¿Los ciberdelincuentes hackean sistemas o simplemente inician sesión?

¿Por qué derribar una puerta y activar la alarma de la casa cuando tienes una llave y un código para entrar silenciosamente? Este es el razonamiento que subyace a una tendencia en ciberseguridad en la que los adversarios buscan cada vez más robar contraseñas, e incluso tokens de autenticación y cookies de sesión para saltarse los códigos MFA y poder acceder a las redes haciéndose pasar por usuarios legítimos.

Según Verizon, el «uso de credenciales robadas» ha sido uno de los métodos más populares para obtener acceso inicial en los últimos años. El uso de credenciales robadas apareció en un tercio (32%) de las violaciones de datos del año pasado, señala su informe. Por su parte, Mandiant de Google indicó en su M-Trends Report 2025 que las contraseñas robadas superan al phishing como vector de acceso a sistemas, detrás de la explotación de vulnerabilidades, que ocupa el primer lugar.

Sin embargo, aunque existen varias formas de hacerse con las credenciales, también hay muchas oportunidades para impedirlo.

Por qué las credenciales son la zona cero de los ciberataques

Según una estimación, más de 3.200 millones de credenciales fueron robadas de empresas globales en 2024, un aumento anual del 33%. Con el acceso que estas proporcionan a las cuentas corporativas, los actores de amenazas pueden deslizarse eficazmente en las sombras mientras planean su próximo movimiento. Esto podría implicar algunas formas más avanzadas de explotación criminal, por ejemplo:

• Llevar a cabo un reconocimiento de la red: buscar datos, activos y permisos de usuario a los que dirigirse a continuación
• Escalar privilegios, por ejemplo, mediante la explotación de vulnerabilidades, con el fin de moverse lateralmente para llegar a esos almacenes/sistemas de datos de alto valor
• Establecer comunicaciones encubiertas con un servidor de mando y control (C2) para descargar malware adicional y filtrar datos.

Siguiendo estos pasos, un adversario también podría llevar a cabo con éxito campañas de ransomware y de otro tipo.

Cómo se hacen con las contraseñas

Los cibercriminales han desarrollado varias formas de comprometer las credenciales corporativas de sus empleados o, en algunos casos, incluso sus códigos MFA. Entre ellas se incluyen

• Phishing: correos electrónicos o mensajes de texto falsos que parecen enviados por una fuente oficial (por ejemplo, el departamento de TI o un proveedor de tecnología). Se anima al destinatario a hacer clic en un enlace malicioso que lo lleva a una página de inicio de sesión falsa (por ejemplo, Microsoft).
• Vishing: Una variación del phishing, pero esta vez la víctima recibe una llamada telefónica del autor de la amenaza. Puede hacerse pasar por el servicio de asistencia de TI y pedir a la víctima que entregue una contraseña o que inscriba un nuevo dispositivo MFA como parte de una historia ficticia. O podrían llamar al servicio de asistencia diciendo ser un ejecutivo o empleado que necesita un restablecimiento urgente de la contraseña para realizar su trabajo.
• Infostealers: Malware diseñado para obtener credenciales y cookies de sesión del ordenador/dispositivo de la víctima. Puede llegar a través de un enlace/adjunto de phishing malicioso, un sitio web comprometido, una aplicación móvil trampa, una estafa en las redes sociales o incluso un mod de juegos no oficial. Se cree que los fueron responsables del 75% de las credenciales comprometidas el año pasado.
• Ataques de fuerza bruta: Entre ellos se incluye el «credential stuffing», en el que los adversarios prueban combinaciones de nombre de usuario y contraseña previamente violadas contra sitios y aplicaciones corporativas. La proliferación de contraseñas, por su parte, aprovecha contraseñas de uso común en diferentes sitios. Los bots automatizados les ayudan a hacerlo a gran escala, hasta que finalmente una funciona.
• Infracciones de terceros: Los agresores atacan a un proveedor o socio que almacena credenciales para sus clientes, como un MSP o un proveedor de SaaS. O compran tropecientos «combos» de nombres de usuario ya vulnerados para utilizarlos en ataques posteriores.
• Evasión de la MFA: Las técnicas incluyen el intercambio de SIM, el bombardeo de avisos MFA que abruma al objetivo con notificaciones push con el fin de causar «fatiga de alerta» y obtener una aprobación push, y los ataques Adversary-in-the-Middle (AitM) en los que los atacantes se interponen entre un usuario y un servicio de autenticación legítimo para interceptar los tokens de sesión MFA.

