RockYou2025: Cuando cayeron Samsung, GitHub y gobiernos – El día que escaparon 16 mil millones de contraseñas
1 de junio de 2025 – El día que Internet sangró
A las 02:17 UTC del 1 de junio de 2025, apareció un mensaje en un foro oscuro del darknet. El usuario, oculto tras el seudónimo “X_Zero”, escribió:
16 mil millones de credenciales. Logs frescos. Sin duplicados. RockYou2025. Mirror 1 activo. Ya saben qué hacer.
Breve. Críptico. Catastrófico.
En menos de dos horas, investigadores de Hudson Rock y Cybernews confirmaron lo impensable: la mayor filtración de contraseñas de la historia era real. Treinta bases de datos. Más de 16 mil millones de credenciales. Y lo más alarmante: eran recientes.
Anatomía de la filtración
El archivo, bautizado como RockYou2025, era una evolución oscura de sus predecesores RockYou2021 y RockYou2024. Pero esta vez, los datos eran más limpios, organizados y peligrosamente utilizables. Cada entrada incluía:
Una URL o dominio
Un nombre de usuario o correo electrónico
Una contraseña en texto plano
En muchos casos, información del dispositivo y marcas de tiempo
Los datos fueron recolectados mediante malware infostealer como RedLine, Raccoon y Vidar — software malicioso que se propaga a través de correos de phishing, programas piratas o extensiones de navegador falsas. Una vez instalado, roba silenciosamente credenciales, cookies, monederos de criptomonedas y más, enviándolos a servidores controlados por ciberdelincuentes.
La magnitud del desastre
Antes del amanecer en Europa, la filtración ya se había propagado como un incendio digital. Analistas confirmaron que casi todas las grandes plataformas estaban comprometidas:
Google, Apple, Facebook, Telegram, GitHub — todas afectadas
Portales bancarios, sitios gubernamentales, sistemas de salud — expuestos
VPNs corporativas y herramientas internas — vulnerables
Lo más inquietante: muchas de las contraseñas tenían menos de 90 días de antigüedad, lo que indicaba que las campañas de malware seguían activas — y recolectando.
Los autores: una hidra digital
A diferencia de filtraciones anteriores, generalmente atribuidas a un solo grupo, RockYou2025 mostraba señales de múltiples actores. Era un archivo consolidado, compuesto por:
Logs de infostealers
Listas para ataques de credential stuffing
Datos reciclados de filtraciones menores
Posiblemente incluso campañas de espionaje patrocinadas por estados
Un nombre surgía con frecuencia: APT36, también conocido como Transparent Tribe — un grupo vinculado a Pakistán, con historial de ataques a infraestructuras indias. Aunque no se les relacionó directamente con la filtración, su actividad en la primavera de 2025 levantó sospechas.
Un Chernóbil digital
Ese mismo día, el FBI emitió una alerta urgente. Google instó a los usuarios a adoptar passkeys. Gestores de contraseñas como Bitwarden y 1Password reportaron un aumento de más del 400 % en registros. Pero el daño ya estaba hecho.
RockYou2025 no fue una filtración cualquiera. Fue un Chernóbil digital — invisible, silencioso, devastador. Y apenas era el comienzo.
Del 2 al 10 de junio de 2025 – Las consecuencias y los actores en la sombra
El 2 de junio, el mundo digital despertó en estado de emergencia.
Departamentos de TI en todo el planeta activaron protocolos de crisis. Gobiernos convocaron comités de seguridad. Millones de usuarios — desde estudiantes hasta directores ejecutivos — recibieron alertas de que sus cuentas habían sido comprometidas. La filtración RockYou2025, ahora confirmada con más de 16 mil millones de credenciales únicas, se había propagado como un incendio digital.
La respuesta global
A las 08:00 UTC, el FBI emitió una alerta urgente: los ataques de relleno de credenciales eran “inminentes y masivos”. Ese mismo día, Google, Apple y Microsoft comenzaron a promover el uso de passkeys, un sistema de autenticación sin contraseñas, más seguro y resistente al phishing.
Para el 3 de junio, gestores de contraseñas como Bitwarden, 1Password y NordPass reportaron un aumento de más del 400 % en nuevos registros. Telegram y GitHub comenzaron a suspender cuentas sospechosas. Varias entidades bancarias en Europa y Asia desactivaron temporalmente el acceso en línea para forzar restablecimientos masivos de contraseñas.
Los principales objetivos
La lista de organizaciones afectadas era impactante:
Samsung Galaxy: 800 millones de cuentas comprometidas
PowerSchool: 62 millones de registros educativos filtrados
Instituto Nacional de Seguridad Social de Marruecos: 2 millones de identidades expuestas
Telegram y GitHub: plataformas clave para desarrolladores y comunicación
Portales gubernamentales: India, Brasil y la Unión Europea — todos vulnerados
Incluso empresas de defensa y sistemas de salud aparecían en los archivos — una señal clara de que ningún sector estaba a salvo.
¿Quién está detrás?
Los análisis forenses revelaron que se trataba de un archivo consolidado: logs de malware infostealer, listas para ataques automatizados y datos inéditos de filtraciones anteriores. Los malwares involucrados — RedLine, Raccoon y Vidar — habían estado activos durante meses, ocultos en software pirata, extensiones maliciosas y campañas de phishing.
Ningún grupo se atribuyó oficialmente la filtración, pero las huellas digitales apuntaban a varios actores conocidos. Uno en particular destacaba: APT36, también conocido como Transparent Tribe — un grupo vinculado a Pakistán, con historial de ciberespionaje contra India. Aunque no se estableció una conexión directa, su actividad en mayo de 2025 levantó sospechas de aprovechamiento estratégico del caos.
Un punto de inflexión
Para el 10 de junio, el mundo de la ciberseguridad seguía en alerta máxima. Empresas realizaban restablecimientos masivos. Gobiernos formaban grupos de respuesta rápida. Y el público — muchos por primera vez — comprendía cuán frágil es su identidad digital.
RockYou2025 no fue solo una filtración. Fue una alarma global. Una advertencia brutal de que, en un mundo donde se reutilizan contraseñas, una sola puede convertirse en un arma.
Sources
