El 2026 comenzó con una alerta que ya es familiar para los peruanos: nuevas listas de correos y contraseñas nacionales circulan libremente en Telegram y foros clandestinos. No son datos viejos. Son frescos, funcionales y están siendo usados en este momento.
Hace apenas unos días, un actor anónimo publicaba bajo el nombre *“77K++ Combo Perú – Email : Password – FRESH 2026”* un paquete que contenía más de 77,000 cuentas vinculadas a usuarios en Perú: correos electrónicos y contraseñas, listas para ser usadas.
No es un caso aislado. Es la punta de un iceberg que crece cada año y que ya convirtió al Perú en uno de los países más afectados de Latinoamérica por malware de robo de información.
La pregunta ya no es si tus credenciales están filtradas. La pregunta es qué vas a hacer antes de que alguien las use.
El negocio millonario de tus contraseñas (sí, las tuyas)
Cuando hablamos de credenciales filtradas, muchos imaginan a un hacker solitario descifrando contraseña por contraseña. Nada más lejos de la realidad.
El robo y comercio de accesos es una industria criminal perfectamente estructurada, con roles definidos, tecnología de automatización y mercados donde todo tiene precio:
- Infostealers (malware especializado en robo de información) infectan miles de dispositivos por día y envían automáticamente las credenciales capturadas a servidores controlados por atacantes.
- Esos datos se empaquetan, se validan (para comprobar que sigan funcionando) y se ponen a la venta en foros clandestinos o canales privados de Telegram.
- Los compradores, a su vez, usan esas credenciales para vaciar cuentas bancarias, robar identidades o lanzar ataques a empresas.
Un estudio de SOCRadar en 2025 reportó más de 2.6 millones de credenciales comprometidas solo en la región latinoamericana. Y esa cifra, como advierten los expertos, es apenas una fracción del total real.
¿Cómo llegan tus claves a esos foros clandestinos?
Hay tres vías principales por las que tus credenciales pueden terminar publicadas junto a las de otros 77,000 peruanos. Y ninguna requiere que tú seas el objetivo directo del ataque.
1. Malware silencioso: el ladrón que no ves
Los infostealers, keyloggers y troyanos bancarios son programas maliciosos que se instalan sin que el usuario lo note y roban información en segundo plano.
Una vez infectado un dispositivo, estos malwares pueden capturar:
- Todas las contraseñas guardadas en el navegador (Google Chrome, Edge, Firefox).
- Datos de autocompletado (nombres, direcciones, números de tarjeta).
- Sesiones activas (tokens que permiten acceder a cuentas sin volver a poner la contraseña).
El dato escalofriante: en 2025, solo una familia de troyanos bancarios (Guildma) superó las 110,000 detecciones en Latinoamérica. Y Perú está entre los países más afectados.
2. Ingeniería social: cuando el atacante te pide la llave
El phishing sigue siendo el método más efectivo. El atacante se hace pasar por una entidad legítima (banco, empresa de mensajería, entidad gubernamental) y te convence de que ingreses tus datos en un sitio falso.
Las señales de alerta clásicas siguen vigentes:
- Mensajes que apelan a la urgencia (“tu cuenta será suspendida”, “hay un problema con tu pago”).
- Enlaces que llevan a páginas que imitan a las reales pero con dominios sospechosos.
- Anuncios patrocinados en Google que suplantan a bancos y servicios conocidos.
Y no, no solo le pasa a “gente descuidada”. Las páginas falsas son cada vez más sofisticadas. Hasta usuarios precavidos pueden caer.
3. Filtraciones masivas a empresas: el eslabón más débil
El tercer gran vector son las brechas de seguridad en organizaciones. Una base de datos mal protegida, un servidor mal configurado o un ataque exitoso a una empresa pueden exponer millones de cuentas de una sola vez.
Lo que debes saber: incluso si esa empresa no era tu banco, la filtración de tu correo electrónico y tu contraseña (aunque sea de un viejo registro en una tienda online) es suficiente para que los atacantes intenten usar esa misma combinación en otros servicios. Esto se llama credential stuffing (relleno de credenciales).
Y funciona porque el 80% de los usuarios reutiliza contraseñas entre distintas plataformas.
El caso peruano: no somos un objetivo menor
Durante años, se pensó que los ciberataques masivos solo afectaban a Estados Unidos o Europa. La evidencia dice lo contrario.
Perú se ha convertido en un objetivo frecuente y atractivo por varias razones:
- Alta penetración de servicios digitales (banca online, comercio electrónico, redes sociales).
- Baja cultura de ciberseguridad tanto en usuarios como en organizaciones.
- Presencia activa de grupos cibercriminales locales, como el conocido DeFace Perú, que ha reivindicado ataques a entidades gubernamentales.
En 2025, el gobierno peruano, a través de la Autoridad Nacional de Protección de Datos Personales (ANPD), lanzó una alerta urgente tras una filtración mundial de 16 mil millones de contraseñas que afectaba a usuarios de plataformas como Google, Facebook y Apple.
El Centro Nacional de Seguridad Digital (dependiente de la PCM) emitió entonces una alerta técnica advirtiendo que los datos provenientes de estas filtraciones ya estaban siendo comercializados y reutilizados por grupos criminales.