Los últimos años han estado plagados de ejemplos reales de contraseñas comprometidas que han provocado graves incidentes de seguridad. Entre ellos se incluyen:

• Change Healthcare: En uno de los ciberataques más importantes de 2024, el grupo de ransomware ALPHV (BlackCat) paralizó Change Healthcare, un proveedor estadounidense de tecnología sanitaria. La banda aprovechó un conjunto de credenciales robadas para acceder remotamente a un servidor que no tenía activada la autenticación multifactor (MFA). A continuación, escalaron sus privilegios y se movieron lateralmente dentro de los sistemas y desplegaron ransomware, lo que en última instancia condujo a una interrupción sin precedentes del sistema de salud y al robo de datos sensibles de millones de estadounidenses.
• Copo de nieve: El agente de amenazas UNC5537, con motivaciones económicas, consiguió acceder a las instancias de la base de datos de clientes de Snowflake de varios clientes. Cientos de millones de clientes se vieron afectados por esta campaña de extorsión masiva de robo de datos. Se cree que el autor de la amenaza accedió a sus entornos a través de credenciales robadas previamente mediante malware de robo de información.

Mantén los ojos bien abiertos

Por todo ello, es más importante que nunca proteger las contraseñas de los empleados, hacer que los inicios de sesión sean más seguros y vigilar más de cerca el entorno informático para detectar los signos reveladores de una brecha.

Gran parte de esto puede lograrse siguiendo un enfoque de Zero-Trust (Confianza Cero) basado en el principio: nunca confíes, siempre verifica. Significa adoptar una autenticación basada en el riesgo en el «perímetro» y luego en varias etapas dentro de una red segmentada. Los usuarios y dispositivos deben evaluarse y puntuarse en función de su perfil de riesgo, que puede calcularse a partir de la hora y el lugar de inicio de sesión, el tipo de dispositivo y el comportamiento de la sesión. Para reforzar la protección de la organización frente a accesos no autorizados y garantizar el cumplimiento de la normativa, una sólida autenticación multifactor (MFA) es también una línea de defensa no negociable.

Además, este enfoque debe complementarse con programas actualizados de formación y concienciación para los empleados, que incluyan simulaciones reales con las últimas técnicas de ingeniería social. También son importantes las políticas y herramientas estrictas que impidan a los usuarios visitar sitios de riesgo (donde podrían acechar los infostealers), así como el software de seguridad en todos los servidores, terminales y otros dispositivos, y herramientas de supervisión continua para detectar comportamientos sospechosos. Esto último ayudará a detectar adversarios que puedan estar dentro de la red gracias por una credencial comprometida. De hecho, las organizaciones también necesitan tener una forma de reducir el daño que puede causar una cuenta comprometida, por ejemplo, siguiendo el principio del menor privilegio. Por último, la supervisión de la darkweb  puede ayudar a comprobar si alguna credencial de la empresa está a la venta en la clandestinidad de la ciberdelincuencia.

En términos más generales, recurrir a la ayuda de un tercero experto a través de un servicio de detección y respuesta gestionadas (MDR), especialmente si la empresa dispone de pocos recursos. Un proveedor de MDR de confianza aporta experiencia en la materia, con monitoreo continuo y detección proactiva de amenazas las 24 horas y acceso a analistas que comprenden los matices de las intrusiones basadas en credenciales y también pueden acelerar la respuesta a incidentes si se detectan cuentas comprometidas.