24 mil millones de inicios de sesión y contraseñas robadas se han recopilado en un solo lugar: en un servidor abierto al que cualquiera podía conectarse. El hallazgo de los investigadores de Cybernews no es simplemente otra "filtración de N millones". Es una vitrina de toda una industria: los infostealers roban credenciales, las listas de combinaciones las agregan, y ejércitos de bots las prueban en sitios, disfrazando cada intento como si fuera un usuario real mediante proxies residenciales y móviles. Analizamos lo que encontraron, cómo funciona el credential stuffing y por qué este mercado sombrío afecta también al scraping web legal y al multi-cuentas.
Qué sucedió: 8,3 TB y 24 mil millones de registros en un solo servidor
El 12 de junio de 2026, los investigadores de Cybernews descubrieron un clúster de Elasticsearch abierto de 8,3 terabytes, que contenía 24 mil millones de registros con credenciales. La base no estaba protegida por contraseña ni por ninguna autenticación: cualquiera que conociera la dirección podía leerla. Poco después de la publicación del hallazgo, el servidor fue llevado a offline, por lo que los investigadores no pudieron llegar al propietario.
El conjunto se recopiló de 36 fuentes, y este es un detalle clave. La mayor parte son lo que se llaman "colecciones" (alrededor de 22,6 mil millones de registros), pero la estructura del resto es especialmente reveladora:
- más de 1,7 mil millones de registros fueron extraídos directamente de canales de Telegram: más de 30 de las 36 fuentes resultaron ser canales donde se comercia abiertamente con datos robados;
- alrededor de 260 millones de registros provienen de canales con referencias a "Darkside";
- alrededor de 150 millones son volcado locales de bases de datos;
- alrededor de 146 millones son compilaciones de filtraciones anteriores (listas de combinaciones).
Dentro no hay solo "correo electrónico y contraseña". Una parte significativa del conjunto son registros de infostealers: malware como RedLine, Lumma y Vidar, que extraen todo lo que pueden del navegador infectado. En los registros más completos se encuentran contraseñas guardadas, cookies de sesión y tokens — incluidos aquellos que permiten eludir la autenticación de dos factores, datos de autocompletado, huellas de dispositivos y, a veces, criptobolsas. Cada registro suele estar acompañado de la URL del servicio al que corresponde la contraseña, es decir, una instrucción lista de "dónde iniciar sesión".
Otro detalle alarmante: por indicios indirectos (se encontraron enlaces a materiales recientes hasta 2026 dentro del conjunto), se puede ver que el propietario actualizaba regularmente la base. No es un vertedero de archivos, sino una herramienta viva y actualizada.
Cómo se hace dinero con las contraseñas filtradas: credential stuffing
Por sí solo, una lista de "inicio de sesión-contraseña" es inútil hasta que se verifique en sitios reales. Esto es lo que hace el credential stuffing: los bots automatizados toman pares robados y los prueban masivamente en cientos de servicios, confiando en que las personas utilizan la misma contraseña en varios lugares.
La magnitud del problema se puede ver claramente en los datos de Verizon DBIR de 2025. El credential stuffing representaba una mediana del 19% de todos los intentos de inicio de sesión diarios en los registros de proveedores de SSO, en grandes empresas la proporción alcanzaba hasta 25%, y en el peor día registrado, hasta 44% de todo el tráfico de inicios de sesión. Las credenciales robadas fueron el vector inicial en 22% de los hackeos confirmados. Solo en 2025, se recopilaron alrededor de 2 mil millones de pares únicos de listas de combinaciones del darknet — y ahora, en un solo servidor, había 24 mil millones de registros.
Y aquí es donde comienza la parte que afecta directamente a la industria de proxies. Para no ser detectados en los primeros intentos, los atacantes rutean las solicitudes a través de grupos de proxies residenciales y móviles: cada intento de inicio de sesión proviene de una nueva dirección IP de un proveedor real o de un operador móvil. Para la protección del sitio, esto no parece una sola máquina sospechosa intentando mil veces, sino mil "usuarios normales" de diferentes ciudades. La protección clásica basada en la frecuencia de solicitudes desde una sola IP es casi inútil con tal rotación.
