Los ciberdelincuentes usan las credenciales para infiltrarse en las organizaciones
- Endpoint
Los atacantes acceden como usuarios legítimos gracias a contraseñas, cookies de sesión o tokens robados, obtenidos mediante phishing, malware diseñado para robar credenciales, compras en la dark web o brechas de terceros. Hubo más de 3.200 millones de contraseñas sustraídas solo en 2024.
ESET alerta sobre un fenómeno en rápido crecimiento, donde los ciberdelincuentes cada vez recurren menos a vulnerabilidades técnicas y más al uso de credenciales robadas, como contraseñas, tokens de autenticación y cookies de sesión, para acceder a los sistemas corporativos sin levantar sospechas.
“Las credenciales son la llave maestra para infiltrarse en las organizaciones. Los ciberdelincuentes han visto que es el camino más sencillo y silencioso, y por eso las aprovechan con una insistencia sin precedentes”, advierte Josep Albors, director de investigación y concienciación de ESET España. “Protegerlas y reforzar los accesos es hoy una prioridad estratégica. Las empresas que quieran blindarse deben asumir que sus contraseñas ya están en riesgo y diseñar defensas con ese escenario en mente”.
Las credenciales, en el punto de mira
El robo de credenciales estuvo detrás de un tercio de las brechas de datos registradas en 2023, según Verizon. En 2024, la cifra de contraseñas sustraídas superó los 3.200 millones a nivel global, un 33% más que el año anterior. Los atacantes recurren a distintas tácticas para robar credenciales corporativas, entre ellas:
- Phishing y vishing: correos electrónicos o llamadas telefónicas que simulan provenir de fuentes de confianza, como el departamento de TI, proveedores tecnológicos, entidades financieras o incluso directivos de la propia empresa, con el fin de engañar a los empleados.
- Infostealers: malware especializado que roba credenciales y cookies de sesión desde dispositivos comprometidos. En 2024, fueron responsables del 75% de las credenciales expuestas.
- Fuerza bruta y bots automatizados: mediante bots los atacantes prueban credenciales filtradas en otros servicios (credential stuffing) o intentan contraseñas comunes contra muchas cuentas (password spraying) para encontrar accesos válidos.
- Brechas en terceros: robo de datos en proveedores, MSPs o SaaS que almacenan credenciales sin cifrar de forma adecuada de sus clientes, o compra de bases de datos filtradas en foros clandestinos.
- Evasión de autenticación multifactor (MFA): desde SIM swapping (transferencia fraudulenta del número a otra SIM) y MFA bombing (push-fatigue) hasta ataques Adversary-in-the-Middle que interceptan o transfieren códigos/tokens de sesión para tomar control de la autenticación.
Una vez dentro, los atacantes pueden realizar reconocimientos de la red corporativa, movimientos laterales, escalar privilegios para acceder a sistemas críticos o establecer conexiones ocultas con servidores de mando y control (C2) y así poder exfiltrar datos y desplegar malware. Este acceso inicial es también la antesala de ataques más graves, como campañas de ransomware de gran escala. Para reducir estos riesgos, ESET propone una estrategia basada en el modelo Zero Trust, que se rige por el principio de “nunca confiar, siempre verificar”.
