Las credenciales de 420,000 cuentas de Binance aparecieron en una base de datos sin protección que contenía 149 millones de combinaciones de inicio de sesión de casas de cambio de criptomonedas, servicios financieros y sistemas gubernamentales descubierta la semana pasada.
El investigador de ciberseguridad Jeremiah Fowler identified el repositorio de 96 gigabytes accesible sin cifrado ni protección por contraseña.
Según el informe de Fowler, la base de datos permaneció en línea durante más de un mes mientras los registros seguían acumulándose.
Las cuentas de Gmail representaban la mayor parte, con 48 millones de credenciales, seguidas por 17 millones de inicios de sesión de Facebook. Las plataformas de criptomonedas supusieron una exposición menor pero significativa, con las 420,000 cuentas de Binance como principal casa de cambio afectada.
Qué ocurrió
El malware infostealer recopiló las credenciales desde dispositivos personales infectados, en lugar de producirse brechas directas en las casas de cambio. El software malicioso opera de forma silenciosa en los sistemas comprometidos, registrando pulsaciones de teclado y contraseñas almacenadas en el navegador antes de transmitir los datos a servidores controlados por los atacantes.
Fowler reported la base de datos a su proveedor de alojamiento, pero la retirada requirió casi un mes de comunicaciones.
La base de datos indexaba las credenciales robadas usando rutas de host invertidas, lo que permitía búsquedas eficientes por dominio y usuario, lo que sugiere una infraestructura criminal organizada.
Google confirmó que el conjunto de datos agrupaba credenciales robadas a lo largo del tiempo por malware de terceros, en lugar de corresponder a nuevas brechas en la plataforma. La empresa mantiene protecciones automatizadas que bloquean cuentas y fuerzan el restablecimiento de contraseñas cuando se detectan credenciales expuestas.
Leer también: BitMine Acquires 40,000 ETH In Largest 2026 Purchase After Share Expansion
Impacto en la industria cripto
La exposición afecta de forma desproporcionada a los usuarios de criptomonedas en comparación con la escala global de la brecha. Aunque las cuentas de Binance representaron el 0,28 % del total de credenciales filtradas, los fondos en criptomonedas se enfrentan a riesgos de pérdida permanente que no existen en los servicios financieros tradicionales con protecciones antifraude y transacciones reversibles.
El director de seguridad de Binance, Jimmy Su, ya había addressed las amenazas de infostealers en marzo de 2025, señalando un aumento en la detección de credenciales de usuario comprometidas por infecciones de malware, más que por brechas en los sistemas del exchange. La casa de cambio supervisa fuentes de la dark web e inicia restablecimientos de contraseña para las cuentas afectadas.
Los investigadores de seguridad estiman que la infraestructura de malware infostealer cuesta entre 200 y 300 dólares mensuales de alquiler, lo que crea barreras de entrada muy bajas para las operaciones de robo de credenciales. El analista de Recorded Future Allan Liska señaló que los delincuentes pueden acceder a cientos de miles de credenciales nuevas cada mes por precios de suscripción inferiores a los pagos mensuales típicos de un coche.
La base de datos también contenía credenciales de monederos de criptomonedas, cuentas de trading y servicios bancarios, junto con plataformas de redes sociales y streaming. En las muestras aparecieron dominios de correo electrónico gubernamentales de varios países, lo que aumenta la preocupación por posibles campañas de phishing dirigidas e intentos de infiltración en sistemas.
Leer a continuación: UK Banks Block 40% of Crypto Exchange Payments, Industry Survey Finds