Empresa uruguaya creó una plataforma que muestra cómo se produjeron infecciones y accesos indebidos de miles de usuarios uruguayos: Nexa CyberSight
Imagen ilustrativa creada con inteligencia artificial (ChatGPT).
La computadora funcionaba con normalidad. No había ninguna alerta de seguridad ni ventanas emergentes que avisaran de una intrusión. Nada parecía fuera de lugar. Pero alguien, desde otro dispositivo, ya había ingresado. Lo hizo con una contraseña válida.
En ese instante, el atacante podía leer correos, acceder a archivos, modificar publicaciones, iniciar operaciones bancarias. Básicamente, tenía acceso a todos los datos de un usuario. Como si tuviera la llave de tu casa y se moviera de manera invisible.
Algo así pudo comprobar El Observador en una nueva plataforma creada por Nexa para advertir a personas, empresas y organizaciones sobre el volumen de información sensible que se esconde en la dark web.
En Uruguay, según Nexa, hay más de 500 mil credenciales que están filtradas en la dark web y que permiten accesos a herramientas de gestión del Estado, páginas web, cuentas bancarias y muchísimos servicios más de miles y miles de uruguayos.
“Muchos hackers ya no hackean, usan credenciales”, dijo Andrés Gómez, cofundador de Nexa, una empresa de ciberseguridad que creó esta plataforma que puede “hacer doble click” en cada uno de las credenciales afectadas y entender cómo se originó.
El paso a paso de la filtración de la contraseña
Durante la presentación de la plataforma, Andrés Gómez mostró un caso concreto: la infección de una computadora en Uruguay que terminó con la filtración de múltiples contraseñas. El proceso, según describió, no requirió vulnerabilidades sofisticadas ni ingeniería avanzada.
El punto de inicio fue la descarga de un software vinculado a videojuegos, que contenía un archivo malicioso. El malware se instaló sin ser detectado por el antivirus del sistema (Windows Defender).
Una vez dentro del equipo, el malware —identificado como Stealer Log— comenzó a recopilar información automáticamente. No necesitó interacción adicional del usuario.
El malware extrajo todas las contraseñas guardadas en el navegador del sistema (en este caso, Edge). Estos accesos incluían plataformas bancarias, correo electrónico, intranet corporativa, herramientas de marketing, redes sociales y servicios personales.
Además de las contraseñas, el software malicioso recopiló: cookies de sesión, que permiten acceder a servicios sin volver a autenticarse, capturas de pantalla del escritorio al momento de la infección y configuraciones del dispositivo. Todo eso fue demostrado a El Observador.
La plataforma de Nexa es capaz de reconstruir el evento completo. Desde la fecha exacta de la infección (febrero de 2025), el nombre del dispositivo, el usuario autenticado y cada acceso extraído con su correspondiente contraseña: había datos de acceso a un banco, a la plataforma de acceso del trabajo de la persona. El daño que podrían hacerle si alguien decide atacarla es impactante.
Toda la información fue empaquetada y luego subida a un foro de la dark web.
Los accesos considerados valiosos suelen ser vendidos primero en canales cerrados de la dark web, en grupos de Telegram privados o foros especializados.
En estos espacios, los atacantes comparten muestras —"samples"— para demostrar la validez de los datos. Allí se ofrece acceso a cuentas corporativas, instituciones del Estado o servicios bancarios.
También puede suceder que el atacante no vea valor económico inmediato y decida liberar la información como parte de una filtración masiva o por motivos ideológicos.
Semanas o meses después, esa información puede llegar a foros más accesibles como BreachForums, donde los datos se ofrecen sin pago o como parte de filtraciones masivas.
Cuando eso ocurre, las credenciales ya fueron utilizadas. Es el momento en que organizaciones o medios pueden detectar por primera vez que hubo una filtración.
“Cuando llegan a sitios públicos es porque ya pasaron por la dark web y fueron muy distribuidas”, afirmó.
En esta etapa, la información ya está disponible para actores con poca experiencia. No necesitan conocimientos avanzados ni herramientas de explotación.
