El 2026 no comenzó con fuegos artificiales de esperanza, sino con el goteo incesante de 96 gigabytes de datos robados que han puesto en jaque la estabilidad financiera de millones de usuarios alrededor del mundo.
El investigador de ciberseguridad Jeremiah Fowler, descubrió y reportó a través del Blog de ExpressVPN, algo más que una simple filtración corporativa, ya que informó prácticamente sobre el censo más revelador del submundo criminal en los últimos tiempos realizado con Malware del tipo Infostealer (ladrón de información).
Y es que, un total de 149 millones de inicios de sesión y contraseñas quedaron expuestos en una base de datos sin protección, revelando que el malware Infostealer es hoy la pandemia silenciosa de nuestra era digital está creciendo exponencialmente sin nada que lo detenga.
A diferencia de los grandes pirateos de la década pasada, donde un atacante vulneraba los servidores de un banco o una red social, este desastre ocurrió en el eslabón más débil de la cadena, el dispositivo del usuario.
A través de copias piratas de software, falsos mods de videojuegos como Roblox y correos de phishing hiperrealistas generados por IA, los delincuentes lograron instalar pequeños programas espía en millones de hogares.
Estos infostealers no solo anotan teclas pulsadas; saquean la “memoria” del navegador, llevándose contraseñas guardadas, datos de autocompletado y, lo más valioso, las cookies de sesión con las cuales después recrear una sesión para loguearse sin necesidad de tener que ingresar las contraseñas.
El reporte de Fowler es escalofriante por su variedad que datos almacenados, desde 17 millones de cuentas de Facebook y 6.5 millones de Instagram, hasta accesos críticos a dominios gubernamentales .gov de múltiples países. Sin embargo, el sector que hoy sangra con mayor intensidad es el de las criptomonedas.
Dentro del botín de Fowler, se identificaron al menos 420.000 credenciales vinculadas a Binance, aunque el problema no termina en el nombre de usuario y la clave, ya que el intercambio más grande del mundo, junto con otros como Coinbase y OKX, han tenido que emitir alertas de emergencia debido a una vulnerabilidad que muchos consideraban una “mejora de vida” y seguridad, la sincronización en la nube del 2FA de Google Authenticator.
Concretamente, “el atacante ya no necesita tu teléfono físico”, explica un analista de seguridad consultado para este reporte. “Si el infostealer capturó tu sesión de Google, y tienes activa la sincronización de tus códigos 2FA, el criminal simplemente descarga tus llaves maestras en su propio equipo. Es como si le entregaras al ladrón no solo la llave de tu casa, sino también la combinación de la caja fuerte«.
Esta técnica de robo de sesiones ha permitido que cientos de cuentas de criptomonedas sean vaciadas en cuestión de segundos, saltándose barreras que hasta hace poco se consideraban infranqueables.
Es por ello que el mercado cripto, que ya enfrenta la volatilidad propia de este inicio de 2026 con un oro superando los 5.100 dólares por onza, ahora debe lidiar con una crisis de confianza sistémica.
Fowler describió la base de datos como una “lista de deseos para criminales”, cuyo contenido no era solo un montón de texto ilegible; estaba meticulosamente organizado por “host”, permitiendo a cualquier delincuente con un navegador web filtrar víctimas por su valor neto.
Por si te preguntas, si ¿Tienes cuenta en un banco de inversión? Estás en la lista. ¿Eres un jugador de Roblox con ítems raros? Estás en la lista. ¿Manejas fondos en una billetera de criptomonedas? Eres el objetivo prioritario y podrías estar en la lista.
La base de datos creció ante los ojos del propio Fowler mientras él intentaba que el proveedor de hosting en Canadá la diera de baja, un proceso que tomó casi un mes, tiempo suficiente para que el daño fuera irreversible para miles de personas.
No obstante, Binance y otras plataformas han sido enfáticas en señalar que esto no fue una brecha en sus servidores. Sus sistemas son seguros; son los usuarios quienes están desarmados. La recomendación oficial ha pasado de ser un consejo a una exigencia: el uso de hardware físico.
En medio de este reporte y otros a finales de 2025, el auge de las llaves FIDO2 (como las YubiKey) se ha disparado, porque la industria está empujando a los usuarios hacia el “Passwordless” (un mundo sin contraseñas), donde la identidad se valida mediante un chip físico o biometría local que ningún malware puede copiar desde la distancia.
“Si no puedes tocar tu método de seguridad, un hacker en otro continente tampoco puede robarlo”, resume el informe de ExpressVPN. De hecho, es la opción más válida para aquellos que tienen cuentas en criptointercambios o manejan criptomonedas en billeteras locales en sus equipos.
Para el ciudadano común, la revelación de Fowler es una llamada de alerta, porque la era de confiar ciegamente en el navegador para “recordar” nuestras claves ha terminado. Tras el incidente, los expertos sugieren tres pasos críticos inmediatos que comienzan por cerrar todas las sesiones activas en Google, Facebook y cualquier criptointercambio de cripto, forzando el cierre de sesión en “todos los dispositivos” para invalidar las cookies robadas.
Luego desvincular el 2FA de la nube, ya que si usas Google Authenticator como método de seguridad 2FA, debes desactivar la sincronización con tu cuenta de Gmail. En muchos casos, es preferible el riesgo de perder el teléfono al riesgo de que te roben la cuenta de Google y con ella todos tus accesos.
Lo otro es clave, migrar a Linux o entornos cerrados, como lo destaca el reporte, explicando que la inmensa mayoría de las víctimas usaban sistemas operativos tradicionales con permisos de administrador laxos, como Windows.
Este tipo de vulnerabilidades, está haciendo que muchos usuarios migren cada vez más a sistemas más robustos y menos comerciales, los cuales están viendo un pico de adopción gracias a una mayor demanda por la seguridad.
Por otra parte, si necesitas validar si tus datos han sido comprometidos, puedes verificarlo a través del sitio Have I Been Pwned, que es el estándar de la industria para buscar cuentas de emails que están en manos de ciberdelincuentes. También, si posees una cuenta en Google, acceder a Google Dark Web Report en la configuración de seguridad de tu cuenta, para verificar si tu email o claves están en los foros de ciberpiratas.
La filtración de 149 millones de registros descubierta por Fowler es literalmente el mapa de la vulnerabilidad humana en 2026. Vale comprender que mientras la inteligencia artificial facilita la creación de malware, la única defensa real sigue siendo la educación y la adopción de barreras físicas.
Por lo tanto, en la jungla digital de hoy, el usuario que no evoluciona su seguridad, está destinado a ser parte de la próxima base de datos expuesta.