Puntos clave
- Se produce una filtración de datos cuando se accede a información sensible o confidencial, o esta queda expuesta, sin autorización.
- Las filtraciones se producen a través de vulnerabilidades, inyección SQL, spyware, phishing y controles de acceso mal configurados, lo que permite a los atacantes robar datos.
- Los datos robados suelen incluir contraseñas, información personal y datos financieros, que los delincuentes pueden descifrar si se utiliza un algoritmo de hash débil (como SHA-1).
- Los datos expuestos suelen venderse o intercambiarse en la Dark Web, lo que da pie a estafas, extorsiones y ataques de «credential stuffing».
- Incluso los datos robados «antiguos» siguen teniendo valor, ya que permiten llevar a cabo ataques de phishing, estafas de sextorsión y apropiaciones de cuentas cuando los usuarios reutilizan sus contraseñas.
Envíanos tus comentarios sobre BizChat
¿Qué es una violación de datos?
Una violación de datos es un incidente que da lugar a la exposición no autorizada de información confidencial, privada, protegida o sensible. Estas violaciones pueden producirse accidental o intencionadamente, y en ellas pueden participar tanto atacantes externos como personas internas de una organización. La información robada puede explotarse para obtener beneficios económicos o utilizarse en otros ataques, lo que convierte a las violaciones de datos en una amenaza importante tanto para los particulares como para las empresas.
“Una filtración de datos resulta de un ciberataque que permite a los ciberdelincuentes acceder ilegalmente a un sistema informático o a una red y robar datos privados, sensibles o confidenciales personales y financieros de los clientes o usuarios contenidos en ellos.”
¿Cómo ocurren las filtraciones de datos?
Un exploit es un tipo de ataque que aprovecha errores o vulnerabilidades del software, que los ciberdelincuentes utilizan para obtener acceso no autorizado a un sistema y sus datos. Estas vulnerabilidades permanecen ocultas dentro del código del sistema, y es una carrera entre los criminales y los investigadores en ciberseguridad para ver quién puede encontrarlas primero.
Los delincuentes, por un lado, quieren aprovechar las vulnerabilidades, mientras que los investigadores, por otro, quieren reportarlas a los fabricantes de software para que puedan corregir los fallos. El software comúnmente explotado incluye el sistema operativo en sí, navegadores de Internet, aplicaciones de Adobe y aplicaciones de Microsoft Office. A veces, los grupos de ciberdelincuentes empaquetan múltiples vulnerabilidades en kits de exploits automatizados que facilitan que delincuentes con poco o ningún conocimiento técnico se aprovechen de ellas.
El injection SQL (SQLI) es un tipo de ataque que explota debilidades en el software de gestión de bases de datos SQL de sitios web inseguros para obtener información de la base de datos que realmente no debería ser accesible. Así es como funciona. Un ciberdelincuente ingresa código malicioso en el campo de búsqueda de un sitio minorista, por ejemplo, donde los clientes normalmente ingresan búsquedas de cosas como “auriculares inalámbricos mejor valorados” o “zapatillas más vendidas.”
En lugar de devolver una lista de auriculares o zapatillas, el sitio web le dará al hacker una lista de clientes y sus números de tarjetas de crédito. SQLI es uno de los ataques menos sofisticados de ejecutar, requiriendo un conocimiento técnico mínimo. Malwarebytes Labs clasificó el SQLI como número tres en Las 5 Amenazas Cibernéticas Más Estúpidas que Igual Funcionan. Los atacantes incluso pueden usar programas automatizados para llevar a cabo el ataque por ellos. Todo lo que tienen que hacer es ingresar la URL del sitio objetivo y luego sentarse a relajarse mientras el software hace el resto.
El spyware es un tipo de malware que infecta tu computadora o red y roba información sobre ti, tu uso de Internet y cualquier otro dato valioso que pueda obtener. Podrías instalar spyware como parte de una descarga aparentemente inofensiva (también conocido como bundleware). Alternativamente, el spyware puede llegar a tu computadora como infección secundaria a través de un troyano como Emotet.
