Resumen
Una base de datos de 94 GB con aproximadamente 149M de inicios de sesión robados incluía al menos 420,000 credenciales de Binance, además de cuentas de consumidores importantes como Gmail, Facebook y Netflix.
La exposición proviene de malware infostealer en dispositivos de usuario, no de una violación de intercambio; Binance monitorea mercados de la dark web, restablece contraseñas, revoca sesiones y urge a usar MFA.
Kaspersky señaló un infostealer de modificación de juegos que apunta a billeteras y más de 100 navegadores; puede secuestrar cuentas, robar cripto e instalar mineros en intercambios populares.
Los titulares cibernéticos de enero golpearon directamente a los usuarios de cripto: una base de datos de acceso público contenía aproximadamente 149 millones de nombres de usuario y contraseñas robadas, incluidos inicios de sesión de intercambios de cripto. La incómoda realidad es que los dispositivos de los usuarios finales son ahora la primera línea de seguridad en cripto. El investigador Jeremiah Fowler dijo que el conjunto de datos de 94 gigabytes parecía haber sido cosechado de teléfonos y computadoras infectadas por malware y fue descrito en una publicación de blog publicada por ExpressVPN. Los registros incluían al menos 420,000 credenciales relacionadas con Binance, además de inicios de sesión para Gmail, Yahoo, Facebook, Instagram, Netflix y TikTok, entre otros en múltiples plataformas.
Por qué este infostealer es importante para los usuarios de criptomonedas
La instantánea de Fowler sugiere que la escala no es teórica: el volcado contenía supuestamente 48 millones de cuentas de Gmail, cuatro millones de cuentas de Yahoo, 17 millones de cuentas de Facebook, 6.5 millones de cuentas de Instagram, 3.4 millones de cuentas de Netflix y 780,000 cuentas de TikTok, junto con inicios de sesión de trading y billeteras. Cuando las credenciales de dominio gubernamentales aparecen en el mismo grupo, el riesgo de phishing pasa de ser una molestia a una preocupación de seguridad nacional. Fowler destacó entradas vinculadas a .gov que podrían permitir la suplantación de agencias. Para los equipos de criptomonedas, este es un escenario de relleno de credenciales, no una falla de una sola plataforma. Subraya por qué las contraseñas guardadas son una responsabilidad.
Binance y especialistas en seguridad externos actuaron rápidamente para enmarcar correctamente el incidente. Esto es robo de credenciales a través de malware infostealer, no una violación de la infraestructura interna de un intercambio. Un portavoz de Binance dijo que los inicios de sesión fueron robados después de que los dispositivos de los usuarios fueron comprometidos, mientras que el CEO de Cyvers, Deddy Lavid, lo describió como una fuga de usuario final, no como una violación del sistema central. Binance dijo que monitorea los mercados de la dark web, notifica a los usuarios afectados, obliga a restablecer contraseñas y revoca sesiones, y promueve escaneos antivirus y anti malware, así como MFA basado en hardware. El cambio es hacia controles de prevención primero y la higiene de contraseñas.
La investigación de Kaspersky de diciembre de 2025 muestra por qué la superficie de ataque sigue ampliándose. Los infostealers están siendo empaquetados como trampas y mods de juegos, y luego utilizados para drenar billeteras y secuestrar extensiones de navegador a gran escala. La variante, descubierta en noviembre, puede robar criptomonedas e instalar mineros mientras se hace pasar por cracks de videojuegos, especialmente para Roblox. Diseñada para funcionar en Chromium y Gecko, amenaza a más de 100 navegadores, incluidos Chrome, Firefox, Opera, Yandex, Edge y Brave, y se dirigió a usuarios de al menos 80 intercambios y billeteras, desde Coinbase hasta Phantom. Consejo de Fowler: mantén los sistemas actualizados de manera rutinaria.