Como los malos actores a menudo simplemente atraviesan las puertas digitales de las empresas con una llave, aquí le mostramos cómo mantener su propia puerta bien cerrada
11 de septiembre de 2025
•
,
5 min. leer
¿Por qué derribar una puerta y activar la alarma de la casa cuando tienes una llave y un código para entrar en silencio? Esta es la razón detrás de una tendencia en ciberseguridad en la que los adversarios buscan cada vez más robar contraseñas, e incluso tokens de autenticación y cookies de sesión para eludir los códigos MFA y poder acceder a las redes haciéndose pasar por usuarios legítimos.
De acuerdo a Verizonel “uso de credenciales robadas” ha sido uno de los métodos más populares para obtener acceso inicial en los últimos años. El uso de credenciales robadas apareció en un tercio (32%) de las violaciones de datos del año pasado, señala su informe. Sin embargo, si bien hay varias formas en que los actores de amenazas pueden obtener credenciales, también hay muchas oportunidades para detenerlas.
Por qué las credenciales son la zona cero de los ciberataques
De acuerdo a una estimaciónse robaron más de 3.200 millones de credenciales de empresas globales en 2024, un aumento anual del 33%. Con el acceso que estos brindan a las cuentas corporativas, los actores de amenazas pueden efectivamente deslizarse hacia las sombras mientras planean su próximo movimiento. Esto podría implicar algunas formas más avanzadas de explotación criminal, por ejemplo:
- Realización de reconocimiento de red: búsqueda de datos, activos y permisos de usuario para el siguiente paso
- Escalar privilegios, por ejemplo, a través de la explotación de vulnerabilidades, con el fin de moverse lateralmente para llegar a esos almacenes/sistemas de datos de alto valor.
- Establecer comunicaciones encubiertas con un servidor de comando y control (C2) para descargar malware adicional y extraer datos.
Si sigue estos pasos, un adversario también podría llevar a cabo ransomware y otras campañas de gran éxito.
Cómo consiguen las contraseñas
Los actores de amenazas han desarrollado varias formas de comprometer las credenciales corporativas de sus empleados o, en algunos casos, incluso sus códigos MFA. Incluyen:
- Phishing: Correos electrónicos o mensajes de texto falsificados para que parezcan enviados desde una fuente oficial (es decir, el departamento de TI o un proveedor de tecnología). Se alentará al destinatario a hacer clic en un enlace malicioso que lo llevará a una página de inicio de sesión falsa (es decir, Microsoft).
- Vishing: Una variación del tema del phishing, pero esta vez la víctima recibe una llamada telefónica del actor de la amenaza. Pueden hacerse pasar por el servicio de asistencia técnica de TI y solicitar a la víctima que les proporcione una contraseña o que registre un nuevo dispositivo MFA como parte de una historia ficticia. O podrían llamar al servicio de asistencia técnica afirmando ser un ejecutivo o empleado que necesita un restablecimiento urgente de contraseña para realizar su trabajo.
- Ladrones de información: Malware diseñado para recopilar credenciales y cookies de sesión de la computadora/dispositivo de la víctima. Podría llegar a través de un enlace o archivo adjunto de phishing malicioso, un sitio web comprometido, una aplicación móvil con trampa explosiva, una estafa en las redes sociales o incluso un mod de juego no oficial. Los ladrones de información son se cree que fue el responsable para el 75% de las credenciales comprometidas el año pasado.
- Ataques de fuerza bruta: Estos incluyen el relleno de credenciales, donde los adversarios intentan combinaciones de nombre de usuario y contraseña previamente violadas contra sitios y aplicaciones corporativos. Mientras tanto, la pulverización de contraseñas aprovecha las contraseñas más utilizadas en diferentes sitios. Los robots automatizados les ayudan a hacerlo a escala, hasta que finalmente uno funciona.
- Infracciones de terceros: Los adversarios comprometen a un proveedor o socio que almacena credenciales para sus clientes, como un MSP o un proveedor de SaaS. O compran tesoros de “combinaciones” de inicio de sesión ya violadas para utilizarlas en ataques posteriores.