Como se informó en el blog de Malwarebytes Labs, Emotet, TrickBot y otros troyanos bancarios han encontrado nueva vida como herramientas de entrega de spyware y otros tipos de malware. Una vez que tu sistema se infecta, el spyware envía todos tus datos personales de vuelta a los servidores de mando y control (C&C) administrados por los ciberdelincuentes.
Los ataques de phishing funcionan haciéndonos compartir información sensible, como nuestros nombres de usuario y contraseñas, a menudo en contra de la lógica y la razón normales, utilizando ingeniería social para manipular nuestras emociones, como la avaricia y el miedo. Un ataque de phishing típico comenzará con un correo electrónico falsificado, o falsificado, para que parezca que proviene de una empresa con la que haces negocios o de un compañero de trabajo de confianza. Este correo electrónico contendrá un lenguaje agresivo o exigente y requerirá alguna acción, como verificar pagos o compras que nunca realizaste.
Al hacer clic en el enlace proporcionado, te dirigirán a una página de inicio de sesión maliciosa diseñada para capturar tu usuario y contraseña. Si no tienes habilitada la autenticación multifactor (MFA), los ciberdelincuentes tendrán todo lo que necesitan para hackear tu cuenta. Aunque los correos electrónicos son la forma más común de ataque de phishing, los mensajes de texto SMS y los sistemas de mensajería en redes sociales también son populares entre los estafadores.
Los controles de acceso rotos o mal configurados pueden permitir que partes privadas de un sitio web se vuelvan públicas cuando no deberían serlo. Por ejemplo, un administrador de un sitio web de venta de ropa en línea hará que ciertas carpetas en la parte trasera del sitio web sean privadas, es decir, las carpetas que contienen datos sensibles sobre los clientes y su información de pago. Sin embargo, el administrador web podría olvidar hacer privadas también las subcarpetas relacionadas.
Aunque estas subcarpetas podrían no ser fácilmente visibles para el usuario promedio, un ciberdelincuente que use unas pocas búsquedas bien elaboradas en Google podría encontrar esas carpetas mal configuradas y robar los datos contenidos en ellas. Al igual que un ladrón que entra directamente a una casa por una ventana abierta, no se necesita mucha habilidad para llevar a cabo este tipo de ciberataque.
¿Están cifrados mis datos robados?
Después de una filtración de datos, las empresas afectadas intentarán calmar el miedo y la indignación de sus clientes diciendo algo como “Sí, los delincuentes obtuvieron sus contraseñas, pero sus contraseñas están cifradas.” Esto no es muy reconfortante y aquí está el motivo. Muchas compañías usan la forma más básica de cifrado de contraseñas posible: hashing SHA1 no salado.
¿Hash y sal? Suena como una forma deliciosa de comenzar el día. En lo que se refiere al cifrado de contraseñas, no tan grande. Una contraseña cifrada vía SHA1 siempre se cifrará o convertirá en hash de la misma cadena de caracteres, lo que las hace fáciles de adivinar. Por ejemplo, “password” siempre se convertirá en hash como
“5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8” y “123456” siempre se convertirá en hash como “7c4a8d09ca3762af61e59520943dc26494f8941b.”
Esto no debería ser un problema, porque esas son las dos peores contraseñas posibles, y nadie debería usarlas nunca. Pero la gente lo hace. La lista anual de contraseñas más comunes de SplashData muestra que la gente no es tan creativa con sus contraseñas como debería ser. En la cima de la lista durante cinco años consecutivos: “123456” y “password.” Choca esos cinco a todos.
Con esto en mente, los ciberdelincuentes pueden verificar una lista de contraseñas robadas y convertidas en hash contra una lista de contraseñas conocidas convertidas en hash. Con las contraseñas descifradas y los nombres de usuario o direcciones de correo electrónico coincidentes, los ciberdelincuentes tienen todo lo que necesitan para hackear tu cuenta.