Por qué esto afecta al scraping legal y al multi-cuentas
Aparentemente, ¿qué tienen que ver aquellos que realizan recolección de datos legítima, automatización de SMM o que manejan varias cuentas para negocios? En que los sistemas anti-bots no distinguen intenciones — solo patrones. Cuanto más activamente los delincuentes disfrazan el credential stuffing como tráfico real a través de IP residenciales, más agresivamente Cloudflare, Akamai, DataDome y AWS WAF ajustan las restricciones para todos.
De aquí surge el cambio en la detección del nivel IP al nivel de identidad. Hoy en día, los filtros no solo observan la dirección, sino cómo se comporta el cliente y cómo se ve su huella digital:
- Fingerprinting TLS y HTTP (JA3/JA4) — si el apretón de manos no coincide con el navegador declarado, el cliente se marca como sospechoso;
- análisis de comportamiento del tiempo — un ser humano real tiene pausas entre acciones que "fluctúan", mientras que los scripts a menudo producen intervalos casi idénticos;
- anomalías en la tasa de éxitos — inicios de sesión exitosos raros, distribuidos entre múltiples cuentas, son una firma característica del stuffing;
- espacios en encabezados y JavaScript — los bots que no renderizan la página completamente pierden cookies y valores que establece JS.
Es por eso que en 2026 el scraping se convierte cada vez más en un juego de identidades, y no en una carrera por la cantidad de IP — hemos analizado detalladamente la mecánica del fingerprinting TLS y JA4 por separado. Para un proyecto legítimo, la conclusión es simple: la calidad y "pureza" de los proxies ahora son más importantes que su cantidad. Una IP que ayer se utilizó para probar contraseñas ajenas, hoy ya está en listas negras de sistemas de reputación — y arrastra consigo su tráfico legítimo.
También hay una dimensión de reputación. Los escándalos en torno a botnets de Smart TVs hackeadas y la reciente eliminación de redes de proxies sombrías han demostrado que parte del mercado "residencial" se alimenta de fuentes dudosas. Para los negocios, esto es una señal para elegir un proveedor con un origen de IP transparente y un KYC claro, y no el grupo más barato de calidad desconocida. Los proxies residenciales y proxies móviles de redes verificadas ofrecen esa "reputación limpia" por la que todo se hace, — sin el riesgo de encontrarse en el mismo segmento con tráfico de credential stuffing.
Qué hacer ahora mismo
Para el usuario común, la principal protección contra tales filtraciones no es la contraseña en sí, sino su unicidad. Un infostealer que roba su contraseña de un foro es peligroso solo en la medida en que la misma contraseña se use para el correo y el banco.
- Una contraseña única para cada servicio y un gestor de contraseñas para no tener que recordarlas. El credential stuffing vive exclusivamente de la reutilización.
- Autenticación de dos factores o passkeys en cuentas críticas — correo, banco, tiendas, redes sociales. Incluso con una contraseña filtrada, es más difícil iniciar sesión sin un segundo factor.
- Recuerde sobre los tokens de sesión. Los infostealers roban cookies que sobreviven a la introducción de la contraseña y 2FA, — por lo que si sospecha de infección, no solo debe cambiar la contraseña, sino también cerrar sesiones activas en todos los dispositivos.
- No ejecute cualquier cosa. Los infostealers se propagan a través de publicidad maliciosa, "actualizaciones de navegador" falsas, software hackeado, cheats de juegos, extensiones sospechosas y ataques ClickFix, donde se persuade a la víctima a ejecutar el comando por sí misma.
Para aquellos que automatizan el trabajo con sitios de manera legal, la lección es otra: separen identidades y no las mezclen. Un conjunto separado de cuentas — una IP limpia separada, un perfil de navegador separado con una huella consistente. Así es como se construyen los escenarios anti-detección, y es por eso que un grupo de proxies "grises" baratos hoy es más peligroso para el proyecto que no tener ninguno.
Conclusión
24 mil millones de registros en un servidor sin contraseña no son un récord por el récord, sino una instantánea de una economía en funcionamiento: infostealers en la entrada, listas de combinaciones en el medio, credential stuffing a través de proxies residenciales en la salida. Mientras la gente reutilice contraseñas, esta cadena seguirá siendo rentable, y la protección anti-bots se volverá cada vez más estricta. Perderá aquel que ignore la higiene: el usuario común sin contraseñas únicas y 2FA — y el negocio que intenta ahorrar en la limpieza de la infraestructura. En un mundo donde la detección se basa en la identidad y no en la IP, apostar por la transparencia y la calidad deja de ser un lujo.
```