Investigadores de Cybernews descubrieron en abierto una enorme base de datos con unos 24.000 millones de registros. El archivo incluía nombres de usuario, contraseñas y URL de páginas de autorización, todo almacenado en texto plano. Según los especialistas, la base podría haberse creado a partir de registros de distintos infostealers y de otras filtraciones.
Para Cybernews, el principal riesgo está en la escala del hallazgo. Aunque una parte de los registros esté duplicada, todavía podría hablarse de miles de millones de cuentas en riesgo de secuestro. Los usuarios más vulnerables son quienes reutilizan contraseñas en varios servicios y no han activado la autenticación multifactor.
Tras el descubrimiento, la base se cerró rápidamente, por lo que los investigadores no pudieron analizarla por completo. Aun así, lograron determinar que los datos procedían de al menos 36 fuentes diferentes. Entre ellas había canales de Telegram, colecciones combinadas de filtraciones anteriores y conjuntos de datos aparentemente exportados directamente desde servidores activos de las víctimas.
El volumen total del archivo superaba los 8 TB, lo que lo convierte en uno de los mayores conjuntos de este tipo encontrados hasta ahora. Cybernews no pudo precisar la antigüedad de todos los registros, pero señaló que dentro había una noticia de febrero de 2026. Eso puede indicar que no era un viejo archivo abandonado, sino una base que se actualizaba con regularidad.
El propietario de la base sigue siendo desconocido. La mayoría de las fuentes de Telegram dentro de la colección estaban en inglés, aunque algunas estaban en ruso. Según los investigadores, unos 260 millones de registros procedían de canales cuyo nombre incluía la palabra Darkside, una referencia al grupo de ransomware ya inactivo conocido por el ataque a Colonial Pipeline.
El hallazgo vuelve a demostrar que las credenciales robadas siguen vivas en colecciones que se actualizan constantemente, incluso si los ataques originales ocurrieron hace mucho tiempo. Para los usuarios, la conclusión práctica no cambia: contraseñas únicas para cada servicio, un gestor de contraseñas y autenticación multifactor ya no son una protección extra, sino una necesidad básica.