Menú
Lunes, 22 de Septiembre de 2025
Diario de Economía de la Región de Murcia
OPINIÓNDehashed: Los hackers usan tus claves filtradas en una plataforma para atacar todas
  • Buscar
Lunes, 22 de Septiembre de 2025
Diario de Economía de la Región de Murcia

DIARIO DE ECONOMÍA DE LA REGIÓN DE MURCIA

Aquilino García

Dehashed: Los hackers usan tus claves filtradas en una plataforma para atacar todas


"No existe una solución milagrosa para la ciberseguridad, la única defensa viable es una defensa en capas". - James Scott

 

DeHashed: una plataforma OSINT para gestión de filtraciones

 

¿Usas claves recicladas? ¿Una para todas las plataformas? Mal. Estás dejando el camino para que si una sola plataforma es atacada y se filtra tu clave, puedan entrar en el resto: redes sociales, whatsappp, instagram, LinkedIn, BBVA, Binance…

 

Pues bien, si fuiste filtrado y tus claves se «dehashearon» (hash es encriptar tus claves, dehash, desencriptarlas).

 

DeHashed es un buscador especializado en datos filtrados, diseñado para ayudar a individuos y empresas a detectar y responder a brechas de seguridad.

 

La plataforma agrega miles de millones de registros robados, incluidos correos, usuarios, IPs y contraseñas en texto plano obtenidas de diversas filtraciones masivas.

 

Se han hallado compilaciones con 71 millones de correos y 100 millones de contraseñas en texto sin formato tras analizar grandes fugas de datos. Santander, El Corte Inglés, Endesa, LinkedIn, Facebook, fueron filtrados en el pasado. ¿qué tal tus claves en esas plataformas? ¿No las cambias nunca? Pues estas ‘jodido’.

 

[Img #9390]

 

DeHashed permite consultar directamente las contraseñas expuestas si han quedado registradas en sus bases de datos.

 

DeHashed presenta una interfaz de búsqueda flexible que combina resultados de múltiples brechas en la “deep web” (dehashed.com). Permite buscar por distintos campos (correo, nombre de usuario, dominio, IP, hashes, etc.), e incluso términos avanzados usando comodines y expresiones regulares (regex) para afinar consultas.

 

Para Bellingcat, DeHashed ofrece búsquedas por dominio o por campo específico, con filtros de número de resultados, comodines y regex, e incluso combinando operadores (p.ej. email + usuario). Por dominio, te permite buscar todos los correos de tu compañía, todos los usuarios de un mismo dominio.

 

DeHashed incluye las “Data Wells”, que son listados de brechas resumidos: sitio afectado, descripción, fecha, número de cuentas filtradas y detalles del tipo de datos expuestos. Este catálogo facilita ver de dónde proviene cada filtración y su alcance.

 

Servicios DeHashed que te pueden interesar

 

  • Búsqueda avanzada: La herramienta original de DeHashed es su buscador de brechas. Admite consultas por correo, nombre de usuario, dirección IP, número de teléfono, etc. Como indican sus desarrolladores, su Search API permite integrar de forma rápida y segura estas búsquedas en otros sistemas. Las consultas pueden incluir operadores lógicos, rangos, regex y comodines, lo que resulta muy útil para filtrar por dominios completos o analizar patrones específicos. Una búsqueda por correo electrónico puede devolver todas las cuentas y contraseñas asociadas a ese email en distintas brechas. En la práctica, basta con introducir la dirección de correo para recuperar los registros filtrados vinculados a ese usuario. A diferencia de sitios gratuitos como Have I Been Pwned (que solo avisa si un email aparece en alguna filtración), DeHashed expone la información filtrada en texto claro cuando está disponible.

 

  • Monitoreo y alertas: DeHashed ofrece un servicio de monitorización de datos. Los usuarios pueden registrar (gratis) direcciones de correo, números de teléfono, dominios o nombres de usuario; la plataforma comprueba automáticamente si estos datos aparecen en nuevas filtraciones. Según su página oficial, notifican de inmediato (por email o SMS) cuando detectan información sensible de un usuario en la web oscura o en una nueva brecha. El plan gratuito permite hasta 10 «monitores» distintos. Esta funcionalidad fue utilizada para reaccionar rápidamente a miles de incidentes: por ejemplo, en 2020 DeHashed fue “el primero en responder” a más de 23.000 incidentes de brechas de datos. En resumen, el monitoreo de DeHashed sirve para detectar proactivamente filtraciones de cuentas antes de que los atacantes las aprovechen (p.ej. en ataques de relleno de credenciales).

