Dossier PexRat: Cómo 1,5 Millones de Usuarios de Binance Terminaron a la Venta en la Deep Web Sin Que los Servidores Fuesen Invadidos

El Descubrimiento: VECERT Detecta la Mayor Filtración Cripto del Año

El 28 de marzo de 2026, VECERT Analyzer — plataforma de inteligencia de ciberamenazas especializada en rastrear actores criminales en la dark web, deep web y foros ilegales — publicó una alerta que sacudió el sector: un threat actor operando bajo el alias PexRat había puesto a la venta en un foro cerrado una base de datos que contiene información de aproximadamente 1,5 millones de usuarios de Binance, el mayor exchange de criptomonedas del mundo.

El caso merece atención no solo por el tamaño, sino por la sofisticación del método. Lo que PexRat vendía no era una base de datos clásica exfiltrada vía servidor comprometido — era algo más peligroso y más difícil de detectar: el resultado de una operación de credential stuffing combinada con scraping de API que operó durante meses, aprovechando fallas en el diseño de protección de endpoints de login.

Qué Fue Expuesto

Conforme al análisis técnico de VECERT, la base ofrecida contiene:

Datos Registrales

• Nombres completos
• Direcciones de correo electrónico de registro
• Números de teléfono registrados
• Estado de verificación KYC (básica, intermedia, avanzada)

Datos Técnicos y de Sesión

• Último IP de login de cada cuenta
• User agents de dispositivo (navegador, sistema operativo)
• Estado y tipo de 2FA (SMS, correo electrónico o aplicación autenticadora)

Esta combinación es especialmente peligrosa. No es solo una lista de correos electrónicos — es un perfil operacional completo por usuario. Un atacante con esta base sabe exactamente cómo atacar a cada víctima: si tiene 2FA débil (SMS → SIM swap), si usa dispositivos específicos (targeting de malware específico del dispositivo), si está concentrado geográficamente en jurisdicciones vulnerables.

El Método: No Fue Breach, Fue Abuso

VECERT fue categórica en el análisis: los servidores internos de Binance NO fueron invadidos. Lo que sucedió fue más vergonzoso — desde el punto de vista de seguridad, más difícil de aceptar:

"La evidencia sugiere que el atacante logró eludir o abusar de mecanismos de seguridad (como el Captcha) en la interfaz de login o en alguna API de la plataforma, permitiendo un flujo constante de solicitudes sin bloqueo." — VECERT Analyzer

Credential Stuffing: La Mecánica

Credential stuffing es un ataque donde el criminal:

1. Obtiene listas gigantes de combinaciones correo electrónico+contraseña de otras filtraciones (LinkedIn 2021, Yahoo, Adobe, miles de sitios menores)
2. Usa herramientas automatizadas para probar esas combinaciones en otra plataforma (en el caso, Binance)
3. Cuando una combinación funciona, significa que el usuario reciclaba la contraseña — y ahora esa cuenta está comprometida
4. Extrae datos del perfil que la API devuelve durante login exitoso

El Bypass del Captcha

Aquí está el detalle crítico. La protección estándar contra credential stuffing es el captcha o rate limiting. PexRat encontró formas de:

• Eludir el captcha usando solvers automatizados (servicios como 2Captcha, AntiCaptcha)
• Explotar endpoints de API menos protegidos que el flujo principal de login
• Rotar pools de proxies para evitar bloqueo por IP
• Modular timing y fingerprint para parecer tráfico orgánico

La combinación de técnicas permitió un flujo constante de solicitudes no bloqueadas — efectivamente transformando la API pública de Binance en una fuente de datos controlada.

Quién Es PexRat

El alias PexRat aparece en foros de ventas criminales desde aproximadamente 2024. Análisis cruzados de VECERT, TRM Labs y otras firmas sugieren:

• Operación probablemente basada en Europa del Este o Rusia, con algunos indicadores de actividad en horarios de zona horaria brasileña
• Historial de ventas de bases de datos de fintechs, exchanges menores y plataformas de apuestas
• Fuerte actuación en BreachForums y LeakBase, con reputación establecida entre compradores
• Precios variables según escala — para la base Binance, reportes indican valores en el rango de US$ 10.000 a US$ 50.000 por la base completa, con acceso parcial ofrecido por valores menores

El modus operandi sugiere operación profesional, no oportunista. No es un adolescente en un sótano — es un operador comercial que trata datos como commodity, vendiendo en múltiples canales y extrayendo valor durante años.

El Historial Que No Puede Ser Ignorado

El leak de PexRat no es un evento aislado. En enero de 2026, el investigador de seguridad Jeremiah Fowler había publicado un reporte sobre aproximadamente 420.000 credenciales vinculadas a Binance expuestas a través de malware infostealer — virus que se ejecutan en el computador de la víctima y extraen contraseñas guardadas en navegadores y billeteras.

