Los 340 millones de OnlyFans a la venta se armaron con filtraciones viejas

Alguien puso a la venta en un foro de filtraciones lo que describe como los datos personales de 340 millones de usuarios de OnlyFans, por menos de un Bitcoin. El anuncio ofrece correos, números de celular, nombres reales, los últimos cuatro dígitos de una tarjeta y el dato más delicado en una plataforma así: las cuentas de redes sociales ligadas a cada perfil.

En cualquier otro servicio sería una filtración más. En OnlyFans pega distinto. Todo el trato entre la plataforma y quien la usa depende de un muro que separa la identidad real de lo que cada quien hace detrás de un pago. Un archivo que conecta un nombre y un celular con un usuario de OnlyFans es justo la herramienta para tirar ese muro, y sea verdad o no, se lo ofrecen a quienes buscan eso.

El vendedor dice que cada registro trae identificador, usuario, nombre completo, fecha de alta, correo, teléfono, seguidores, «me gusta», cantidad de contenido, una marca de fan o creador y enlaces a otras redes. Pide 0,313 Bitcoin, cerca de setenta y seis mil dólares por todo. Así vendido, parece menos una base de datos y más un paquete para elegir víctimas. El campo de los perfiles ligados es el que más asusta: para un creador, juntar su usuario de OnlyFans con un Instagram verificado borra la separación que sostiene su trabajo.

OnlyFans respondió que no pasó nada. «Estos reportes son falsos», dijo un vocero al medio de seguridad que publicó el anuncio. La cifra ya genera dudas: 340 millones se acerca a toda la base de usuarios registrados, ese número redondo que casi nunca sobrevive a un robo real. Y el mejor argumento contra el hackeo lo dio el mismo vendedor: al ser contactado, admitió que los datos nunca salieron de OnlyFans. Los armó cruzando filtraciones viejas de otras plataformas, como Twitter, Instagram y Spotify, con información de perfiles que ya era pública. Es una recopilación, no una intrusión.

Esa diferencia lo es todo, y el mercado clandestino gana plata justo por confundirla. Un robo real saca datos que nadie tenía; una recopilación reordena datos que ya se filtraron y les pone una marca nueva que asusta. «OnlyFans» se vende en un foro como jamás se vendería «una lista hecha con registros de Twitter de hace cinco años». Los supuestos «hackeos» de miles de millones de cuentas de WhatsApp o Gmail que aparecen cada tanto funcionan igual y casi siempre resultan listas de contraseñas recicladas.

Nada de esto vuelve inofensivo el archivo. El arma es la correlación, no la novedad. Un nombre público en un lado y un correo filtrado en otro valen poco por separado; pegados a un usuario de OnlyFans se vuelven un mapa que va de la identidad diaria de una persona a su cuenta de contenido para adultos. De ahí salen los mensajes de sextorsión que citan datos reales para sonar creíbles, el phishing contra las cuentas de cobro de los creadores y el acoso y la suplantación que muchos ya viven, ahora con el trabajo de clasificación ya hecho.

Si alguna vez ligaste un Instagram o un X a tu perfil de OnlyFans, seas fan o creador y vivas donde vivas, lo seguro es asumir que esa conexión ya se puede encontrar y quizá ya esté empaquetada para vender. El consejo de los especialistas es simple: trata cualquier mensaje que parezca «saber» tu actividad en OnlyFans como presión y no como prueba, nunca pagues una extorsión y activa la verificación en dos pasos para que una contraseña filtrada no alcance para entrar. El anuncio sigue arriba y los investigadores revisan muestras para medir cuánto hay de real, reciclado o inventado, que es de lo único que depende el precio. Mientras un nombre famoso en un foro valga más que los datos detrás, la próxima «megafiltración» ya se está armando con los restos de las diez anteriores.