¿Qué sucede cuando tus datos quedan expuestos en una violación de datos?
Los datos robados típicamente terminan en la Dark Web. Como su nombre indica, la Dark Web es la parte de Internet que la mayoría de las personas nunca ve. La Dark Web no está indexada por motores de búsqueda y necesitas un tipo especial de navegador llamado Tor Browser para verla. Entonces, ¿qué hay con el manto y la daga?
En su mayor parte, los delincuentes usan la Dark Web para traficar con diversos productos ilegales. Estos mercados de la Dark Web se ven y se sienten muy parecidos a tu típico sitio de compras en línea, pero la familiaridad de la experiencia del usuario desmiente la naturaleza ilícita de lo que se ofrece. Los ciberdelincuentes están comprando y vendiendo drogas ilegales, armas, pornografía y tus datos personales. Los mercados que se especializan en grandes lotes de información personal recopilada de varias filtraciones de datos se conocen, en la jerga criminal, como tiendas de volcado.
El mayor cúmulo conocido de datos robados encontrado en línea, sus 87 GB, fue descubierto en enero de 2019 por el investigador en ciberseguridad Troy Hunt, creador de Have I Been Pwned (HIBP), un sitio que te permite verificar si tu correo electrónico ha sido comprometido en una filtración de datos. Los datos, conocidos como Collection 1, incluían 773 millones de correos electrónicos y 21 millones de contraseñas de un colage de filtraciones de datos conocidas. Sin embargo, algunos 140 millones de correos electrónicos y 10 millones de contraseñas eran nuevos para HIBP, ya que no habían sido incluidos en ninguna filtración de datos divulgada previamente.
El autor y reportero de investigación sobre ciberseguridad Brian Krebs descubrió, al hablar con el ciberdelincuente responsable de Collection 1, que todos los datos contenidos en el volcado de datos tienen dos a tres años de antigüedad, al menos.
¿Tiene algún valor los datos obsoletos de una filtración antigua (más allá de los 0.000002 centavos por contraseña por los que se vendía Collection 1)? Sí, bastante.
Los ciberdelincuentes pueden usar tu viejo inicio de sesión para hacerte pensar que tu cuenta ha sido hackeada. Esta estafa puede funcionar como parte de un ataque de phishing o, como reportamos en 2018, una estafa de sextorsión. Los estafadores de sextorsión ahora están enviando correos electrónicos afirmando haber hackeado la cámara web de la víctima y haberla grabado mientras veía pornografía. Para añadir algo de legitimidad a la amenaza, los estafadores incluyen credenciales de inicio de sesión de una filtración de datos anterior en los correos electrónicos. Consejo profesional: si los estafadores realmente tuvieran video tuyo, te lo mostrarían.
Si reutilizas contraseñas en varios sitios, te estás exponiendo a un peligro. Los ciberdelincuentes también pueden usar tu inicio de sesión robado de un sitio para hackear tu cuenta en otro sitio en un tipo de ciberataque conocido como credential stuffing. Los delincuentes utilizarán una lista de correos electrónicos, nombres de usuario y contraseñas obtenidas de una filtración de datos para enviar solicitudes de inicio de sesión automatizadas a otros sitios populares en un ciclo interminable de hackeo y robo.
¿Cuáles son las mayores filtraciones de datos?
Es el conteo regresivo de los diez principales en el que nadie quiere estar. Aquí está nuestra lista de las 10 mayores filtraciones de datos de todos los tiempos. Puede que puedas adivinar muchas de las empresas destacadas en esta lista, pero también podría haber algunas sorpresas.
Under Armour: unos 193 millones de registros expuestos (noviembre de 2025)
En 2025, Under Armour sufrió una grave filtración provocada por un ataque de ransomware, cuando el grupo Everest afirmó haber obtenido acceso a 343 GB de datos internos y de clientes. Posteriormente, casi 193 millones de registros de clientes —entre los que se incluían direcciones de correo electrónico, nombres completos, números de teléfono y datos de ubicación— se filtraron en Internet tras no satisfacerse las demandas de rescate.