- Omisión MFA: Las técnicas incluyen el intercambio de SIM, el bombardeo rápido de MFA que abruma al objetivo con notificaciones push para causar «fatiga de alerta» y obtener una aprobación push, y ataques Adversary-in-the-Middle (AitM) donde los atacantes se insertan entre un usuario y un servicio de autenticación legítimo para interceptar tokens de sesión de MFA.
Los últimos años han estado inundados de ejemplos del mundo real de vulneración de contraseñas que han provocado importantes incidentes de seguridad. Incluyen:
- Cambiar la atención médica: En uno de los ciberataques más importantes de 2024, el grupo de ransomware ALPHV (BlackCat) lisiado cambio atención sanitariaun importante proveedor de tecnología sanitaria de EE. UU. La pandilla aprovechó un conjunto de credenciales robadas para acceder de forma remota a un servidor que no tenía activada la autenticación multifactor (MFA). Luego aumentaron sus privilegios y se movieron lateralmente dentro de los sistemas y desplegaron ransomware, lo que finalmente provocó una interrupción sin precedentes del sistema de salud y el robo de datos confidenciales de millones de estadounidenses.
- Copo de nieve: Actor de amenazas con motivación financiera UNC5537 obtuvo acceso a las instancias de la base de datos de clientes de Snowflake de varios clientes. Cientos de millones de clientes intermedios se vieron afectados por esta campaña masiva de extorsión por robo de datos. Se cree que el actor de amenazas accedió a sus entornos a través de credenciales previamente robadas mediante malware de robo de información.
Mantén los ojos bien abiertos
Todo lo cual hace que sea más importante que nunca proteger las contraseñas de sus empleados, hacer que los inicios de sesión sean más seguros y monitorear más de cerca el entorno de TI para detectar signos reveladores de una infracción.
Gran parte de esto se puede lograr siguiendo un enfoque de Confianza Cero basado en el principio: nunca confiar, siempre verificar. Significa adoptar una autenticación basada en riesgos en el “perímetro” y luego en varias etapas dentro de una red segmentada. Los usuarios y dispositivos deben evaluarse y calificarse en función de su perfil de riesgo, que puede calcularse a partir del momento y la ubicación del inicio de sesión, el tipo de dispositivo y el comportamiento de la sesión. Para reforzar la protección de su organización contra el acceso no autorizado y garantizar el cumplimiento de las regulaciones, sólido como una roca autenticación multifactor (MFA) También es una línea de defensa no negociable.
Debe complementar este enfoque con programas actualizados de capacitación y concientización para los empleados, incluidas simulaciones del mundo real utilizando las últimas técnicas de ingeniería social. También son importantes las políticas y herramientas estrictas que impidan a los usuarios visitar sitios riesgosos (donde podrían acechar los ladrones de información), al igual que el software de seguridad en todos los servidores, terminales y otros dispositivos, y las herramientas de monitoreo continuo para detectar comportamientos sospechosos. Este último le ayudará a detectar adversarios que puedan estar dentro de su red gracias a una credencial comprometida. De hecho, las organizaciones también necesitan tener una forma de reducir el daño que puede causar una cuenta comprometida, por ejemplo, siguiendo el principio de privilegio mínimo. Finalmente, el monitoreo de la web oscura puede ayudarlo a verificar si hay alguna credencial empresarial a la venta en el mundo del cibercrimen.
En términos más generales, considere contratar la ayuda de un tercero experto a través de un servicio administrado de detección y respuesta (MDR). especialmente si su empresa tiene pocos recursos. Además de un menor costo total de propiedad, un proveedor de MDR acreditado brinda experiencia en la materia, monitoreo y búsqueda de amenazas las 24 horas del día, y acceso a analistas que comprenden los matices de las intrusiones basadas en credenciales y también pueden acelerar la respuesta a incidentes si se detectan cuentas comprometidas.
Acerca del autor
