En los últimos días han proliferado titulares que presentan esta filtración como “la mayor brecha de la historia”, insinuando incluso que Apple, Google o Facebook han sido comprometidas.
La cifra impresiona — 30 bases de datos, 1,2 TB de registros y 16 mil millones de combinaciones —, pero el caso es más complejo de lo que parece a simple vista y admite dos lecturas enfrentadas:
Visión “golpe monumental”
- 16 mil millones de credenciales listas para credential stuffing y phishing.
- Cuentas de Big Tech y de 29 gobiernos incluidas.
- La publicación de las bases sugiere una compilación deliberada para llamar la atención.
Visión “realidad incómoda”
Lo filtrado no es un “hack” único, sino la agregación de logs del malware infostealer (RedLine, Lumma, Raccoon, Vidar…) junto a credenciales antiguas de filtraciones de datos y ataques de credential stuffing. El formato es el clásico URL:usuario:contraseña; muchos registros incorporan cookies y tokens de sesión capaces de saltarse el MFA.
- No hubo un ataque directo a los servicios: los datos proceden de infostealers instalados en equipos de usuarios finales.
- La cifra está inflada; hay duplicados y credenciales ya inválidas. Estudios de SpyCloud sitúan la tasa de repetición por encima del 60 %.
- Lo realmente valioso no son las contraseñas en texto claro, sino las cookies activas y los tokens JWT que permiten mantener sesiones activas.
Datos
| Métrica | Valor aproximado |
| Credenciales totales en la recopilación | 16 000 M |
| Credenciales fechadas entre 2020-2024 | 14 900 M |
| Identidades únicas añadidas a la base de SpyCloud en 2024 | 53,3 M M |
| Organizaciones víctimas de ransomware tras una infección de infostealer | ≈ 1 de cada 3 |
¿Es, entonces, el “robo del siglo”?
Estamos ante un síntoma, no ante un gran atraco puntual. Se trata de la economía industrial de los infostealers: mientras sigan existiendo equipos infectados que generen logs a gran escala y usuarios que reutilicen contraseñas, aparecerán nuevas “megafugas” con cifras impactantes, pero con un trasfondo técnico muy similar.
Recomendaciones
- Desinfectar los dispositivos antes de cambiar contraseñas; de lo contrario, el stealer volverá a capturarlas.
- Adoptar MFA robustos (passkeys/FIDO2) y comprobar que el servicio invalida sesiones tras la rotación de credenciales.
- Utilizar gestores de contraseñas para generar claves únicas y detectar duplicados.
- Reducir la vida de las cookies y monitorizar inicios de sesión anómalos (IP, dispositivo, ubicación).
- Establecer alertas de exposición en dominios corporativos mediante servicios de breach monitoring.
¿Cuánto tiempo tardarías en detectar que alguien mantiene abierta tu sesión mediante una cookie robada? ¿Y cuántos equipos de tu entorno podrían estar filtrando logs en este momento?
Más información
- BleepingComputer – No, the 16 billion credentials leak is not a new data breach
- Times of India — World’s largest data leak: 16 billion credentials exposed
- KELA — Understanding the Infostealer Epidemic in 2025
- SpyCloud — Annual Identity Exposure Report 2025
