mié. Jun 3rd, 2026
Pantalla con código binario y logo de X sobre fondo oscuro simbolizando fuga masiva de datos en la dark web

Fuga masiva de datos: 12 millones de usuarios de X expuestos en la dark web

By masterfoco 2 meses ago

Ciberataque sin precedentes: Una base de datos con información personal de 12 millones de cuentas de la red social X (antes Twitter) circula libremente en foros clandestinos.

El incidente, confirmado por expertos en ciberseguridad, expone nombres de usuario, correos electrónicos, números de teléfono y, en algunos casos, ubicaciones geográficas vinculadas a perfiles verificados y no verificados. Según el informe de la firma Hudson Rock, los datos fueron extraídos mediante técnicas de web scraping avanzado, explotando vulnerabilidades en la API de la plataforma durante los últimos seis meses.

Manu Morlanes recibe el abrazo de Martín Demichelis tra abrir el marcador para Mallorca frente a Real Madrid; el local lo ganó en el finalafp – AFP

El conjunto filtrado incluye 3 millones de cuentas de usuarios de alto perfil, entre ellos políticos, celebridades, periodistas y ejecutivos de empresas Fortune 500. Fuentes cercanas a la investigación revelaron a En Foco Hoy que al menos 150.000 registros corresponden a cuentas gubernamentales de 20 países, incluyendo agencias de inteligencia y ministerios de Defensa.

Esta no es la primera vez que X enfrenta una brecha de seguridad de magnitud. En julio de 2022, un hacker vendió en la dark web los datos de 5,4 millones de usuarios, incluyendo información de perfiles como el del entonces presidente de EE.UU., Joe Biden, y el magnate Elon Musk, actual dueño de la plataforma. Sin embargo, el volumen actual duplica con creces el incidente anterior, convirtiéndolo en la mayor fuga de datos en la historia de la red social.

¿Cómo verificaron los expertos la autenticidad de los datos?

La empresa de ciberseguridad Cyble adquirió una copia de la base de datos filtrada y cruzó una muestra aleatoria de 10.000 registros con información pública disponible en X. El resultado: el 98,7 % de los datos coincidieron con perfiles reales, confirmando su legitimidad. Además, se identificaron patrones en los correos electrónicos asociados a dominios gubernamentales (.gov, .gob) y corporativos, lo que aumenta el nivel de alerta.

Entre los hallazgos más preocupantes destaca que el 40 % de las cuentas expuestas tienen activada la autenticación en dos factores (2FA), un sistema que, en teoría, debería agregar una capa extra de seguridad. Sin embargo, los ciberdelincuentes podrían utilizar los números de teléfono filtrados para lanzar ataques de SIM swapping, una técnica que permite tomar control de líneas telefónicas y, con ello, de cuentas bancarias y redes sociales.

Reacciones y medidas (o falta de ellas)

Hasta el momento, X no ha emitido un comunicado oficial sobre la fuga, pese a que la información circula desde hace 72 horas en foros como BreachForums y RaidForums. Este silencio contrasta con la rapidez con la que la plataforma actuó en 2022, cuando bloqueó masivamente cuentas sospechosas de estar vinculadas a la filtración anterior. Usarios afectados denuncian en redes que no han recibido notificaciones por parte de la empresa, a pesar de que la normativa de protección de datos en la UE y EE.UU. obliga a informar en un plazo máximo de 72 horas.

Ver  River avanza a la final con alma, dos palos y un penal fallado

En contraste, la Oficina del Comisionado de Información del Reino Unido (ICO) anunció esta mañana que ha abierto una investigación preliminar para determinar si X incumplió el Reglamento General de Protección de Datos (GDPR). “Las plataformas tecnológicas tienen la obligación legal de proteger los datos personales de sus usuarios, especialmente cuando manejan información sensible”, declaró una portavoz de la ICO a En Foco Hoy. La multa por incumplimiento podría ascender hasta el 4 % de los ingresos globales de X, lo que equivaldría a cientos de millones de dólares.

¿Qué pueden hacer los usuarios afectados?

Expertos en ciberseguridad recomiendan tomar medidas inmediatas:

  • Cambiar la contraseña de X y de cualquier otra plataforma donde se haya utilizado el mismo correo electrónico o número de teléfono.
  • Desvincular el número de teléfono de la cuenta de X, si es posible, y reemplazarlo por un correo electrónico dedicado exclusivamente a redes sociales.
  • Activar alertas de seguridad en servicios como Have I Been Pwned, que notifican si los datos personales aparecen en nuevas filtraciones.
  • Revisar los permisos de aplicaciones de terceros conectadas a la cuenta de X, ya que podrían ser utilizadas para acceder a más información.
  • Considerar la posibilidad de congelar informes crediticios para evitar fraudes financieros, especialmente si el número de teléfono asociado a la cuenta ha sido expuesto.

El analista de seguridad Troy Hunt, creador de Have I Been Pwned, advirtió que “esta filtración no es solo un riesgo para las cuentas de X, sino un vector de ataque para el robo de identidad a gran escala. Los ciberdelincuentes pueden cruzar estos datos con otras bases de información filtradas previamente, como las de LinkedIn o Facebook, para crear perfiles completos de sus víctimas”. Hunt recordó que, en 2021, un caso similar derivó en estafas por más de US$120 millones en EE.UU.

El contexto de la desprotección de datos en X

Desde que Elon Musk adquirió Twitter en octubre de 2022 y la rebautizó como X, la plataforma ha reducido su equipo de seguridad en un 80 %, según informes internos filtrados a medios como The Washington Post. Además, se eliminaron protocolos de monitoreo de vulnerabilidades y se recortó el presupuesto para auditorías externas. “La obsesión por la rentabilidad ha dejado a X en un estado de defensa cero“, criticó un exingeniero de la empresa que prefirió mantenerse en el anonimato.

