Mar 31, 2025

Publican lista de 56 millones de registros, con dominios, usuarios y contraseñas (búscate!)

El pasado 28 de marzo, un atacante publicó un archivo de 56 millones de registros que contienen URL, email y contraseñas de millones de usuarios infectados por infostelers. Las URL completas permiten identificar los dominios y, de esta manera acceder a millones de cuentas validas en empresas, bancos, billeteras, sitios gubernamentales y mucho más.

Los infostealers representan una amenaza significativa tanto para individuos como para empresas. La prevención y la educación son clave para protegerse contra estos ataques y, por eso, desde Segu-Info, hemos puesto a disposición una herramienta para consultar dominios cuyos usuarios hayan sido afectados. En este momento se permite la búsqueda de dominios AR | UY | CL | CO | MX | PE.

Si hay dominios afectados de todo el mundo ¿por qué solo esos países? Fue una decisión de momento y unilateral😆. Es gratis, aprovecha lo que puedas. Si la herramienta funciona y no es abusada quizás luego se amplia la búsqueda al resto del mundo.

NO, los archivos no se compartirán. Si tienes dudas, nos puedes escribir. Escribir solo desde correos y dominios de la organización. Cualquier correo genérico será obviado.

Cualquiera puede buscar el nombre del dominio y saber si aparece en la lista y, de esta forma proceder a tomar las medidas proactivas del caso, avisando a sus clientes o seguir los consejos que se muestran a continuación.

En caso de que un usuario sea comprometido, es fundamental que las empresas actúen de manera proactiva para informar y proteger a sus clientes. La transparencia y la comunicación efectiva son esenciales para mantener la confianza en la relación entre la empresa y sus usuarios.

Acceder a la herramienta de búsqueda de dominios

¿Qué es un Infostealer y por qué es peligroso?

Un infostealer es un tipo de malware diseñado específicamente para robar información sensible de un dispositivo infectado. Este software malicioso puede capturar datos como credenciales de inicio de sesión, información bancaria, datos personales y cualquier otra información que el usuario ingrese a la computadora o dispositivo móvil.

Los infostealers suelen propagarse a través de correos electrónicos de phishing, descargas de software malicioso o vulnerabilidades en el sistema operativo. Dentro de sus actividades se pueden encontrar:

  • Robo de credenciales de acceso, información personal y financiera.
  • Robo de identidad: facilitan el robo de identidad, ya que los atacantes pueden utilizar la información robada para hacerse pasar por la víctima y realizar transacciones fraudulentas.
  • Pérdida financiera: la información bancaria y de tarjetas de crédito puede ser utilizada para realizar compras no autorizadas, lo que puede resultar en pérdidas financieras significativas para el usuario.
  • Compromiso de la privacidad: La información personal, emails, direcciones, números de teléfono y datos de contacto, puede ser utilizada para el acoso o el fraude.
  • Daño a la reputación: para las empresas, un ataque exitoso puede dañar su reputación, ya que los clientes pueden perder la confianza en su capacidad para proteger la información sensible.

Recomendaciones para prevenir una infección

Para los usuarios

  • Mantener el software actualizado: asegurar de que el sistema operativo, navegadores y aplicaciones estén siempre actualizados para protegerse contra vulnerabilidades conocidas.
  • Usar software antivirus: instalar y mantener actualizado un software antivirus o un EDR confiable que pueda detectar y eliminar malware.
  • Cuidado con los correos electrónicos: no abrir correos electrónicos de remitentes desconocidos y evita hacer clic en enlaces o descargar archivos adjuntos sospechosos.
  • Autenticación de Dos Factores (2FA): activar la autenticación de dos factores en todas las cuentas que lo permitan para añadir una capa adicional de seguridad.
  • Revisar actividad de cuentas: monitorear regularmente las cuentas bancarias y de servicios en línea para detectar cualquier actividad sospechosa.

Para las empresas

  • Educación y Concienciación: proporcionar formación regular a los empleados sobre las amenazas de seguridad y las mejores prácticas para evitar infecciones.
  • Implementar Políticas de Seguridad: establece políticas claras sobre el uso de dispositivos y la gestión de contraseñas.
  • Monitoreo de seguridad: Utilizar herramientas de monitoreo para detectar actividades inusuales en la red que puedan indicar un ataque. Por ejemplo, encontrar los archivos de diccionarios y de fuga de información que pueden hacer referencia a la organización

Recomendaciones para empresas que figuran en un listado de Leaks

Si tu empresa ha sido mencionada en un listado de leaks, es crucial actuar rápidamente para proteger a tus usuarios. Aquí hay algunas recomendaciones:

  • Notificación inmediata: informa a tus usuarios sobre la situación de manera clara y transparente. Explica que, aunque la empresa no ha sido hackeada, algunos de sus usuarios han sido comprometidos o infectados.
  • Consejos de seguridad: proporciona a los usuarios recomendaciones sobre cómo protegerse, como cambiar sus contraseñas, activar la autenticación de dos factores y monitorear sus cuentas en busca de actividad sospechosa.
  • Ofrecer soporte: establece un canal de comunicación donde los usuarios puedan hacer preguntas y recibir asistencia sobre cómo manejar la situación.
  • Revisar y mejorar la seguridad: realiza una auditoría de seguridad para identificar y corregir cualquier vulnerabilidad en tus sistemas que pueda haber permitido el acceso a la información de los usuarios.
  • Compensación: considera ofrecer servicios de monitoreo de crédito o protección contra el robo de identidad a los usuarios afectados como una forma de mitigar el impacto del incidente.
a las

26 comments:

  1. AnonymousMarch 31, 2025 at 9:24 AM

    Buen día, es posible obtener el listado?