Con el usuario y la contraseña, simplemente acceden a la cuenta, plataforma o sistema. Desde ahí pueden enviar correos falsos, adulterar contenidos, extraer archivos o iniciar nuevas infecciones.
Muchas de las contraseñas filtradas provienen de reutilización de claves. Es decir, el mismo password se utiliza para servicios personales (como redes sociales o plataformas profesionales) y para sistemas internos.
“Si un usuario se registra con su correo institucional en LinkedIn, y esa base es filtrada, el atacante probará esa clave en sistemas corporativos”, indicó Gómez.
Cuando esas credenciales coinciden, no es necesario hackear: basta con ingresar. Muchos de los accesos a instituciones públicas y privadas que se detectaron en Uruguay recientemente ocurrieron de esta manera.
La plataforma dispone de información genérica sobre cuáles dominios de Uruguay son los afectados.
Desde 2022 hasta 2025 fueron filtradas 158.841 credenciales únicas vinculadas a usuarios de empresas uruguayas que están filtradas en la dark web. Esto significa que son credenciales que un ciberdelincuente puede aprovechar para explotar de manera maliciosa.
Según pudo saber El Observador, 13.283 credenciales corresponden a sistemas de gobierno, clasificadas por dominios “.gub.uy”, fuentes de infección y análisis de origen en redes ilícitas. Es decir, que con esas credenciales se pueden acceder a sistemas del Estado uruguayo.
La plataforma detectó además 2.153 credenciales asociadas al Ejército, y otras 5.835 vinculadas específicamente a direcciones con dominio institucional “@gub.uy” (o sea que alguien con fines maliciosos puede acceder a sus correos electrónicos).
Uno de los puntos más sensibles es la red RedUY, una red privada utilizada exclusivamente por organismos estatales. La plataforma identificó dispositivos infectados con acceso a esa infraestructura.
“Si hay dispositivos infectados que acceden a RedUY, quiere decir que hay atacantes con información para acceder a una red que no es pública”, explicó Gómez a El Observador.
En cuanto a infecciones —es decir, dispositivos personales o institucionales comprometidos por malware que roba accesos— se identificaron 100.377 casos asociados a sistemas de gobierno de 2022 a 2025.
A esto se suman 162.253 infecciones relacionadas .edu.uy, y otras 2.153 del Ejército, según los registros extraídos por el sistema.
El primer riesgo es el acceso a información sensible y el uso del correo institucional. El atacante puede enviar mensajes como si fuera un funcionario, con el respaldo visual y técnico de una cuenta legítima del Estado.
Estos correos pueden incluir enlaces maliciosos, archivos infectados o instrucciones falsas dirigidas a otras dependencias, ciudadanos o proveedores.
La víctima del engaño no tiene forma de distinguir que el mensaje no proviene realmente de la institución.
Muchas credenciales institucionales se utilizan no solo para el correo electrónico, sino también para ingresar a plataformas de gestión, bases de datos, servidores compartidos, sistemas de trámite electrónico o software de gestión pública.
La herramienta accede a foros cerrados, bases de datos filtradas, canales de Telegram y otros entornos no indexados donde se publican credenciales extraídas por actores delictivos.
Gómez fue claro al explicar que su equipo no paga para acceder a credenciales filtradas. Toda la información que utilizan proviene de muestras que los propios atacantes publican de forma gratuita, conocidas como samples.
El sistema analiza información real que ya circula en entornos criminales, clasificando accesos por nombre de dominio, organización, fuente, fecha de publicación y tipo de filtración.
Gómez explicó que una parte clave del trabajo consiste en conocer las fuentes. No todas están indexadas, ni todas permanecen activas por mucho tiempo.
“Una semana están en un canal, a la otra semana el FBI lo cierra y se abren dos más”, señaló.
La estrategia para mantenerse conectados a esas fuentes incluye una combinación de tecnología, automatismos, inteligencia artificial y trabajo humano. Todo el equipo opera bajo protocolos que priorizan el acceso legítimo a la información sin exposición directa.