Otras filtraciones destacadas:
LinkedIn: 117 millones
Los ciberdelincuentes se hicieron con las direcciones de correo electrónico y las contraseñas cifradas de 117 millones LinkedIn en esta filtración de datos de 2012. Las contraseñas estaban cifradas, ¿no? No pasa nada. Por desgracia, LinkedIn ese maldito cifrado SHA1 del que hablamos antes. Y si tienes alguna duda de que tus contraseñas robadas se estén descifrando, Malwarebytes Labs informó de que se estaban utilizando LinkedIn pirateadas en una campaña de phishing por InMail.
Estos mensajes de InMail contenían URLs maliciosas que enlazaban a un sitio web falsificado para parecer una página de inicio de sesión de Google Docs mediante la cual los ciberdelincuentes obtenían nombres de usuario y contraseñas de Google. Aún mejor que ese trabajo temporal de cavar zanjas que los reclutadores te siguen enviando.
eBay: 145 millones
A principios de 2014, los ciberdelincuentes pulsaron el botón «Robar ahora» cuando irrumpieron en la red del popular sitio web de subastas en línea y se hicieron con las contraseñas, direcciones de correo electrónico, fechas de nacimiento y direcciones postales de 145 millones de usuarios. Un aspecto positivo fue que la información financiera de la web asociada PayPal almacenaba por separado de la información de los usuarios, una práctica conocida como segmentación de red (más adelante hablaremos de ello). Esto tuvo el efecto de limitar el ataque e impidió que los delincuentes accedieran a la información de pago realmente sensible.
Equifax: 145,5 millones
La agencia de información crediticia Equifax sufrió un duro golpe en su propia «calificación crediticia», al menos a ojos de los consumidores estadounidenses, cuando anunció que había sufrido una filtración de datos en 2017. Todo esto se podría haber evitado si Equifax hubiera mantenido su software actualizado. En cambio, hackers aprovechar un error de software bien conocido y acceder al software subyacente que sustenta el sitio web de Equifax.
Lo que hace que la violación de datos de Equifax sea tan terrible no es el tamaño, a pesar de ser considerable; más bien, es el valor de la información robada. Los perpetradores se llevaron los nombres, fechas de nacimiento, números de Seguridad Social, direcciones y números de licencia de conducir de 145.5 millones de estadounidenses. Añade a esto aproximadamente 200,000 números de tarjetas de crédito y obtienes una de las peores violaciones de datos en términos de sensibilidad de los datos comprometidos.
Yahoo: 3B
Yahoo tiene el vergonzoso honor de ser la única empresa que aparece dos veces en nuestra lista de las mayores filtraciones de datos. Para colmo, Yahoo ocupa además el primer puesto. En agosto de 2013, unos ciberdelincuentes robaron los datos de todos los usuarios de Yahoo del mundo: los tres mil millones. La magnitud de esta filtración de datos es difícil de imaginar.
Más de un tercio de la población mundial se vio afectada. Cuando el ataque fue revelado por primera vez en 2016, Yahoo afirmó que solo mil millones de sus usuarios se vieron afectados por la filtración de datos, y más tarde cambió la cifra a “todas las cuentas de usuario de Yahoo” menos de un año después. El momento no podría haber sido peor. En ese momento Yahoo reveló los números actualizados de la filtración de datos, la empresa estaba en negociaciones para ser adquirida por Verizon. La noticia de la filtración de datos permitió a Verizon adquirir Yahoo a un precio de venta por incendio. Yahoo fue adquirida por Verizon en 2017.
Lee aquí nuestra noticia sobre «La madre de todas las filtraciones ».
