AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Opinión

### Más de 16.000 millones de credenciales expuestas: análisis del mayor volcado de datos hasta la fecha

admin

#### Introducción

El panorama de la ciberseguridad vuelve a verse sacudido tras la publicación de un masivo volcado de credenciales, que suma más de 16.000 millones de combinaciones de usuario y contraseña filtradas en foros de cibercriminales. Este incidente, considerado ya el mayor de su clase, pone en jaque la seguridad de empresas, organismos públicos y usuarios particulares a nivel global. En este artículo, analizamos en profundidad los detalles técnicos del incidente, los vectores de ataque implicados y las acciones inmediatas que deben adoptar los profesionales de la seguridad y las organizaciones.

#### Contexto del Incidente

A principios de junio de 2024, diversos foros de la darknet y canales de intercambio en Telegram comenzaron a distribuir un archivo agregado que, según los actores implicados, contiene más de 16.000 millones de credenciales. Esta filtración no se produce por una única brecha, sino que se trata de un compendio de datos procedentes de múltiples ataques y compromisos previos, combinados con nuevas credenciales obtenidas mediante técnicas como phishing, credential stuffing y ataques de malware tipo info-stealer.

Este tipo de leaks, conocidos como «combo lists», suelen emplearse de forma masiva en ataques automatizados orientados a la toma de control de cuentas (ATO, Account Takeover). La novedad en este caso es la magnitud del listado y la actualización de una parte significativa de las credenciales, algunas de ellas extraídas de incidentes recientes aún no reportados en los canales tradicionales.

#### Detalles Técnicos

– **CVE y exploits conocidos:** Aunque este incidente en sí no corresponde a una vulnerabilidad específica con identificador CVE, se nutre de los resultados de explotaciones previas, muchas de ellas asociadas a vulnerabilidades como CVE-2023-34362 (MOVEit), CVE-2024-21412 (vulnerabilidad de día cero en Microsoft Exchange) y múltiples fallos en gestores de contraseñas y plataformas cloud.
– **Vectores de ataque:** Los principales vectores utilizados para alimentar este mega-volcado han sido:
– Malware info-stealer (RedLine, Raccoon Stealer, Vidar, entre otros), que exfiltra credenciales almacenadas en navegadores y aplicaciones.
– Campañas de phishing dirigidas y masivas que capturan datos de acceso.
– Credential stuffing mediante frameworks como Sentry MBA, Snipr o OpenBullet, apoyados en infraestructura C2 y proxys rotatorios.
– Explotación de APIs no securizadas y brechas en servicios SaaS.
– **TTPs MITRE ATT&CK:** Las técnicas más relevantes observadas corresponden a:
– T1078 (Valid Accounts)
– T1110 (Brute Force)
– T1555 (Credentials from Password Stores)
– T1081 (Credentials in Files)
– **Indicadores de compromiso (IoC):** Se han detectado listas de direcciones IP asociadas a bots de credential stuffing, hashes de archivos .txt y .csv distribuidos a través de foros underground, y dominios de phishing activos durante las últimas semanas.

#### Impacto y Riesgos

El alcance de este incidente es global y afecta tanto a grandes corporaciones como a pequeñas empresas y usuarios domésticos. Según los primeros análisis, alrededor del 30% de las credenciales presentes en el volcado siguen activas, lo que incrementa el riesgo de compromisos masivos por ATO, fraude financiero, acceso no autorizado a infraestructura crítica y campañas de ransomware.

Algunas estimaciones sitúan el impacto económico potencial en más de 1.000 millones de dólares en pérdidas directas e indirectas, si se tiene en cuenta la posibilidad de secuestro de cuentas corporativas, exfiltración de datos sensibles y afectación de servicios esenciales. Además, organizaciones sujetas a la GDPR y la inminente NIS2 podrían enfrentarse a sanciones severas en caso de no gestionar adecuadamente la exposición de datos personales.

#### Medidas de Mitigación y Recomendaciones

– **Rotación inmediata de contraseñas** en todos los servicios críticos y activación forzosa de doble factor (MFA/2FA), especialmente en accesos VPN, email corporativo y paneles de administración.
– **Monitorización proactiva** de credenciales expuestas mediante servicios de Threat Intelligence y comprobación periódica en bases de datos como Have I Been Pwned o servicios gestionados.
– **Revisión y endurecimiento de políticas de acceso**, aplicando principios de mínimo privilegio y segmentación de redes.
– **Despliegue de soluciones antiphishing y anti-malware** en endpoints y correo electrónico.
– **Simulacros de respuesta e incidentes** (tabletop exercises) para preparar al personal ante intentos de ATO masivo.
– Integración de **herramientas de detección de anomalías en el comportamiento de usuarios** (UEBA) en entornos críticos.

#### Opinión de Expertos

Especialistas como Javier Candau, Jefe del Departamento de Ciberseguridad en INCIBE, subrayan la importancia de combinar la tecnología con la concienciación: “No basta con cambiar contraseñas, hay que aplicar modelos de autenticación adaptativa y segmentar el acceso. Las organizaciones que aún dependen del usuario/contraseña como único método están en el punto de mira”.

Desde Kaspersky, Ivan Kwiatkowski, Senior Security Researcher, señala: “El verdadero problema no es la filtración, sino el tiempo de reacción de las empresas y la persistencia del uso de credenciales recicladas en diferentes servicios”.

#### Implicaciones para Empresas y Usuarios

Para las empresas, este incidente pone de manifiesto la urgencia de ir más allá de la simple gestión de contraseñas, adoptando modelos Zero Trust, implementando soluciones de PAM (Privileged Access Management) y reforzando la cultura de ciberhigiene interna.

Los usuarios particulares deben extremar la precaución, revisando si sus cuentas se encuentran entre las afectadas y evitando la reutilización de contraseñas en servicios distintos. El uso de gestores de contraseñas robustos y la activación de MFA son ya requisitos mínimos, no recomendaciones.

#### Conclusiones

El volcado de más de 16.000 millones de credenciales marca un nuevo hito en la escalada de riesgos asociados a la identidad digital. La combinación de técnicas avanzadas de exfiltración, la automatización de ataques y la falta de medidas robustas de autenticación sigue propiciando este tipo de incidentes masivos. La respuesta rápida, la monitorización continua y el refuerzo de las políticas de acceso son, hoy más que nunca, elementos críticos en la defensa de las organizaciones y los usuarios frente a las amenazas emergentes.

(Fuente: www.kaspersky.com)