Investigadores descubrieron una recopilación de unos 24.000 millones de registros robados —nombres de usuario, contraseñas y otros datos sensibles de cuentas— accesible abiertamente en internet antes de que fuera retirada. El conjunto se había agregado a partir de 36 fuentes distintas: canales de Telegram, recopilaciones de filtraciones anteriores y, sobre todo, registros de malware tipo infostealer.

La cifra es engañosa: no son 24.000 millones de personas, sino de registros, con enormes duplicidades y datos antiguos. Pero el peligro real está en los infostealers, el malware que roba credenciales directamente del navegador de la víctima. Esas contraseñas son frescas y funcionales, y alimentan ataques de «credential stuffing»: probar combinaciones robadas en masa contra otros servicios.

La acumulación de estos megavolcados convierte la reutilización de contraseñas en un riesgo casi garantizado. Si una clave aparece en uno de estos archivos, cualquier servicio donde se repita queda expuesto.

Estos megavolcados generan titulares por su tamaño, pero el número es lo de menos: lo que importa es que las credenciales de infostealer son frescas y se prueban en segundos contra todo lo demás. La señal real no es la filtración, sino que el robo de credenciales se ha industrializado: el infostealer roba, el mercado agrega y el credential stuffing monetiza, en un circuito automatizado. La defensa, además, ya se conoce —autenticación en dos pasos y gestores de contraseñas—, lo que convierte cada cuenta comprometida sin 2FA en una decisión, no en una fatalidad. La contraseña, como mecanismo único, lleva años muerta; solo que aún no la hemos enterrado.