Leyes sobre filtraciones de datos
Parece que estamos leyendo sobre otra filtración de datos con cada ciclo de noticias. ¿Están aumentando las filtraciones de datos en frecuencia o está ocurriendo algo más? Una posible razón para el aumento de las filtraciones de datos (al menos la apariencia de un aumento) es la creciente regulación sobre cómo comunicamos las filtraciones de datos.
Desde el comienzo del milenio, los gobiernos de todo el mundo han promulgado leyes que requieren que las empresas y organizaciones hagan algún tipo de divulgación después de experimentar una filtración de datos. Mientras que en años anteriores las partes comprometidas podían mantenerse en secreto sobre una filtración de datos todo el tiempo que quisieran.
En los Estados Unidos no existe una ley nacional que regule las divulgaciones de violaciones de datos. Sin embargo, desde 2018, los 50 estados tienen leyes sobre violaciones de datos. Estas leyes varían de un estado a otro, pero hay algunas similitudes. Es decir, cualquier organización en el centro de una violación de datos debe tomar los siguientes pasos:
- Informar a las personas afectadas por la violación de datos lo ocurrido lo antes posible.
- Notificar al gobierno lo antes posible, usualmente significa informar al fiscal general del estado.
- Pagar algún tipo de multa.
Por ejemplo, California fue el primer estado en regular las divulgaciones de violaciones de datos en 2003. Las personas o empresas en el centro de una violación de datos deben notificar a los afectados "sin demora razonable" e "inmediatamente después del descubrimiento." Las víctimas pueden demandar hasta $750 mientras que el fiscal general del estado puede imponer multas de hasta $7,500 por cada víctima.
Leyes similares han sido promulgadas en la Unión Europea y en toda la región de Asia-Pacífico. ". Facebook es la primera gran empresa tecnológica que supuestamente violó el Reglamento General de Protección de Datos (GDPR) de la UE después de anunciar que un error de software permitió a los desarrolladores de aplicaciones acceder sin autorización a las fotos de los usuarios de 6.8 millones de usuarios. Facebook no reportó la violación durante dos meses—aproximadamente 57 días tarde, en cuanto al GDPR se refiere. Como resultado, la empresa puede tener que pagar hasta 1.6 mil millones de dólares en multas.
¿Qué hacer si tus datos se exponen en una violación de seguridad?
Incluso si nunca has usado ninguno de los sitios o servicios en nuestra lista de las mayores brechas de datos, hay cientos de violaciones de datos más pequeñas que no mencionamos. Antes de que hablemos de nuestros pasos para responder a una violación de datos, puede que quieras visitar Have I Been Pwned y verlo por ti mismo. Todo lo que tienes que hacer es ingresar tu dirección de correo electrónico en el cuadro de búsqueda "pwned?" y ver con horror cómo el sitio te dice todas las violaciones de datos en las que has sido pwned.
También vale la pena señalar que tus datos pueden ser parte de una violación que el público en general aún no conoce. A menudo, una violación de datos no se descubre hasta años después.
De una forma u otra, hay una buena posibilidad de que tus datos hayan sido comprometidos y hay una muy buena posibilidad de que tus datos sean comprometidos nuevamente.
Ahora que sabes que tus datos andan por ahí en la Dark Web, hemos creado esta lista paso a paso de qué hacer cuando te roban los datos.
- Realiza un Escaneo de Huella Digital gratuito utilizando solo tu dirección de correo electrónico.
- Restablece tu contraseña para la cuenta comprometida y cualquier otra que comparta la misma contraseña. Realmente no deberías reutilizar contraseñas en diferentes sitios. Usa nuestro generador de contraseñas gratis para crear contraseñas fuertes y únicas. Los gestores de contraseñas ofrecen el beneficio adicional de alertarte cuando accedes a un sitio web falso. Aunque esa página de inicio de sesión de Google o Facebook pueda parecer real, tu gestor de contraseñas no reconocerá la URL y no completará tu nombre de usuario ni la contraseña por ti.