 

  • API e integraciones: Para equipos de seguridad, la API de DeHashed permite incorporar estas búsquedas en flujos automatizados. Dispone de endpoints REST seguras (requieren clave API) con las que se pueden consultar masivamente los datos filtrados. Por ejemplo, su funcionalidad de “vulnerability scanning” permite enviar listas completas de usuarios o contraseñas para auditar posibles casos de reciclaje de credenciales. DeHashed destaca que su API es rápida y admite consultas por lotes, integrándose en sistemas de SOC o plataformas internas. Así, un SOC puede programar llamadas regulares al API para, digamos, verificar si algún usuario de la organización ha sido expuesto en recientes fugas. La documentación oficial describe cómo construir consultas avanzadas y procesar las respuestas JSON, acelerando la detección de riesgos de credenciales comprometidas. DeHashed dispone de datasets privados exclusivos (más fuentes que otras herramientas), lo que le permite reaccionar primero ante nuevas filtraciones.

 

  • WHOIS y búsquedas de dominios: Como novedad, en abril de 2025 DeHashed lanzó un módulo de búsquedas WHOIS de dominios. Esta base de datos permite consultar información de registro de cualquier dominio web (incluyendo históricos), complementando el análisis de activos expuestos. La función WHOIS está orientada más a investigación OSINT general (por ej. identificar propietarios de sitios vinculados a campañas maliciosas), pero amplía los servicios de DeHashed más allá de credenciales de usuario.

 

En conjunto, DeHashed combina búsqueda de datos filtrados, monitoreo continuo, notificaciones y una API robusta para integrar todo esto en procesos de ciberseguridad. La plataforma promete además “privacidad transparente”, asegurando que no revende ni comparte los datos de sus usuarios.

 

Reutilización de credenciales y casos reales

 

La reutilización de contraseñas entre servicios es la base de los ataques de “credential stuffing”. En un ataque de este tipo, el atacante toma credenciales (usuario+clave) expuestas en una filtración previa y las prueba automáticamente contra cientos de sitios. Incluso con una baja tasa de éxito, esto puede afectar a millones de cuentas. Por ejemplo, Axur describe que si un bot probara 100 millones de credenciales y se reutilizara el 2% de ellas, resultaría en 2 millones de combinaciones válidas, permitiendo acceso masivo a servicios de streaming, bancos o plataformas de nube.

 

En la práctica hay muchos casos globales ilustrativos. En 2024 Kaspersky reportó 7,01 millones de credenciales de streaming comprometidas (Netflix, Disney+, Amazon Prime Video, Apple TV+, Max). Más de 5 millones de esas pertenecían solo a Netflix. Lo relevante es que estas claves no fueron robadas “hackeando” directamente Netflix, sino recopiladas por malware o «virus» en extensiones de navegador y por ingeniería social. Es decir, los atacantes obtuvieron credenciales en otros sitios (p.ej. tiendas virtuales o foros) y luego las reutilizaron en Netflix. Cuando apareció Disney+ en 2019, miles de cuentas fueron secuestradas y revendidas a bajo precio. Los expertos apuntaron que la causa probable era el reciclado de contraseñas: «La gente suele reutilizar las contraseñas entre diferentes servicios porque es más cómodo… es muy posible que no sepan cuándo se ha visto comprometida».

 

Ejemplos concretos adicionales incluyen grandes filtraciones públicas: Troy Hunt reveló un volcado con 100 millones de contraseñas en texto plano. Muchas de esas claves eran antiguas o repetidas. El propio Hunt advierte que, dado que también se filtraron los emails, “una contraseña reutilizada filtrada puede abrir la puerta a un compromiso de seguridad en otros servicios”. Esto refleja el peligro real: contraseñas simples o repetidas (como “123456” o fechas) amplían enormemente el impacto de cada brecha.

 

Incluso en la industria minorista global ha habido brechas notables. Un caso fue el ataque por credential stuffing contra la tienda The North Face en octubre de 2020: se usaron contraseñas robadas para acceder a cuentas de clientes y se expusieron correos, direcciones y otros datos personales. La empresa tuvo que reiniciar todas las claves afectadas. En general, las empresas en España y Latinoamérica enfrentan la misma amenaza: aunque no siempre se hacen públicos nombres de víctimas, es sabido que credenciales filtradas en brechas globales (por ejemplo, de sitios de mensajería o compras online) han sido luego usadas para acceder a servicios bancarios, correos o redes sociales locales. Por eso, organismos como INCIBE en España y expertos en la región recomiendan enfáticamente usar contraseñas únicas y autenticación multifactor para prevenir el credential stuffing.