Hoy, en 2026, esa advertencia se ha vuelto una realidad cotidiana. El combo peruano de 77,000 cuentas publicado hace apenas unos días no es el primero ni será el último.
¿Qué pasa después? El peligro no es la filtración, es lo que viene
Que tu correo y tu contraseña aparezcan en un foro clandestino no significa que “no pase nada”. Significa que alguien, en algún lugar, ya tiene la llave de tu vida digital.
Las consecuencias inmediatas pueden ser devastadoras:
💸 Fraudes financieros
Con acceso a tu correo electrónico, un atacante puede solicitar el restablecimiento de contraseñas de tus cuentas bancarias, billeteras digitales o tarjetas de crédito. Tu bandeja de entrada es la llave maestra de tus finanzas.
🕵️♂️ Robo de identidad
Con tus credenciales, pueden crear cuentas a tu nombre, solicitar préstamos, publicar en tus redes sociales haciéndose pasar por ti o incluso cometer delitos que quedarán registrados bajo tu identidad.
🏢 Ataques a tu empresa/institución
Si usas la misma contraseña en tu trabajo (y muchos lo hacen), la filtración de tus credenciales personales puede convertirse en la puerta de entrada a la red corporativa. Un solo empleado con acceso comprometido puede exponer a toda una organización.
⚖️ Riesgos legales
Para las instituciones públicas o privadas, una filtración que exponga datos de clientes puede derivar en multas, demandas y pérdida de confianza que tardan años en recuperarse.
¿Estás expuesto? Cómo saberlo YA (y qué hacer)
El primer paso para protegerte es saber si ya estás en alguna lista filtrada. Y no, no hace falta ser hacker para averiguarlo.
Paso 1: Verifica si tus cuentas están comprometidas
Plataformas como Have I Been Pwned (haveibeenpwned.com) son gratuitas y confiables. Solo ingresas tu correo electrónico y te muestra en qué filtraciones conocidas aparece tu dirección.
Si el resultado es positivo (y hay muchas probabilidades de que lo sea), actúa de inmediato.
Paso 2: Cambia tus contraseñas (pero bien)
No basta con agregar un “1” al final. Una contraseña segura debe tener:
- Al menos 10 caracteres (cuanto más larga, mejor).
- Combinación de mayúsculas, minúsculas, números y símbolos.
- Ser única para cada servicio. Jamás repitas contraseñas entre distintas plataformas.
Si pensar en 50 contraseñas distintas te parece imposible, usa un gestor de contraseñas. Herramientas como Bitwarden, 1Password o incluso el gestor integrado en tu navegador (bien configurado) pueden generar y almacenar claves complejas por ti.
Paso 3: Activa el doble factor de autenticación (2FA)
Esta es la medida más efectiva contra el robo de credenciales. Incluso si alguien obtiene tu contraseña, no podrá acceder sin el segundo factor (un código que llega a tu celular, una aplicación autenticadora o una llave física).
Actívalo en todas las cuentas que lo permitan: correo electrónico, redes sociales, banca online, servicios corporativos.
Paso 4: Mantente alerta
- No hagas clic en enlaces sospechosos, ni siquiera si parecen venir de alguien conocido.
- No descargues archivos adjuntos inesperados.
- Mantén tu sistema operativo y aplicaciones actualizadas.
- Revisa periódicamente los accesos a tus cuentas (la mayoría de plataformas tiene una sección de “dispositivos conectados” o “actividad reciente”).
Un mensaje final para empresas e instituciones peruanas
Si llegaste hasta aquí y tienes una empresa (grande o pequeña), escucha esto con atención:
Tus empleados están reutilizando contraseñas. Tus empleados están cayendo en phishing. Tus sistemas pueden estar expuestos y ni siquiera lo sabes.
La filtración de 77,000 cuentas peruanas no es solo un problema para los usuarios afectados. Es un aviso para todas las organizaciones del país de que el eslabón más débil de la cadena de seguridad sigue siendo el factor humano.
Invertir en:
- Capacitación constante en ciberseguridad para todo el personal.
- Autenticación multifactor obligatoria en todos los accesos corporativos.
- Gestores de contraseñas empresariales.
- Monitoreo de dark web para saber si credenciales de la empresa aparecen en filtraciones.
… ya no es opcional. Es cuestión de supervivencia operativa.
Conclusión
Las credenciales filtradas no son un problema técnico abstracto. Son la puerta por la que los ciberdelincuentes entran a robar tu dinero, tu identidad y la continuidad de tu negocio.
El combo peruano de 77,000 cuentas publicado hace días es solo una muestra de lo que ya está circulando en foros clandestinos. Tus datos pueden estar ahí sin que lo sepas.
Pero no todo está perdido. Actuar hoy —verificando si estás expuesto, cambiando tus contraseñas, activando el doble factor y educando a tu equipo— puede marcar la diferencia entre ser una víctima más o ser quien cierra la puerta antes de que sea demasiado tarde.
No esperes a que alguien entre. El momento de protegerte es ahora.
✅ Comparte este post con tus colegas, empleados y familiares. La mejor defensa contra el robo de credenciales es una comunidad informada.
