En los últimos dos años, los investigadores de NordPass han rastreado casi 10 000 filtraciones importantes en bases de datos y más de 7800 millones de registros de correo electrónico expuestos. El equipo, dirigido por Mantas Sabeckis, investigador sénior de inteligencia sobre amenazas en Nord Security, utilizó la plataforma de inteligencia sobre amenazas NordStellar para esta investigación.
Índice:
El conjunto de datos de 2025 marca un punto de inflexión: las divulgaciones públicas de filtraciones de bases de datos se redujeron en un 36,9 %, pasando de 4804 incidentes en 2024 a 3031 en 2025. A pesar de esa reducción, los delincuentes siguieron exponiendo más de 500 millones de direcciones de correo electrónico solo en 2025, lo que pone de relieve que el número de filtraciones por sí solo no refleja la magnitud de la amenaza. Los ataques actuales priorizan el sigilo y la calidad sobre la cantidad: ahora, un número menor de incidentes afecta a conjuntos de datos mucho más grandes, y una parte cada vez mayor de los datos robados circula a través de canales privados o registros de infostealers, en lugar de foros públicos.
Conclusiones clave
Estados Unidos (187 filtraciones), India (121) y Rusia (78) registraron el mayor número de incidentes específicos por país, aunque el 60 % de las filtraciones fueron globales o sin atribuir.
Los sectores de tecnología, educación y comercio electrónico registraron los mayores volúmenes de filtraciones, y las empresas privadas representaron el 53 % de las exposiciones clasificadas, en comparación con el 10 % que afectó a las entidades gubernamentales.
Las filtraciones de bases de datos se redujeron en un 36,9 % en 2025 (de 4804 a 3031), pero la exposición siguió siendo significativa, con más de 500 millones de direcciones de correo electrónico comprometidas.
Nueve de cada diez filtraciones contenían direcciones de correo electrónico (2724 de 3031) y el 68 % de los incidentes (2069 de 3031) incluían números de teléfono, lo que convierte a los datos de contacto en la información más expuesta de forma sistemática.
Casi un tercio de las filtraciones revelaron credenciales (972 de 3033), mientras que el 12,3 % (374 de 3031) contenían identificadores emitidos por el gobierno, como números de la Seguridad Social o números de permisos de conducir. Los datos financieros aparecieron en el 2,2 % (66 de 3031) de los casos.
Las divulgaciones de sitios web de ransomware aumentaron un 45 % en 2025, hasta alcanzar los 9251 casos, lo que pone de relieve el papel cada vez más importante de la exposición de datos con fines de extorsión.
Un pequeño número de filtraciones graves expuso decenas de millones de registros cada una, concentrando el riesgo general en incidentes de gran impacto.
Tendencia actual: menos filtraciones, mayor exposición
Un cambio hacia los infostealers y los mercados cerrados. La reducción de las filtraciones de bases de datos visibles públicamente refleja probablemente un cambio en los métodos de ataque: el malware infostealer permite a los atacantes capturar credenciales útiles directamente de los sistemas de los usuarios y acceder a los servicios sin extraer conjuntos de datos centralizados.
A medida que los delincuentes perfeccionan sus métodos, los datos de infostealer se han convertido en uno de los activos más codiciados de la economía sumergida. Como explica Mantas Sabeckis:
CITA: «Los datos robados por infostealers seguirán siendo uno de los productos más atractivos para los ciberdelincuentes. Su sencillez, su bajo precio y la escasa necesidad de conocimientos técnicos son los principales factores que impulsan tu creciente popularidad. Aunque las bases de datos tienen su propio lugar en el mundo clandestino, los datos robados por infostealers son mucho más eficaces en comparación. Los atacantes no tienen que depender del relleno de credenciales, ya que ya conocen a sus objetivos. Esto les proporciona una vía directa hacia las cuentas comprometidas, lo que hace que sus ataques sean más rápidos, precisos y exitosos».