 

En resumen, la reutilización de credenciales es un vector crítico: cada filtración masiva no solo expone la cuenta original, sino que puede comprometer múltiples cuentas de un mismo usuario en otros servicios. Esto refuerza la utilidad de herramientas como DeHashed para detectar rápidamente cuándo las credenciales internas (o de un usuario) han quedado expuestas en una brecha previa, y así mitigar posibles ataques en cascada.

 

Integración técnica en ciberseguridad

 

Para equipos de seguridad, DeHashed puede incorporarse en flujos de trabajo OSINT y SIEM. La API RESTful permite automatizar consultas sin usar la interfaz web. Por ejemplo, se puede llamar al endpoint de búsqueda con una clave API (enviado como header) y parámetros en JSON, obteniendo de vuelta las cuentas filtradas de un usuario. DeHashed documenta que su Search API está diseñada para “alimentar tus propias aplicaciones” con datos de brechas. En la práctica, un analista podría escribir un script (p.ej. en Python o usando la herramienta de línea de comandos disponible) que cada hora consulte todas las cuentas de dominio corporativo y revise si han aparecido en las bases de datos de DeHashed. Asimismo, la API de vulnerability scanning permite enviar listas completas de credenciales (o URLs) para identificar “vectores de relleno de credenciales” automáticamente.

 

Al integrarse con SIEMs o plataformas de analítica de seguridad, DeHashed aporta datos enriquecidos. Por ejemplo, al detectar un login sospechoso se puede correlacionar con alertas de DeHashed que indiquen si ese usuario ya tenía credenciales expuestas. La alta velocidad y precisión de las consultas programáticas facilita esta integración: según la propia firma, la API de DeHashed ofrece “velocidad y exactitud líderes en la industria” para búsquedas masivas. En la práctica, se recomienda usar estas integraciones con autenticaciones seguras, limitando las claves API a entornos controlados.

 

En cuanto al manejo de los datos filtrados, se deben seguir buenas prácticas de seguridad y privacidad. Por ejemplo, los dumps de contraseñas pueden contener malware o URLs maliciosas, por lo que algunos expertos aconsejan analizarlos en entornos aislados (p.ej. máquinas virtuales) usando herramientas forenses de texto como grep o sift  OSINT TEAM blog. También es vital tratar la información comprometida con confidencialidad: no distribuirla más allá del equipo de seguridad, cifrarla en reposo y eliminarla una vez procesada. De acuerdo a la plataforma, DeHashed tampoco revende ni comparte los datos de sus usuarios, pero cada organización debe cumplir además leyes como el GDPR: almacenar sólo lo necesario y asegurar un buen manejo de datos personales. En resumen, la integración técnica de DeHashed implica llamar a su API desde scripts o herramientas automatizadas, y luego operar sobre la información con controles de acceso estrictos y cifrado, tal como se haría con cualquier dato sensible extraído.

 

Comparativa con otras herramientas OSINT de filtraciones

 

Existen varias alternativas a DeHashed para búsquedas de datos filtrados y monitoreo de brechas. Cada una tiene sus pros y contras:

 

  • Have I Been Pwned (HIBP): Creado por Troy Hunt, es gratuito y muy popular. Permite consultar si una dirección de correo (o contraseña, mediante su servicio Pwned Passwords) aparece en alguna brecha pública. Su gran ventaja es el acceso gratuito y la amplia base de brechas conocidas. Sin embargo, HIBP no revela las contraseñas correspondientes (utiliza hashes y k-anonimato) ni ofrece búsquedas avanzadas ni monitoreo personalizado para empresas. Es ideal para usuarios individuales que quieran verificar su correo, pero no devuelve el detalle completo ni permite escaneos masivos. En otras palabras, HIBP brinda solo una alerta básica de compromiso, mientras que DeHashed muestra los datos filtrados concretos en texto claro (cuando estén disponibles) xataka.com.

