La seguridad digital se ha convertido en uno de los riesgos más críticos para las empresas tecnológicas y para millones de personas en todo el mundo. Esta semana, la firma de ciberseguridad ExpressVPN dio a conocer un hallazgo alarmante realizado por el investigador Jeremiah Fowler: una base de datos alojada en la nube, sin ningún tipo de protección, expuso información sensible de usuarios de múltiples plataformas digitales de uso cotidiano.
El repositorio contenía más de 149 millones de registros únicos de credenciales de acceso, incluyendo correos electrónicos, nombres de usuario y contraseñas. Entre los servicios afectados se encuentran gigantes tecnológicos y de entretenimiento como Gmail, iCloud, Facebook, Netflix y TikTok, lo que vuelve a poner sobre la mesa un tema clave para la responsabilidad social empresarial: la protección de los datos de usuarios en plataformas digitales.
Datos de usuarios en plataformas expuestos…
De acuerdo con ExpressVPN, la base de datos identificada contenía alrededor de 96 GB de información y estaba públicamente accesible, ya que no contaba con ningún tipo de cifrado ni medidas básicas de seguridad, lo que hacía posible que cualquier persona con conocimientos mínimos pudiera acceder a millones de credenciales sin restricciones, un escenario de alto riesgo para usuarios y empresas por igual.
Los datos de usuarios en plataformas expuestos pertenecen a servicios digitales de alcance global. Entre ellos destacan redes sociales como Facebook, Instagram, TikTok y X; plataformas de streaming como Netflix, HBO Max y Disney Plus; así como servicios de videojuegos, aplicaciones financieras, criptomonedas y banca digital. También se identificaron registros asociados a ecosistemas tecnológicos como Google y Apple.
Las cifras dimensionan la magnitud del incidente. Según las estimaciones de la firma de ciberseguridad, la base de datos incluía credenciales de 48 millones de cuentas de Gmail, 900 mil de iCloud, 1.5 millones de Outlook, 17 millones de Facebook y 6.5 millones de Instagram. A esto se suman 3.4 millones de Netflix, 780 mil de TikTok, 100 mil de OnlyFans y más de 420 mil de Binance, entre otros servicios.
Este tipo de exposiciones masivas pone en evidencia cómo los datos de usuarios en plataformas se han convertido en uno de los activos más vulnerables de la economía digital. Más allá del número de cuentas afectadas, el riesgo reside en el uso posterior de estas credenciales para fraudes, robo de identidad, ataques de phishing y accesos no autorizados a otros servicios vinculados.
Eliminación de la base de datos y una responsabilidad que sigue sin resolverse
Tras identificar el problema, ExpressVPN informó que contactó al proveedor del servicio de alojamiento en la nube donde se encontraba la base de datos. De acuerdo con la compañía, el repositorio ya fue eliminado y no se tiene evidencia de afectaciones directas a los usuarios, aunque se desconoce durante cuánto tiempo permanecieron expuestos los datos ni quién fue el responsable de su recopilación.
El origen de la información sigue sin esclarecerse. No se sabe si los datos de usuarios en plataformas provienen de actividades delictivas, filtraciones previas o de una recopilación aparentemente legítima que terminó siendo gestionada de forma negligente. Esta falta de claridad agrava el problema desde una perspectiva de gobernanza y rendición de cuentas.
Aunque la base de datos ya no está disponible, el daño potencial permanece. ExpressVPN recomendó a los usuarios cambiar sus contraseñas, utilizar gestores de contraseñas, revisar los permisos otorgados a aplicaciones y mantener actualizados sus sistemas operativos. Estas acciones, sin embargo, trasladan parte de la carga de la seguridad al usuario final.
Sin embargo, resulta inevitable cuestionar la actuación del proveedor que permitió alojar información altamente sensible sin ninguna protección. Almacenar datos privados en la nube sin cifrado ni controles básicos no es un simple error técnico, sino una falla grave en la gestión de riesgos y en la responsabilidad hacia millones de personas.
Plataformas digitales, proveedores y el riesgo ESG de la ciberseguridad
Este incidente también abre un debate necesario sobre la responsabilidad de las plataformas involucradas. Si bien no fueron ellas quienes alojaron directamente la base de datos, la seguridad de los datos de usuarios en plataformas depende en gran medida de la robustez de sus cadenas de suministro digitales y de la diligencia con la que seleccionan y supervisan a terceros.
Para empresas como Google, Meta, Apple o Netflix, la ciberseguridad ya no es solo un tema técnico, sino un componente central de su desempeño ESG. La confianza del usuario, la protección de la privacidad y la gestión responsable de proveedores forman parte del pilar social y de gobernanza de la sostenibilidad corporativa.
En un contexto donde los datos son el motor del negocio digital, la exposición masiva de credenciales se posiciona como uno de los riesgos más latentes de la actualidad. No atenderlo con la seriedad que requiere puede traducirse en pérdida de reputación, sanciones regulatorias y un deterioro profundo de la relación con los usuarios.
La filtración de estos datos de usuarios en plataformas es un recordatorio contundente de que la responsabilidad social empresarial también se juega en el terreno digital. Proteger la información personal ya no es opcional: es una obligación ética, legal y estratégica en una economía cada vez más dependiente de la confianza tecnológica.