Exfiltración de datos mediante ransomware. Los grupos extorsionadores suelen robar datos como moneda de cambio y los venden de forma privada si las víctimas se niegan a pagar. Es posible que estos incidentes nunca aparezcan en sitios web públicos dedicados a filtrar información.
INTERPOLACIÓN DE ESTADÍSTICAS/PERSPECTIVAS: Esta tendencia se ve reforzada por la investigación sobre ransomware de NordStellar para 2024-2025, que muestra que las divulgaciones en sitios web de filtración de datos aumentaron un 45 % interanual en 2025 (9251 casos frente a los 6395 de 2024). La aceleración fue especialmente notable en el último trimestre, con 2910 incidentes en el cuarto trimestre (+38 % interanual), incluidas 1000 víctimas que cotizan en bolsa solo en diciembre, el total mensual más alto observado en dos años. Más allá del volumen, los datos revelan una clara estrategia de selección de objetivos: el 64 % de los casos registrados afectaron a organizaciones con sede en EE. UU., mientras que el sector más afectado fue el manufacturero, con 1156 incidentes (el 19,3 % de las víctimas a nivel mundial). Las pequeñas empresas se vieron afectadas de manera desproporcionada, especialmente las organizaciones con menos de 200 empleados y menos de 25 millones de dólares en ingresos, lo que pone de relieve la preferencia de los atacantes por entornos altamente disruptivos con una postura de seguridad relativamente limitada.
Medidas de aplicación de la ley. En 2025 se cerraron varios foros y mercados importantes dedicados a las filtraciones, lo que dispersó el comercio hacia canales privados más pequeños. Esto hace que las filtraciones sean más difíciles de detectar, pero no reduce la exposición de las víctimas.
Cambios geopolíticos. El hacktivismo basado en datos surgió en 2024 debido a los conflictos globales. A medida que el foco político cambió en 2025, algunas regiones vieron menos volcados públicos, mientras que el espionaje selectivo continuó bajo el radar.
Menos filtraciones no significa menos riesgo. La gran mayoría de los incidentes de 2025 involucraron información que puede ser utilizada de forma indebida rápidamente, como direcciones de correo electrónico (90 %), números de teléfono (68 %), credenciales como contraseñas o claves API (32 %) e identificadores emitidos por el gobierno (12,3 %). Los datos financieros, como los datos bancarios o de criptomonedas, aparecieron solo en el 2,2 % de los casos.
Patrones geográficos
NordStellar identificó 1203 filtraciones específicas en 102 países en 2025. Estados Unidos (187 filtraciones), India (121) y Rusia (78) encabezaron la lista, lo que refleja vuestras grandes poblaciones y densas economías digitales. Se produjeron grupos secundarios de filtraciones en Indonesia, Francia, Brasil, Italia, Alemania, Argentina y México.
En comparación con 2024, Estados Unidos registró más filtraciones de bases de datos en 2025, mientras que Rusia y varios países europeos experimentaron descensos notables. El patrón destaca que el número de filtraciones depende de las prácticas de divulgación y del enfoque de los atacantes. La mayoría de las filtraciones fueron globales o sin atribuir, lo que refleja la naturaleza transfronteriza de las filtraciones de datos.
Análisis del sector industrial
Según el conjunto de datos de NordStellar, las empresas tecnológicas, educativas y de comercio electrónico sufrieron el mayor número de filtraciones. Estos sectores dependen de servicios conectados a Internet y recopilan grandes volúmenes de datos de clientes, lo que los convierte en objetivos lucrativos.
Aunque el número de filtraciones disminuyó en la mayoría de los sectores, normalmente el tamaño de estas aumentó. Por ejemplo, las filtraciones relacionadas con la tecnología y el comercio electrónico solían exponer cientos de miles de direcciones de correo electrónico por incidente. Las filtraciones en el sector financiero, aunque menos numerosas, solían afectar a conjuntos de datos más grandes, lo que amplificaba su impacto.