 

  • Intelligence X: Es un motor de búsqueda OSINT más general. Indexa no solo filtraciones de datos, sino también contenidos de la darknet, plataformas de documentos, registros WHOIS, etc. Según su página, permite buscar por selectores como emails, dominios, IPs o hasta direcciones de Bitcoin, abarcando tanto la web pública como redes oscuras intelx.io. La fortaleza de Intelligence X es su amplitud: facilita investigar un objetivo desde múltiples fuentes (fugas de datos, comunidades de hack, publicaciones públicas). Su desventaja en este contexto es que no está especializado exclusivamente en bases de datos de credenciales; la información de filtraciones puede estar mezclada con mucho otro contenido, y es de pago para uso extensivo. Se destaca por su archivo histórico (es como un “Wayback” que guarda datos antiguos) intelx.io, pero carece de la interfaz específica para contraseñas filtradas que ofrece DeHashed.

 

  • Snusbase: Plataforma comercial que, al igual que DeHashed, indexa brechas de datos para búsquedas OSINT. Snusbase ofrece búsquedas por correo, contraseña, hash o usuario, y sus resultados aparecen siempre en texto claro y sin censurar (incluso información adicional como SSN o respuestas secretas, si están en los dumps). Esto significa que, a diferencia de HIBP, con Snusbase se puede ver directamente la contraseña comprometida. Como contrapartida, Snusbase es un servicio de pago (aún más orientado a investigadores de seguridad) y no tiene versión gratuita significativa. En comparación, DeHashed también es pago en sus funcionalidades completas, pero suele ofrecer niveles gratuitos limitados (p.ej. los 10 monitores gratis). DeHashed afirma tener acceso a datos privados que otros servicios no tienen, mientras que Snusbase se jacta de devolver cualquier dato filtrado sin ocultar nada. En práctica, ambos son herramientas poderosas con coberturas masivas, pero Snusbase destaca por claridad de resultados y DeHashed por amplitud de filtros y datos bien organizados.

 

  • Leak-Lookup (antes BreachDirectory): Es otro buscador de filtraciones similar. Publicita miles de millones de registros (según su sitio, unos 28 mil millones de datos de 4.439 brechas registradas a mayo de 2025). Ofrece API y monitoreo en tiempo real, enfocándose en entornos empresariales. Leak-Lookup menciona explícitamente la amenaza del credential stuffing y ayuda a reforzar políticas de contraseñas. La comparación con DeHashed es cercana: ambos son servicios comerciales con bases de datos gigantes, pero Leak-Lookup tiene más énfasis en soluciones empresariales y estadísticas globales. DeHashed, en cambio, enfatiza la integración OSINT flexible (y ofrece algunos recursos gratuitos). En definitiva, Leak-Lookup tiene una mayor cantidad de registros totales según sus métricas, pero al igual que Snusbase, requiere suscripción para acceder al detalle completo de las filtraciones.

 

En síntesis, DeHashed es una solución intermedia entre las gratuitas y las de pago (es realmente de pago). Ofrece un potente buscador de contraseñas filtradas (incluyendo texto claro) con funcionalidades avanzadas y API. Frente a HIBP (sencillo y limitado), DeHashed brinda más detalle y flexibilidad; comparado con Intelligence X (muy amplio pero genérico), se centra en datos filtrados de identidad; frente a Snusbase o Leak-Lookup, comparte similitudes de cobertura pero destaca su interfaz de usuario y opciones de monitoreo gratuito limitado. Cada herramienta tiene sus puntos fuertes: DeHashed destaca en la velocidad de búsqueda y en la cantidad de registros (“la herramienta más grande de la industria” según sus propias palabras), mientras que otras aportan mayor especialización gratuita (HIBP) o datos de otras fuentes (Intelligence X). La elección depende de las necesidades: en general, DeHashed resulta muy potente para detectar y responder brechas de contraseñas comprometidas, complementando (o superando) lo que ofrecen las herramientas OSINT más tradicionales.

 

Enlaces de Interés:

 

dehashed.com

Artículo de Xacata sobre filtraciones de millones de claves xataka.com

 

Linkedin: Aquilino García

Artículos de opinión relacionados

Aquilino García
Aquilino García
Portmaster: firewall y privacidad en Windows 11. Vete de veraneo con seguridad
Aquilino García
Aquilino García
Riesgos de privacidad con Amazon Alexa: El Espía en casa
Con tu cuenta registrada

Escribe tu correo y te enviaremos un enlace para que escribas una nueva contraseña.

Volver a acceder