a paso)
- Cambiar las contraseñas
Empezad por las cuentas de correo electrónico y luego por los servicios importantes (banca, compras online, redes sociales, nube, streaming).
Usad contraseñas fuertes y únicas para cada servicio.
Un gestor de contraseñas es muy útil. - Activar la autenticación en dos factores (2FA)
Preferiblemente mediante una aplicación que genere códigos (p. ej., Authenticator).
Esto bloquea muchos ataques incluso si la contraseña se ha filtrado. - Actualizar los dispositivos y ejecutar un análisis antivirus
Esto corrige vulnerabilidades y detecta posibles infostealers.
Sustituid los dispositivos antiguos que ya no reciben actualizaciones de seguridad. - No reutilizar contraseñas
Cada cuenta debe tener su propia contraseña.
Así se evitan efectos en cadena provocados por credential stuffing. - Supervisar vuestras cuentas
Prestad atención a inicios de sesión inusuales, restablecimientos de contraseña, nuevos pedidos o movimientos de dinero.
Reaccionad inmediatamente ante cualquier indicio sospechoso.
Por qué este tema nos afecta a todos
Las cuentas de correo electrónico son la llave de muchos servicios: quien controle vuestro correo puede restablecer contraseñas y tomar el control de otras cuentas.
Por eso las contraseñas filtradas son tan peligrosas – incluso si solo parece estar afectada una cuenta.
Con unos pocos pasos sencillos – contraseñas fuertes, 2FA, actualizaciones – podéis reducir drásticamente el riesgo.
Conclusión
La mega‑lista descubierta por Jeremiah Fowler demuestra que las contraseñas filtradas no son un problema marginal, sino una realidad cotidiana en Internet. Debéis actuar ahora: cambiar contraseñas, activar la 2FA, asegurar los dispositivos y dejar de reutilizar contraseñas.
En resumen: ha llegado el momento de usar una contraseña única para cada servicio y activar la autenticación multifactor siempre que esté disponible – cualquier otra práctica es negligente.
