Los investigadores de ciberseguridad de Synthient descubrieron una colección de 183 millones de contraseñas de correo electrónico, incluidos millones de cuentas de Gmail, expuestas a través de campañas de malware de robo de información. Los datos aparecieron en la base de datos Have I Been Pwned el 21 de octubre de 2025, debido al monitoreo de canales subterráneos, lo que marca una de las mayores fugas de credenciales del año. Google abordó el incidente públicamente y rechazó las afirmaciones de una violación directa de la seguridad de Gmail. En un comunicado en las redes sociales, la compañía declaró que «los informes de una ‘violación de seguridad de Gmail que afecta a millones de usuarios’ son falsos». Los funcionarios enfatizaron que las credenciales comprometidas se originaron a partir de infecciones de malware en los dispositivos de usuarios individuales, no de ninguna vulnerabilidad en la infraestructura del servidor de Gmail. Esta distinción resalta cómo los datos se recopilaron a través de amenazas persistentes dirigidas a los sistemas de los usuarios finales en lugar de fallas de servicios centralizados. El conjunto de datos surge de casi un año de monitoreo intensivo por parte de Synthient, una firma de ciberseguridad enfocada en rastrear las actividades de los ladrones de información. Los investigadores observaron que las credenciales se compartían y vendían en plataformas como Telegram, varios sitios de redes sociales y foros de la web oscura. Estas redes subterráneas sirven como centros donde los ciberdelincuentes intercambian información robada obtenida de máquinas infectadas en todo el mundo. Troy Hunt, el creador y mantenedor del servicio Have I Been Pwned, analizado la presentación y confirmó su escala, señalando que comprende 3,5 terabytes de datos que abarcan 23 mil millones de registros en total. Para autenticar el contenido, Hunt se puso en contacto con los usuarios que figuran en la filtración. Un suscriptor afectado respondió afirmativamente, afirmando que la información filtrada coincidía con «una contraseña precisa para mi cuenta de Gmail». Este proceso de verificación implicó cotejar los detalles con infracciones conocidas e informes de usuarios, garantizando la legitimidad del conjunto de datos. Los registros en sí consisten en elementos específicos capturados durante las interacciones de los usuarios: URL de sitios web donde se produjeron los inicios de sesión, direcciones de correo electrónico asociadas y las contraseñas correspondientes ingresadas en esos sitios. Toda esta información se recopiló automáticamente de dispositivos que ya estaban comprometidos por malware, a menudo durante actividades rutinarias en línea, como consultar el correo electrónico o acceder a portales bancarios. El análisis del conjunto de datos revela patrones en el historial de exposición. Precisamente el 91 por ciento de las credenciales habían surgido en violaciones de datos anteriores documentadas en otros lugares. Por el contrario, alrededor de 16,4 millones de direcciones de correo electrónico representaban entradas completamente nuevas, nunca antes identificadas en ningún registro de violaciones. La inclusión de contraseñas actualmente activas aumenta el potencial de ataques de relleno de credenciales, donde los atacantes utilizan estas combinaciones válidas para intentar el acceso no autorizado en numerosas plataformas, explotando la reutilización de los datos de inicio de sesión en todos los servicios. El malware Infostealer ha proliferado como un importante vector de amenazas. Los investigadores registraron un aumento del 800 por ciento en las credenciales robadas solo durante los primeros seis meses de 2025. Estos programas funcionan de forma encubierta en sistemas infectados, extrayendo metódicamente datos confidenciales, incluidas credenciales de inicio de sesión, información almacenada del navegador y tokens de sesión activa, sin activar alertas obvias. Benjamin Brundage, investigador de Synthient, detalló cómo sus herramientas de vigilancia capturaron picos de hasta 600 millones de credenciales robadas procesadas en un solo día durante períodos de mayor actividad de malware. El malware se difunde principalmente a través de canales engañosos. Los vectores comunes incluyen correos electrónicos de phishing que engañan a los destinatarios para que abran archivos adjuntos o enlaces maliciosos, descargas de software aparentemente legítimo con código dañino y extensiones de navegador que han sido manipuladas para incluir puertas traseras. En muchos casos, las infecciones persisten sin ser detectadas durante períodos prolongados, lo que permite una filtración prolongada de datos mientras los usuarios continúan usando el dispositivo con normalidad. En respuesta, Google recomienda medidas de protección específicas para usuarios en riesgo. Habilitar la verificación en dos pasos agrega una capa adicional de seguridad más allá de las contraseñas, y requiere una segunda forma de autenticación, como un código móvil. La compañía también promueve las claves de acceso como una alternativa sólida a las contraseñas convencionales, aprovechando los estándares criptográficos para una mayor protección contra el phishing y el robo. Las personas pueden verificar si sus direcciones de correo electrónico o credenciales están incluidas en esta filtración buscando en el sitio web Have I Been Pwned. Quienes encuentren coincidencias deben actualizar rápidamente sus contraseñas a versiones únicas y seguras y habilitar la autenticación multifactor en todas las cuentas relevantes para mitigar riesgos adicionales.