Gobierno frente a sector privado
De las 3031 filtraciones analizadas para 2025, el 53 % se atribuyó a empresas privadas y el 10 % a entidades gubernamentales, mientras que el 37 % restante no se atribuyó debido a la falta de metadatos. Las filtraciones en el sector privado no solo se produjeron con mayor frecuencia, sino que también expusieron conjuntos de datos más grandes. La filtración privada media contenía alrededor de 126 000 direcciones de correo electrónico, mientras que la filtración gubernamental media contenía alrededor de 79 000. Esta disparidad refleja tanto la mayor superficie de ataque de las organizaciones privadas como el mayor potencial de monetización de los datos comerciales. Las filtraciones gubernamentales siguen teniendo un gran impacto, incluso cuando son menos numerosas, ya que la información confidencial personal y de seguridad nacional puede ser utilizada con fines de espionaje o políticos.
Las 5 filtraciones más destacadas de 2025
Aunque en 2025 se produjeron miles de filtraciones, un pequeño número de incidentes de gran repercusión mediática acapararon una parte desproporcionada del riesgo. La siguiente tabla resume las cinco filtraciones más importantes que NordStellar ha rastreado y proporciona pruebas procedentes de informes independientes:
| Organización y fecha | Pruebas de filtración | Datos expuestos |
|---|---|---|
| Under Armour (noviembre de 2025) | Malwarebytes informó de que la banda responsable del ransomware Everest publicó un conjunto de datos de 191 GB que contenía 191,6 millones de registros y 72,7 millones de direcciones de correo electrónico únicas. La revista Infosecurity Magazine confirmó que Have I Been Pwned (HIBP) añadió 72 millones de direcciones de correo electrónico a su base de datos. | Fechas de nacimiento, sexo, nombres, direcciones de correo electrónico, datos de geolocalización e historial de compras. |
| Prosper Marketplace (septiembre de 2025) | SecurityWeek, citando a HIBP, informó que una consulta no autorizada a las bases de datos de Prosper expuso 17,6 millones de cuentas e incluyó nombres, direcciones, direcciones IP, fechas de nacimiento, identificaciones gubernamentales, situaciones laborales y niveles de ingresos. | Fechas de nacimiento, situación laboral, datos sobre ingresos, nombres, información sobre solvencia crediticia, direcciones de correo electrónico, documentos de identidad oficiales, direcciones IP, direcciones físicas y datos del agente de usuario del navegador. |
| Vietnam Airlines (junio de 2025) | Un análisis de Outpost24 reveló que los autores de la amenaza publicaron un conjunto de datos de 64 GB que contenía más de 7,3 millones de direcciones de correo electrónico únicas. HIBP incluyó a Vietnam Airlines como objeto de una filtración que afectó a 7,3 millones de cuentas. | Direcciones físicas, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, género, nombres, nacionalidades y nombres de usuario. |
| El programa Pass’Sport (diciembre de 2025) | Los registros de HIBP muestran que la filtración del programa Pass'Sport de Francia contenía 6,5 millones de direcciones de correo electrónico únicas y afectó a unos 3,5 millones de hogares. La alerta de filtración de seguridad de HookPhish confirma las mismas cifras y señala que los datos incluían nombres, género, números de teléfono y direcciones físicas. | Direcciones de correo electrónico, nombres, sexos, números de teléfono y direcciones físicas. |
| Bouygues Telecom (agosto de 2025) | Bouygues anunció que unos atacantes accedieron a la información personal de 6,4 millones de clientes. HIBP señala que se expusieron 5,7 millones de direcciones de correo electrónico únicas. | Direcciones físicas, fechas de nacimiento, direcciones de correo electrónico, nombres y números de teléfono. |
Estos incidentes ilustran la gran variedad de víctimas —desde empresas de ropa deportiva y tecnología financiera hasta aerolíneas y programas gubernamentales— y ponen de relieve cómo las filtraciones actuales suelen revelar mucho más que direcciones de correo electrónico.
¿Qué nos espera en 2026?