- Monitorea tus cuentas de crédito. Busca cualquier actividad sospechosa. Recuerda que obtienes un informe de crédito gratis de cada una de las tres principales agencias de crédito, cada año en annualcreditreport.com. Este es el único sitio autorizado por la Comisión Federal de Comercio de EE. UU. para obtener informes de crédito gratuitos.
- Considera congelar tu crédito. Un congelamiento de crédito dificulta la apertura de una línea de crédito a tu nombre al restringir el acceso a tu informe de crédito. Puedes levantar o detener el congelamiento en cualquier momento. El único inconveniente es que debes contactar a cada agencia de crédito individualmente para realizar o eliminar un congelamiento.
- Vigila tu bandeja de entrada cuidadosamente. Los cibercriminales oportunistas saben que millones de víctimas de cualquier violación de datos esperan algún tipo de comunicación sobre cuentas pirateadas. Estos estafadores aprovecharán para enviar correos de phishing falsificados para que parezcan provenientes de esas cuentas pirateadas en un intento de conseguir que entregues información personal. Lee nuestros consejos sobre cómo detectar un correo de phishing.
- Considera los servicios de monitoreo de crédito. ¿Deberías inscribirte? A menudo, después de una violación de datos, las empresas y organizaciones afectadas ofrecerán a las víctimas servicios gratuitos de monitoreo de robo de identidad. Vale la pena señalar que servicios como LifeLock, entre otros, te notificarán si alguien abre una línea de crédito a tu nombre, pero no pueden proteger tus datos de ser robados inicialmente. En resumen—si el servicio es gratuito, inscríbete. De lo contrario, piénsalo dos veces.
- Utiliza autenticación multifactor (MFA). La autenticación de dos factores es la forma más simple de MFA, lo que significa que necesitas tu contraseña y otra forma de autenticación para probar que eres quien dices ser y no un ciberdelincuente intentando hackear tu cuenta. Por ejemplo, un sitio web podría pedirte que ingreses tus credenciales de acceso y luego ingreses un código de autenticación separado enviado por mensaje de texto a tu teléfono.
¿Cómo puedo prevenir las filtraciones de datos?
Las multas, los costos de limpieza, los honorarios legales, las demandas, e incluso los pagos de ransomware asociados con un violación de datos suman una gran cantidad de dinero. El estudio de 2018 de Ponemon Costo de Violación de Datos encontró que el costo promedio de una violación de datos es de alrededor de 3.9 millones de dólares, un aumento del 6.4 por ciento respecto al año anterior. Mientras que el costo por cada registro robado fue de $148, un aumento del 4.8 por ciento respecto al año anterior. Según el mismo estudio, tus posibilidades de experimentar una violación de datos son de hasta una en cuatro.
¿No tiene sentido ser proactivo sobre la seguridad de datos y evitar una violación en primer lugar? Si respondiste que sí, y esperamos que así sea, aquí hay algunas mejores prácticas para mantener tu negocio y tus datos seguros.
Practica la segmentación de datos. En una red de datos plana, los cibercriminales tienen libertad de movimiento por tu red y pueden robar cada byte de datos valiosos. Al implementar la segmentación de datos, retrasas a los criminales, ganando tiempo extra durante un ataque y limitando los datos comprometidos. La segmentación de datos también ayuda con nuestro siguiente consejo.
Refuerza el principio de privilegio mínimo (PolP). PolP significa que cada cuenta de usuario solo tiene el acceso suficiente para hacer su trabajo y nada más. Si una cuenta de usuario es comprometida, los ciberdelincuentes no tendrán acceso a toda tu red.
Invierte en un software de protección contra robo de identidad. Vigilaremos tu exposición de identidad y alertaremos sobre cualquier riesgo.
Instala una protección de ciberseguridad de renombre, como Malwarebytes Premium. Si tienes la mala suerte de hacer clic en un enlace malicioso o abrir un adjunto peligroso, un buen programa de ciberseguridad podrá detectar la amenaza, detener la descarga y prevenir que el malware entre en tu red.