Una investigación de ExpressVPN reveló la existencia de una base de datos pública, sin protección ni cifrado, que contenía 149.404.754 credenciales únicas de acceso pertenecientes a múltiples servicios digitales, entre ellos cuentas del exchange Binance.

De acuerdo con el informe, la información fue recolectada principalmente mediante malware del tipo “infostealer”, diseñado para extraer datos directamente desde dispositivos infectados sin que el usuario lo advierta.

Dentro del conjunto de datos expuestos se identificaron credenciales correspondientes a unas 420.000 cuentas de Binance, lo que convierte el incidente en una amenaza concreta para usuarios de criptomonedas. El alcance del hallazgo no se limita al sector cripto: también se detectaron aproximadamente 48 millones de cuentas de Gmail, 17 millones de Facebook, 6,5 millones de Instagram, 780.000 de TikTok y 3,4 millones de Netflix, entre otros servicios.

¿Existe riesgo real de pérdida de fondos en Binance?

La filtración de correos electrónicos y contraseñas no implica automáticamente que un atacante pueda retirar fondos de una cuenta en Binance. Para que eso ocurra deben darse condiciones adicionales, aunque el tipo de malware involucrado eleva el nivel de riesgo.

Binance separa el proceso de inicio de sesión de la autorización de movimientos financieros. En los casos en que el usuario tenga habilitado un segundo factor de autenticación (2FA) —como aplicaciones autenticadoras, llaves físicas o biometría—, el acceso a los fondos sigue estando protegido incluso si la contraseña fue comprometida.

No obstante, el informe advierte que el malware es capaz de capturar cookies de sesión y tokens de autenticación, lo que permitiría a un atacante replicar una sesión activa sin necesidad de ingresar la contraseña. Aun así, la plataforma suele exigir una verificación adicional para confirmar retiros.

El riesgo aumenta de forma significativa si el usuario reutiliza contraseñas, especialmente cuando la misma clave protege tanto la cuenta de Binance como el correo electrónico asociado. En ese escenario, un atacante podría interceptar los correos de confirmación y sortear una de las barreras de seguridad más comunes.

Custodia, autocustodia y riesgos adicionales

Al tratarse de un exchange centralizado, este tipo de malware no accede a claves privadas de Bitcoin, ya que estas se encuentran bajo custodia de la plataforma y no en el dispositivo del usuario. Sin embargo, el informe señala que los infostealers también recopilan información del portapapeles y de la memoria del navegador, lo que representa un riesgo elevado para quienes utilizan wallets de autocustodia en el mismo equipo.

Cuándo el peligro se vuelve más crítico

La exposición se agrava en los casos en que el usuario:

  • Reutiliza contraseñas entre Binance y otros servicios, especialmente el correo electrónico.

  • No cuenta con un 2FA robusto y depende solo de contraseñas o SMS.

  • Continúa utilizando un dispositivo infectado, lo que permitiría capturar nuevas credenciales incluso tras cambiarlas.

A esto se suma el uso de ingeniería social. Al saber que una persona es cliente de Binance, los atacantes pueden lanzar campañas de phishing altamente personalizadas, utilizando información real para engañar a las víctimas y obtener códigos de seguridad o autorizaciones fraudulentas.

Cómo operó el robo masivo de datos

El origen de la filtración no está vinculado a una brecha en los servidores de los servicios afectados, sino a la acción directa de un infostealer. Este tipo de software malicioso no solo registra pulsaciones de teclado, sino que también extrae sesiones activas, tokens de acceso y datos almacenados en navegadores.

Toda esta información —unos 96 GB de datos sin cifrar— fue almacenada en una base de datos que permaneció expuesta públicamente durante semanas. Un aspecto especialmente sensible para el ecosistema cripto es que los datos incluían las URL específicas de inicio de sesión, permitiendo identificar con precisión qué usuarios tenían cuentas activas en plataformas como Binance.