Combinando los dos episodios, tenemos un panorama más grande:

• Decenas de miles de usuarios Binance comprometidos vía malware en el endpoint
• Millones de usuarios expuestos vía enumeración de API y credential stuffing
• La superficie de ataque real es dinámica y persistente, no un incidente puntual

Lo Que Binance Dijo (Y Lo Que No Dijo)

La respuesta oficial del exchange siguió el patrón típico de grandes plataformas:

• Reconocimiento de la existencia de actividad sospechosa en endpoints de autenticación
• Afirmación de que sistemas core no fueron comprometidos — punto técnico correcto, pero engañoso en percepción
• Implementación de nuevas capas de protección (captcha invisible adicional, detección de patrones de bot, bloqueo de pools de proxy conocidos)
• Sin comunicación individualizada a los 1,5 millones de usuarios afectados
• Sin oferta de compensación, ya que formalmente no hubo "invasión"

La postura es jurídicamente sostenible pero moralmente frágil. La distinción entre "tus datos se filtraron porque invadimos nuestro servidor" y "tus datos se filtraron porque nuestra API no tenía protección suficiente" puede no tener sentido para un usuario que ahora recibe phishing dirigido a diario.

Cómo Saber Si Fuiste Afectado

No hay forma oficial de Binance para confirmar individualmente. Pero algunos indicadores:

1. Aumento abrupto de phishing dirigido (correos electrónicos y SMS citando tu nombre, últimos 4 dígitos de teléfono, o referencias a depósitos reales)
2. Intentos de login no reconocidos en el historial de tu cuenta (verifica en Security Settings > Account Activity)
3. SIM swap intentado en tu operadora — contacto del atacante pidiendo transferencia de número
4. Aparición de tu correo electrónico en HaveIBeenPwned (haveibeenpwned.com) vinculada a dump reciente

Guía de Protección Inmediata

Acciones Críticas (Hacer Hoy)

1. Cambiar la contraseña de Binance a una única, de 20+ caracteres, generada por password manager (1Password, Bitwarden)
2. Migrar 2FA de SMS a aplicación autenticadora (Google Authenticator, Authy) o ideal: clave física FIDO2 (YubiKey, Feitian)
3. Activar Anti-Phishing Code en las configuraciones de Binance — correos electrónicos legítimos ahora incluyen este código único
4. Configurar Whitelist de Retiros — solo permitir retiros a direcciones pre-aprobadas con timelock de 24h
5. Verificar API keys activas — revocar todo lo que no uses activamente

Higiene Continuada

• Usa correo electrónico dedicado para exchanges — nunca el correo electrónico personal que está en docenas de sitios
• PIN de protección del chip junto a la operadora, contra SIM swap
• Contraseñas únicas en cada servicio — nunca reutilices
• Password manager obligatorio — mantener "contraseñas fáciles de recordar" es permitir que PexRat y similares tengan éxito
• Considera self-custody para la mayor parte del patrimonio — deja en exchange solo lo necesario para trading activo

La Perspectiva de Industria

Para Exchanges

El caso Binance expone una falla estructural: los exchanges operan APIs de login como SaaS públicos, pero las protegen como blogs. Estándares que deberían ser baseline:

• Device fingerprinting + behavioral analytics en cada intento de login
• Rate limiting adaptativo por cuenta, IP, dispositivo, geolocalización
• Proof-of-work invisible (estilo hashcash) para elevar costo del atacante
• Monitoreo continuo de BreachForums, LeakBase, canales Telegram
• Asociación con threat intel (VECERT, Intel471, Recorded Future)

Para Reguladores

Las leyes de notificación de breach (GDPR en la UE, SEC Cybersecurity Rules en EE.UU., LGPD en Brasil) se aplican formalmente a invasiones. Pero no a credential stuffing en masa. Esta es una brecha que necesita cerrarse — los usuarios afectados son usuarios afectados, independientemente del vector técnico.

Conclusión: La Nueva Frontera de la Seguridad en Exchanges

La filtración PexRat enseña tres lecciones incómodas:

1. "No fuimos invadidos" es una declaración que está perdiendo valor. Si tus datos salieron, salieron — el vector técnico importa poco
2. Captcha y 2FA por SMS son defensas del pasado. En 2026, necesitamos arquitecturas más sofisticadas
3. Threat intelligence es infraestructura. Plataformas que ignoran VECERT, Intel471, Elliptic y similares operan con los días contados

Para el usuario común, la lección es aún más simple: tu higiene digital es la mitad de tu seguridad financiera en cripto. Contraseña única, 2FA fuerte, correo electrónico dedicado, whitelist de retiros, self-custody a largo plazo. Nada de esto es sexy, pero es lo que separa a quién duerme tranquilo de quién descubre, una mañana cualquiera, que su nombre está en un paquete vendido en BreachForums por US$ 50.000.

PexRat seguirá al próximo objetivo. Y si depende solo del captcha de ellos, lo logrará.

Fuente principal: análisis técnico publicado por VECERT Analyzer el 28 de marzo de 2026. Datos cruzados con cobertura de BeInCrypto, CoinDesk y otras fuentes.

Aviso: Este contenido es informativo y tiene finalidad educativa. No constituye recomendación de inversión. Sigue buenas prácticas de seguridad y, en caso de sospecha de compromiso, contacta inmediatamente al soporte de tu exchange.