Fecha de publicación: 27 de enero de 2026
Gravedad: Alta
Servicios Afectados: (Binance, Instagram, Facebook, Roblox, TikTok, Gmail, etc)
I. Descripción
Jeremiah Fowler, un investigador en ciberseguridad, encontró una filtración de datos que contenía 149 millones de inicios de sesión y contraseñas, y dio a conocer su descubrimiento a ExpressVPN. La base de datos que se presentó en público no tenía protección por medio de una contraseña ni estaba cifrada.
Albergaba 149.404.754 contraseñas e inicios de sesión únicos, lo que daba un total de 96 GB de datos brutos de credenciales. Esta cantidad de credenciales expuestas constituye un riesgo importante para la seguridad de los sistemas informáticos y puede afectar significativamente la privacidad y seguridad del usuario. La exposición de credenciales de servicios como Gmail, Facebook, y más, sugiere que los ciberdelincuentes pueden utilizar esta información para acceder a cuentas y realizar actividades fraudulentas.
La base de datos era de acceso público, lo que permitía a cualquiera que la descubriera acceder potencialmente a las credenciales de millones de personas.
II. Detalle
Cantidad de credenciales expuestas ordenadas por servicios de más a menos:
48M – Gmail
17M – FaceBook
6.5M – Instragram
4M – Yahoo
3.4M – Netflix
1.5M – Outlook
1.4M – .edu
900k – iCloud
780k – TikTok
420k – Binance
100k – OnlyFans
III. Soluciones, herramientas e información
Gestión de contraseñas y autenticación fuerte
- Gestores de contraseñas: Herramientas como 1Password, Bitwarden o LastPass ayudan a generar y almacenar contraseñas únicas y fuertes para cada cuenta, reduciendo el riesgo de reutilización de contraseñas comprometidas.
- Autenticación multifactor (MFA): Activa MFA siempre que sea posible (por ejemplo, con apps de autenticación o llaves físicas como YubiKey). Esto añade una capa de seguridad incluso si las credenciales fueron expuestas.
Verificación de exposición de credenciales
- Servicios de comprobación de brechas como Have I Been Pwned permiten a los usuarios verificar si su dirección de correo electrónico o contraseña ha aparecido en filtraciones.
- Algunos proveedores como Google o Meta cuentan con herramientas integradas de seguridad que revisan si tus contraseñas guardadas han sido expuestas.
Antimalware y detección de amenazas
- Software antimalware/antivirus actualizado: Programas como Malwarebytes, Windows Defender o soluciones corporativas con EDR (Endpoint Detection and Response) detectan infostealers y keyloggers que pueden robar credenciales directamente desde dispositivos.
- Actualización constante de sistemas y aplicaciones: Mantener el sistema operativo y apps al día cierra vulnerabilidades explotadas por malware y reduce la probabilidad de infección.
Educación y mejores prácticas de seguridad
- Concientización sobre phishing y ingeniería social: Los atacantes suelen usar credenciales robadas para campañas de phishing dirigidas o ataques de “credential stuffing”. Capacitar a usuarios y equipos en reconocer correos fraudulentos y señales de ataque reduce riesgos.
- Revisar y limitar permisos de aplicaciones: Muchas apps solicitan permisos excesivos que pueden aumentar la superficie de ataque. Auditar permisos y revocarlos cuando no sean necesarios ayuda a minimizar exposición
Protección de cuentas críticas
- Emails y finanzas primero: Especial atención a cuentas de correo electrónico (Gmail, Outlook, Yahoo), servicios financieros y plataformas de criptoactivos (como Binance).
- Revisar sesiones y dispositivos activos: Muchas plataformas permiten ver sesiones iniciadas y cerrar aquellas que no reconozcas.
IV Fuentes:
Ruiz, J. (2026, 24 de enero). Una base de datos pública expuso 149 millones de contraseñas: Lo que no te están contando y cómo afecta tu identidad digital. Adtech. https://adtech.com.mx/exposicion-masiva-contrasenas-riesgos-ocultos/
Fowler, J. (2026, 23 de enero). 149M logins and passwords exposed online including financial accounts, Instagram, Facebook, Roblox, dating sites, and more. ExpressVPN. https://www.expressvpn.com/blog/149m-infostealer-data-exposed/
Guru Writer. (2026, 27 de enero). 149 million compromised credentials expose growing infostealer malware crisis. IT Security Guru. https://www.itsecurityguru.org/2026/01/27/149-million-compromised-credentials-expose-growing-infostealer-malware-crisis/
Spadafora, A. (2026, 26 de enero). 149 million logins and passwords exposed for Gmail, Facebook, Instagram and more — everything you need to know. Tom’s Guide. https://www.tomsguide.com/computing/online-security/149-million-passwords-for-gmail-facebook-instagram-and-other-popular-services-exposed-online-how-to-stay-safe-after-this-major-leak