Puntos clave de la noticia:
- Un volcado de 94 GB con cerca de 149M credenciales robadas incluyó al menos 420.000 accesos vinculados a Binance, además de cuentas de Gmail, Facebook y Netflix.
- La exposición proviene de malware infostealer en dispositivos de usuarios, no de un hack al exchange; Binance monitorea la dark web, resetea contraseñas, revoca sesiones y recomienda MFA.
- Kaspersky alertó sobre un infostealer disfrazado de mods de juegos que apunta a wallets y 100+ navegadores; puede robar cripto, secuestrar cuentas e instalar miners.
Las noticias de ciberseguridad de enero tocaron de lleno al ecosistema cripto: una base de datos de acceso público contenía cerca de 149 millones de nombres de usuario y contraseñas robados, incluidos accesos a exchanges. La realidad incómoda es que los dispositivos de los usuarios ya son la primera línea de seguridad cripto. El investigador Jeremiah Fowler dijo que el dataset de 94 GB aparentemente fue recolectado por malware “infostealer” instalado en teléfonos y computadoras, y fue descrito en una publicación de blog de ExpressVPN. Entre los registros habría al menos 420.000 credenciales vinculadas a Binance, además de accesos a Gmail, Yahoo, Facebook, Instagram, Netflix y TikTok, entre otros servicios.
Por qué este infostealer importa para usuarios cripto
El recorte de Fowler sugiere que la escala es tangible: el volcado incluiría 48 millones de cuentas de Gmail, cuatro millones de Yahoo, 17 millones de Facebook, 6,5 millones de Instagram, 3,4 millones de Netflix y 780.000 de TikTok, junto con logins de trading y wallets. Cuando aparecen credenciales asociadas a dominios gubernamentales en el mismo pool, el riesgo de phishing pasa de molestia a asunto de seguridad nacional. Fowler señaló entradas vinculadas a .gov que podrían facilitar suplantación de agencias. Para equipos cripto, el punto no es una única plataforma comprometida, sino la posibilidad de “credential stuffing” y toma de cuentas en cadena. El mensaje: guardar contraseñas sin controles fuertes se vuelve un pasivo.
Binance y especialistas externos en seguridad se movieron para encuadrar correctamente el incidente. Esto es robo de credenciales por infostealer en dispositivos de usuarios, no un compromiso de la infraestructura interna de un exchange. Un portavoz de Binance dijo que los accesos fueron robados después de que los dispositivos se vieran comprometidos. Deddy Lavid, CEO de Cyvers, lo describió como una filtración del lado del usuario, no una intrusión en sistemas centrales. Binance indicó que monitorea mercados en la dark web, notifica a usuarios afectados, fuerza reseteos de contraseña y revoca sesiones, además de recomendar antivirus, escaneos anti-malware y MFA basado en hardware. El giro es hacia controles “prevention-first” y mejor higiene de contraseñas.
Una investigación de Kaspersky de diciembre de 2025 ayuda a explicar por qué la superficie de ataque se expande. Los infostealers se están empaquetando como cheats y mods de juegos para vaciar wallets y secuestrar extensiones del navegador a escala. La variante, detectada en noviembre, puede robar cripto e instalar miners mientras se disfraza de cracks para videojuegos, en especial para Roblox. Está diseñada para operar en Chromium y Gecko y amenaza a más de 100 navegadores, incluidos Chrome, Firefox, Opera, Yandex, Edge y Brave. También habría apuntado a usuarios de al menos 80 exchanges y wallets, desde Coinbase hasta Phantom. El consejo de Fowler: mantener sistemas actualizados de forma rutinaria.
