Gran filtración de DarkForums: 196 sitios italianos expuestos con credenciales FTP no autorizadas

Luca Stivali : 22 septiembre 2025 08:20

El 20 de septiembre de 2025, a las 23:52, apareció en DarkForums un hilo titulado «NUEVA FUGA DE FTP» , publicado por el usuario Hackfut . El material supuestamente exponía el acceso a servidores FTP distribuidos en varios países, como Italia , Países Bajos, Filipinas, Perú, Chile, Australia y Letonia. Los objetivos incluían empresas, escuelas, establecimientos de hostelería, sedes de eventos, sitios de comercio electrónico y medios de comunicación .

El contenido del volcado consiste en nombres de host/dominios FTP, nombres de usuario y contraseñas en texto plano . Lamentablemente, el problema crítico para nuestro país es la gran cantidad de dominios italianos presentes en la colección, que está disponible gratuitamente para los usuarios del foro clandestino.

El impacto para Italia

Un análisis de la muestra proporcionada por Hackfut muestra que, de un total de 250 registros, 196 corresponden a dominios italianos . Muchos de estos pertenecen a instituciones educativas, pymes y centros turísticos , lo que pone de manifiesto una vez más la vulnerabilidad de nuestro país ante ataques.

Las contraseñas parecen estar mayoritariamente actualizadas , no solo restos de antiguas vulnerabilidades. Algunas contraseñas contienen la cadena 2024, lo que nos permite comprender que esta colección podría estar actualizada o ligeramente desactualizada.

Esto implica que los inicios de sesión publicados potencialmente siguen siendo válidos y pueden ser explotados inmediatamente por actores maliciosos.

Riesgos concretos

• Desfiguración de sitios web institucionales.
• Distribución de malware mediante la carga de archivos maliciosos.
• Exfiltración de datos almacenados en servidores FTP.
• Phishing y abuso de reputación , explotando dominios legítimos comprometidos.

La publicación no incluye la lista completa: para obtenerla, el actor invita a los usuarios a contactarlo en privado por Telegram, una práctica común en redes clandestinas para la distribución controlada de datos. Es probable que Hackfut tenga un conjunto de datos mucho mayor, que podría contener miles de credenciales vinculadas a objetivos italianos.

Conclusión

El volcado publicado por Hackfut no solo representa un conjunto de credenciales expuestas, sino también una prueba más de la persistente exposición de los activos italianos a prácticas de seguridad obsoletas. La disponibilidad de acceso FTP activo en escuelas, empresas y entornos turísticos puede tener consecuencias concretas, desde el abuso de reputación hasta la infraestructura de phishing.

Esta nueva filtración confirma que los datos de acceso FTP siguen siendo un bien codiciado en los círculos cibercriminales , ya que permiten el control directo e inmediato de la infraestructura de un sitio. Se insta a las empresas implicadas a actuar con prontitud restableciendo sus credenciales , adoptando la autenticación de dos factores (2FA) siempre que sea posible y revisando a fondo sus medidas de seguridad para mitigar los riesgos derivados de esta vulnerabilidad.

Cualquier persona que desee verificar si su dominio está en la lista puede contactar con el equipo editorial , quien le proporcionará la información de forma controlada y confidencial. La interrupción resultante de un ataque de este tipo no solo dañaría la reputación de las empresas involucradas, sino que también podría tener importantes repercusiones económicas , especialmente para los portales que gestionan transacciones en línea.

Luca Stivali
Entusiasta de la ciberseguridad y empresario en el sector de las TI desde hace 25 años, experto en diseño de redes y gestión de sistemas informáticos complejos. Pasión por un enfoque proactivo de la ciberseguridad: entender cómo y de qué protegerse es crucial.

Lista degli articoli