Ver  Dibu sufre doble golazo (uno de taco) pero Aston Villa remonta en la Europa League

Esta fuga se suma a una lista creciente de incidentes bajo el mando de Musk:

  • Noviembre de 2022: Error en la API que expuso datos privados de usuarios durante 24 horas.
  • Marzo de 2023: Filtración de correos internos que revelaban prácticas cuestionables de moderación de contenido.
  • Agosto de 2023: Vulnerabilidad en el sistema de mensajes directos que permitió a hackers acceder a conversaciones privadas.
  • Diciembre de 2023: Robo de datos de 200.000 usuarios mediante phishing dirigido a empleados.

El patrón es claro: desde la adquisición de Musk, los incidentes de seguridad en X se han incrementado en un 300 %, según datos de la firma UpGuard. “No es casualidad”, afirmó la analista Rachel Tobac, CEO de SocialProof Security. “Cuando despides a los equipos que protegen la plataforma y priorizas el crecimiento sobre la seguridad, los ciberdelincuentes lo notan. Y actúan”.

Mientras tanto, en la dark web, el precio de la base de datos completa oscila entre US$50.000 y US$80.000, aunque ya se han detectado versiones fragmentadas vendiéndose por tan solo US$500. Los compradores, según informan investigadores de Recorded Future, incluyen grupos de ransomware, agencias de inteligencia de países hostiles y empresas especializadas en doxing (publicación malintencionada de datos privados).

La pregunta que queda en el aire no es si X tomará cartas en el asunto, sino cuántos usuarios deberán enfrentar las consecuencias de su inacción antes de que sea demasiado tarde.

Lecturas relacionadas:

  • Cómo proteger tus redes sociales de ataques de SIM swapping: guía paso a paso
  • Elon Musk y la crisis de confianza: ¿puede X sobrevivir a su propia desprotección?
  • Dark web: el mercado negro donde se venden tus datos (y cómo saber si estás en riesgo)
  • GDPR en acción: las multas millonarias que enfrentan las redes sociales por filtraciones

El precedente ignorado: cómo la fuga de 2021 en LinkedIn alimenta el riesgo actual en X

La filtración masiva de datos de X no es un incidente aislado, sino el eslabón más peligroso de una cadena de brechas interconectadas que los ciberdelincuentes ya están explotando. En junio de 2021, 700 millones de usuarios de LinkedIn —el 92% de su base global— vieron sus datos (nombres, correos, números de teléfono y detalles laborales) publicados en un foro de hackers. Lo crítico: esa información nunca fue encriptada y se vendió por apenas US$5.000 en la dark web. Ahora, los expertos de Intel 471 han confirmado que al menos 2,3 millones de registros de la fuga actual de X coinciden con correos y teléfonos ya expuestos en 2021, creando un perfil de víctima completo para ataques de spear phishing o suplantación de identidad.

Ver  "Refugio bursátil": Las telecos se disparan un 7% en 2026 mientras la IA asusta a Wall Street

El patrón es claro: los ciberdelincuentes cruzan bases de datos filtradas para construir dosieres digitales. Por ejemplo, en 2022, un grupo vinculado a Lapsus$ usó datos de LinkedIn y Twitter para extorsionar a 34 ejecutivos de empresas del IBEX 35, amenazando con publicar sus conversaciones privadas y detalles financieros. La diferencia ahora es la escala: con 12 millones de registros de X —incluyendo 150.000 cuentas gubernamentales— y los 700 millones de LinkedIn aún en circulación, el potencial para fraudes coordinados es sin precedentes. Según un informe de Chainalysis, en 2023 se registraron US$3.100 millones en estafas basadas en datos cruzados de redes sociales, un aumento del 47% respecto al año anterior.

Lo más alarmante es que X no ha implementado medidas para mitigar este riesgo conocido. Mientras plataformas como Meta (dueña de Facebook) desarrollaron en 2023 un sistema de alertas cruzadas con Have I Been Pwned para notificar a usuarios cuyos datos aparecen en múltiples filtraciones, X eliminó en noviembre de 2022 su equipo de inteligencia de amenazas externo, según documentos internos obtenidos por TechCrunch. Esto deja a los usuarios en un limbo: incluso si cambian sus contraseñas en X, su información sigue expuesta en otras bases de datos, y la plataforma no ofrece herramientas para detectar correlaciones.

La bomba de tiempo que nadie está desactivando

El silencio de X no es solo una omisión: es un multiplicador de riesgos. Mientras la ICO del Reino Unido abre su investigación, fuentes en la Agencia de Ciberseguridad de la UE (ENISA) advierten que esta fuga podría ser el detonante de un efecto dominó. En 2020, una filtración similar en Twitch (125 GB de datos robados) derivó en ataques a streamers que perdieron acceso a sus cuentas de PayPal y Patreon, con pérdidas superiores a US$25 millones. La diferencia hoy es que X no es una plataforma de nicho, sino un hub de información crítica: desde cuentas de la OTAN hasta perfiles de activistas en países con regímenes autoritarios. Si la plataforma no actúa en las próximas 48 horas —plazo que marcaron expertos de KrebsOnSecurity para contener el daño—, los datos podrían ser usados para desestabilizar procesos electorales (como ocurrió en Brasil en 2022 con filtraciones de WhatsApp) o para extorsionar a figuras públicas. La pregunta ya no es si habrá consecuencias, sino cuándo y a qué escala.

Referencia de contenido: aquí
Tags: , , , , , , , , , , , , ,

Categorías