En las siguientes líneas vamos a contarte cómo los ciberdelincuentes recurren cada más al uso de credenciales robadas para acceder a los sistemas corporativos reduciendo el uso de las vulnerabilidades técnicas, la razón, se pueden mover sin levantar sospechas.
Dicho en otras palabras, en lugar de “derribar puertas”, los atacantes prefieren entrar con llaves legítimas, como contraseñas, tokens de autenticación y cookies de sesión, que les permiten moverse de manera inadvertida.
“Las credenciales son la llave maestra para infiltrarse en las organizaciones. Los ciberdelincuentes han visto que es el camino más sencillo y silencioso, y por eso las aprovechan con una insistencia sin precedentes”, advierte Josep Albors, director de investigación y concienciación de ESET España. “Protegerlas y reforzar los accesos es hoy una prioridad estratégica. Las empresas que quieran blindarse deben asumir que sus contraseñas ya están en riesgo y diseñar defensas con ese escenario en mente”.
Las credenciales, en el punto de mira
El robo de credenciales estuvo detrás de un tercio de las brechas de datos registradas en 2023, según Verizon. Solo un año después, en 2024, la cifra de contraseñas sustraídas superó los 3.200 millones a nivel global, un 33% más que el año anterior.
Y es que los últimos años han dejado ejemplos contundentes de cómo un simple conjunto de credenciales puede desencadenar crisis masivas:
- Change Healthcare (2024): el grupo ALPHV/BlackCat utilizó credenciales robadas para acceder a un servidor sin MFA, moverse lateralmente y desplegar ransomware. El ataque paralizó el sistema sanitario de EE. UU. y expuso los datos de millones de pacientes.
- Snowflake (2024): el actor UNC5537 comprometió instancias de bases de datos de clientes mediante credenciales robadas por malware infostealer. El incidente derivó en una campaña de robo y extorsión que afectó a cientos de millones de usuarios finales.
El atractivo es claro. Una vez dentro, los atacantes pueden realizar reconocimientos de la red corporativa, movimientos laterales, escalar privilegios para acceder a sistemas críticos o establecer conexiones ocultas con servidores de mando y control (C2) y así poder exfiltrar datos y desplegar malware. Este acceso inicial es también la antesala de ataques más graves, como campañas de ransomware de gran escala.
Cómo roban contraseñas y sortean el MFA
os atacantes recurren a distintas tácticas para robar credenciales corporativas, entre ellas:
- Phishing y vishing: correos electrónicos o llamadas telefónicas que simulan provenir de fuentes de confianza, como el departamento de TI, proveedores tecnológicos, entidades financieras o incluso directivos de la propia empresa, con el fin de engañar a los empleados.
- Infostealers: malware especializado que roba credenciales y cookies de sesión desde dispositivos comprometidos. En 2024, fueron responsables del 75% de las credenciales expuestas.
- Fuerza bruta y bots automatizados: mediante bots los atacantes prueban credenciales filtradas en otros servicios (credential stuffing) o intentan contraseñas comunes contra muchas cuentas (password spraying) para encontrar accesos válidos.
- Brechas en terceros: robo de datos en proveedores, MSPs o SaaS que almacenan credenciales sin cifrar de forma adecuada de sus clientes, o compra de bases de datos filtradas en foros clandestinos.
- Evasión de MFA: desde SIM swapping (transferencia fraudulenta del número a otra SIM) y MFA bombing (push-fatigue) hasta ataques Adversary-in-the-Middle que interceptan o transfieren códigos/tokens de sesión para tomar control de la autenticación.
ESET recomienda un enfoque Zero Trust
Para reducir estos riesgos, desde ESET proponemos una estrategia basada en el modelo Zero Trust, que se rige por el principio de “nunca confiar, siempre verificar”. Entre las medidas prioritarias destacan:
- Autenticación basada en riesgos: evaluar cada inicio de sesión según factores como hora, ubicación, dispositivo y comportamiento.
- MFA robusta y bien configurada como línea de defensa esencial.
- Segmentación de red y privilegios mínimos, limitando el impacto de una cuenta comprometida.
- Monitorización continua para detectar comportamientos anómalos.
- Programas de concienciación y simulaciones de ataque que entrenen a los empleados frente a técnicas de ingeniería social actuales.
- Restricciones de acceso a webs peligrosas y despliegue de seguridad avanzada en endpoints, servidores y dispositivos móviles.
- Dark web monitoring para rastrear credenciales corporativas a la venta en foros clandestinos.
- Servicios MDR (Managed Detection and Response), que ofrecen vigilancia 24/7, threat hunting especializado y respuesta rápida en caso de incidentes.