340 millones de cuentas de OnlyFans a la venta, pero nadie hackeó OnlyFans

Un conjunto de datos presentado como los registros personales de 340 millones de usuarios de OnlyFans se ofrece a la venta en un conocido foro de filtraciones, a un precio que no llega a un solo Bitcoin. El anuncio promete correos, números de teléfono, nombres reales, los cuatro últimos dígitos de una tarjeta de pago y el dato que más pesa en una plataforma como esta: las cuentas de redes sociales asociadas a cada perfil.

En casi cualquier otro servicio sería un problema de privacidad corriente. En OnlyFans es algo más afilado. Toda la relación entre la plataforma y quienes la usan se sostiene sobre un muro que separa la identidad legal de una persona de lo que hace detrás de un muro de pago. Un archivo que une un nombre real y un teléfono a un usuario de OnlyFans es una herramienta pensada para derribar ese muro, y sea cierto o no, se ofrece a quienes buscan precisamente eso.

El vendedor describe un registro por cada cuenta: identificador, nombre de usuario, nombre completo, fecha de alta, correo, teléfono, número de seguidores y de «me gusta», cantidad de contenido publicado, una marca que indica si la cuenta es de fan o de creador y enlaces a perfiles en otras redes. Pide 0,313 Bitcoin, unos setenta y seis mil dólares por el lote completo. Vendido así, parece menos una hoja de cálculo y más un paquete de objetivos. El campo de los perfiles enlazados es el que convierte una base de datos en un arma: para un creador, unir su usuario de OnlyFans a un Instagram verificado o a un teléfono antiguo derriba la separación que sostiene su negocio.

OnlyFans sostiene que nada de esto ocurrió. «Estos informes son falsos», respondió un portavoz al medio de seguridad que difundió el anuncio. La propia cifra invita a la duda: 340 millones se acerca a toda la base de usuarios registrados, ese número redondo y total que rara vez sobrevive a una intrusión real. Y el argumento más fuerte en contra de un hackeo lo dio el propio vendedor, que al ser contactado reconoció que los datos nunca salieron de OnlyFans: los armó cruzando filtraciones antiguas de otras plataformas, entre ellas Twitter, Instagram y Spotify, con información de perfiles ya pública. Es una recopilación, no una intrusión.

Esa distinción es toda la historia, y el mercado clandestino vive de difuminarla. Una filtración real extrae datos que el público nunca tuvo; una recopilación reordena datos que ya se filtraron en otra parte y les pone una marca nueva y alarmante. «OnlyFans» se vende en un foro como nunca lo haría «una lista hecha con registros de Twitter de hace cinco años». Los supuestos «hackeos» multimillonarios de WhatsApp o Gmail que asoman cada cierto tiempo funcionan igual y casi siempre terminan siendo listas de credenciales recicladas.

Nada de esto vuelve inofensivo el archivo. El arma aquí es la correlación, no la novedad. Un nombre ya público en un sitio y un correo filtrado en otro valen poco por separado; unidos a un usuario de OnlyFans se convierten en un mapa que lleva de la identidad cotidiana de alguien a su cuenta de contenido para adultos. Ese mapa es la materia prima de los mensajes de sextorsión que citan datos reales para parecer creíbles, del phishing dirigido a las cuentas de cobro de los creadores y del acoso y la suplantación que muchos ya sufren sin que un atacante tenga la clasificación hecha de antemano.

Para cualquiera que haya vinculado alguna vez una cuenta de Instagram o de X a un perfil de OnlyFans, en cualquier mercado y sea fan o creador, conviene asumir que esa conexión ya es localizable y quizá esté empaquetada para la venta. El consejo de los especialistas es poco vistoso: tratar cualquier mensaje que parezca «saber» su actividad en OnlyFans como una táctica de presión y no como una prueba, no pagar nunca una extorsión y activar la verificación en dos pasos para que una contraseña filtrada no baste para abrir la cuenta. El anuncio sigue activo y los investigadores revisan muestras para medir cuánto hay de real, de reciclado o de inventado, que es la única pregunta de la que depende el precio. Mientras un nombre famoso en un foro valga más que los datos que lo respaldan, la próxima «megafiltración» ya se está armando con los restos de las diez anteriores.