    ReplyDelete
  2. AnonymousMarch 31, 2025 at 10:11 AM

    Hola buen día, podrian compartirnos un correo para contactarlos ya que un dominio de mi empresa, segun el buscador, aparece en el listado. Muchas gracias

    ReplyDelete
  3. AnonymousMarch 31, 2025 at 1:01 PM

    Hola, como siempre excelente información. Pero me gustaría que publiquen las fuentes, para luego seguir la investigación o estar mas informado. Nada solo una sugerencia. Saludos!

    ReplyDelete
    Replies
    1. SeguInfoMarch 31, 2025 at 1:06 PM

      Si publico el archivo, me transformo en cómplice de los delincuentes que lo hacen y el daño sería muchisimo mayor. Por ahora dicha información no estará disponible.

      Delete
  4. AnonymousMarch 31, 2025 at 1:47 PM

    Muchas gracias por la info y la herramienta. Además de consultar por nuestros dominios, ¿se podrá buscar por email/usuario para ver si nuestras credenciales están comprometidas en otros sitios (ML o bancos, por ejemplo)?. Gracias y saludos!

    ReplyDelete
    Replies
    1. SeguInfoMarch 31, 2025 at 2:22 PM

      Por ahora esa info no será compartida. Si necesitan mas info desde la empresa, pueden contactarnos (leer el post)

      Delete
  5. AnonymousMarch 31, 2025 at 1:54 PM

    Hola, consulta... dónde puedo ver que esté publicado ese archivo?, vi que el dominio de la empresa donde trabajé se encuentra comprometido y se necesita saber el grado de afectación. Gracias.

    ReplyDelete
    Replies
    1. SeguInfoMarch 31, 2025 at 2:23 PM

      Por ahora esa info no será compartida. Si necesitan mas info desde la empresa, pueden contactarnos (leer el post)

      Delete
  6. AnonymousMarch 31, 2025 at 3:49 PM

    Hols..Sin of3nder...hasta segu-info.com.ar aparece. Saludos

    ReplyDelete
    Replies
    1. SeguInfoMarch 31, 2025 at 4:44 PM

      No es ofensa :)
      La base la publiqué tocando lo menos posible.

      Delete
  7. AnonymousMarch 31, 2025 at 3:54 PM

    y para Uruguay? dale son poquitos registros!

    ReplyDelete
  8. AnonymousMarch 31, 2025 at 10:31 PM

    Buenas te escribe un analista que forma parte de un equipo de CTI, tenes el nombre o algún indicio del combolist/data leak como para que yo vaya a buscarlo (no quiero el archivo, leí el post)? Tenemos varios clientes que fueron expuestos según su herramienta a está brecha.

    ReplyDelete
    Replies
    1. SeguInfoMarch 31, 2025 at 10:41 PM

      No hay prob. Escribime a contacto desde un email no generico y los ayudo.

      Delete
  9. AnonymousApril 2, 2025 at 5:53 PM

    Deberían contemplar este caso: el dominio vulnerado es example.com.ar pero la empresa tiene sus casillas en @example.com y solo puede mandarles un mail desde allí. Quizás lo que deberian comparar es que les escriben desde un dominio que es propiedad de la misma empresa, de acuerdo a un whois.

    ReplyDelete
  10. AnonymousApril 2, 2025 at 6:00 PM

    ¿Qué formato tiene el archivo que uno recibe cuando escribe? Les agradezco si pueden poner un ejemplo inventado y mostrar queécolumnas proporcionan en el archivo respuesta. Me estoy imaginando que es algo del estilo URL/usuario/credencial (por ejemplo: https://www.example.com.ar, [email protected], 123456). ¿Es así?

    ReplyDelete
  11. JavierApril 2, 2025 at 9:49 PM

    Como siempre muy buena info y gracias por estar siempre atentos. De paso me sirven como ejemplo para mis alumnos de la facu. Saludos

    ReplyDelete
  12. AnonymousApril 7, 2025 at 10:44 AM

    Por favor agreguen los dominios de Perú en su buscador . Gracias!

    ReplyDelete
  13. AnonymousMarch 31, 2026 at 4:36 PM

    Hola acabo de entrar aqui desde el link del leak argentino de Chronusteam quisiera escribirte un correo desde mi cuenta institucional que aparentemente habria sido victima de este hacking , pero no encuentro en el texto del articulo alguna direccion donde escribile a Cristian de segu-info ? Me puedes dar una mano?

    ReplyDelete

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!