Los riesgos de filtración de datos evolucionarán en lugar de desaparecer. Esperamos que los delincuentes sigan recurriendo al malware infostealer, al phishing y al ransomware para obtener y monetizar credenciales.
Es probable que esa evolución se acelere a medida que las organizaciones criminales maduren y las nuevas herramientas sean cada vez más accesibles y fáciles de obtener. Como dice Karolis Arbačiauskas, responsable de producto de NordPass, la trayectoria es bastante clara:
CITA: «Los riesgos de filtración de datos seguirán evolucionando a medida que las organizaciones criminales sigan prosperando. La creciente popularidad de los LLM lo catalizará aún más, al igual que en otros campos. Los atacantes utilizarán herramientas de IA para crear mejores correos electrónicos de phishing, crear malware, utilizar software agente o encontrar puntos débiles más rápidamente».
Las empresas y los particulares deben permanecer alerta y actualizar sus prácticas de seguridad. Las políticas de contraseñas seguras y las actualizaciones periódicas de software deben seguir siendo defensas clave contra estas amenazas».
Cómo protegerte
Los resultados de la investigación muestran que la exposición se concentra en sectores altamente digitalizados, grandes empresas del sector privado y regiones con ecosistemas online densos. Para reducir el impacto es necesario que tanto las empresas como los usuarios tomen medidas.
La empresas:
Minimizar el volumen de datos personales almacenados y segmentar los sistemas críticos para limitar el alcance de la filtración de datos.
Reforzar la protección de las credenciales con autenticación respaldada por hardware y proteger los terminales contra el malware infostealer.
Supervisar las credenciales filtradas y actuar rápidamente para contener los incidentes antes de que se extiendan.
Los usuarios:
Utilizar un gestor de contraseñas, emplear contraseñas únicas y habilitar la autenticación multifactor para evitar que las credenciales robadas se reutilicen en otros servicios.
Tras la divulgación de importantes filtraciones de seguridad, mantenerse alerta ante el phishing y las estafas dirigidas.
Si se detecta alguna actividad sospechosa, hay que restablecer inmediatamente las credenciales y revisar las cuentas conectadas.
Reflexiones finales
La reducción de las filtraciones de bases de datos divulgadas públicamente en 2025 refleja más un cambio en las tácticas que una mayor seguridad en Internet. Los delincuentes obtienen cada vez más credenciales mediante infostealers, campañas de extorsión e intercambios de datos privados, utilizando métodos más sofisticados para alcanzar sus objetivos.
De cara al 2026, el reto determinante será gestionar la identidad a gran escala. Las empresas que reduzcan la concentración de datos, refuercen los controles de acceso y acorten los tiempos de detección y respuesta estarán en mejores condiciones para limitar el impacto cuando se produzcan incidentes. La capacidad de contener la exposición, y no solo de prevenirla, definirá cada vez más la resiliencia.
Metodología
Nuestro conjunto de datos incluye todas las bases de datos filtradas disponibles públicamente detectadas por NordStellar entre 2023 y 2025. Cada entrada se procesó mediante un proceso de clasificación asistido por IA (nexos.ai), que analizó los metadatos disponibles sobre las filtraciones, incluidos los dominios de origen, los dominios de nivel superior, las descripciones, las empresas a las que se hace referencia y el contenido de los conjuntos de datos, para determinar el sector, la atribución geográfica y el tipo de organización (pública o privada).
Las filtraciones se clasificaron como «específicas de un país» cuando los metadatos disponibles indicaban una asociación principal con un país. De lo contrario, se marcaban como globales o desconocidas.
De las 3031 filtraciones registradas en 2025, NordStellar extrajo el recuento de correos electrónicos notificados y registró la presencia de otros tipos de datos, como números de teléfono, credenciales (contraseñas en texto plano o con hash, claves API), identificadores gubernamentales y registros financieros. Los totales de correo electrónico reflejan los registros de cuentas agregados y pueden incluir tipos de cuentas mixtas (por ejemplo, cuentas de clientes, empleados, administrativas o de usuarios), ya que no fue posible realizar una diferenciación precisa.