{"id":251,"date":"2026-03-20T11:41:02","date_gmt":"2026-03-20T11:41:02","guid":{"rendered":"https:\/\/escudodigital.uy\/index.php\/2026\/03\/20\/los-ciberdelincuentes-estan-pirateando-sus-sistemas-o-simplemente-inician-sesion\/"},"modified":"2026-03-20T11:41:02","modified_gmt":"2026-03-20T11:41:02","slug":"los-ciberdelincuentes-estan-pirateando-sus-sistemas-o-simplemente-inician-sesion","status":"publish","type":"post","link":"https:\/\/escudodigital.uy\/index.php\/2026\/03\/20\/los-ciberdelincuentes-estan-pirateando-sus-sistemas-o-simplemente-inician-sesion\/","title":{"rendered":"\u00bfLos ciberdelincuentes est\u00e1n pirateando sus sistemas o simplemente inician sesi\u00f3n?"},"content":{"rendered":"<div>\n<p class=\"sub-title\">Como los malos actores a menudo simplemente atraviesan las puertas digitales de las empresas con una llave, aqu\u00ed le mostramos c\u00f3mo mantener su propia puerta bien cerrada<\/p>\n<div class=\"article-authors d-flex flex-wrap\">\n<div class=\"article-author d-flex\"><picture><source srcset=\"https:\/\/web-assets.esetstatic.com\/tn\/-x45\/wls\/2021\/04\/Phil_Muncaster.jpg\" media=\"(max-width: 768px)\"\/><img decoding=\"async\" class=\"author-image me-3\" src=\"https:\/\/web-assets.esetstatic.com\/tn\/-x45\/wls\/2021\/04\/Phil_Muncaster.jpg\" alt=\"Phil Muncaster\"\/><\/picture><\/div>\n<\/div>\n<p class=\"article-info mb-5\">\n        <span>11 de septiembre de 2025<\/span><br \/>\n        <span class=\"d-none d-lg-inline\"> \u2022 <\/span><br \/>\n        <span class=\"d-inline d-lg-none\">, <\/span><br \/>\n        <span>5 min. leer<\/span>\n    <\/p>\n<div class=\"hero-image-container\">\n        <picture><source srcset=\"https:\/\/web-assets.esetstatic.com\/tn\/-x266\/wls\/2025\/09-25\/credential-theft-businesses.jpeg\" media=\"(max-width: 768px)\"\/><source srcset=\"https:\/\/web-assets.esetstatic.com\/tn\/-x425\/wls\/2025\/09-25\/credential-theft-businesses.jpeg\" media=\"(max-width: 1120px)\"\/><img decoding=\"async\" class=\"hero-image\" src=\"https:\/\/web-assets.esetstatic.com\/tn\/-x700\/wls\/2025\/09-25\/credential-theft-businesses.jpeg\" alt=\"\u00bfLos ciberdelincuentes est\u00e1n pirateando sus sistemas o simplemente inician sesi\u00f3n?\"\/><\/picture>    <\/div>\n<\/div>\n<div>\n<p>\u00bfPor qu\u00e9 derribar una puerta y activar la alarma de la casa cuando tienes una llave y un c\u00f3digo para entrar en silencio? Esta es la raz\u00f3n detr\u00e1s de una tendencia en ciberseguridad en la que los adversarios buscan cada vez m\u00e1s robar contrase\u00f1as, e incluso tokens de autenticaci\u00f3n y cookies de sesi\u00f3n para eludir los c\u00f3digos MFA y poder acceder a las redes haci\u00e9ndose pasar por usuarios leg\u00edtimos.<\/p>\n<p>De acuerdo a <a href=\"https:\/\/www.verizon.com\/business\/resources\/T23a\/reports\/2025-dbir-data-breach-investigations-report.pdf\" target=\"_blank\" rel=\"noopener\">Verizon<\/a>el \u201cuso de credenciales robadas\u201d ha sido uno de los m\u00e9todos m\u00e1s populares para obtener acceso inicial en los \u00faltimos a\u00f1os. El uso de credenciales robadas apareci\u00f3 en un tercio (32%) de las violaciones de datos del a\u00f1o pasado, se\u00f1ala su informe. Sin embargo, si bien hay varias formas en que los actores de amenazas pueden obtener credenciales, tambi\u00e9n hay muchas oportunidades para detenerlas.<\/p>\n<h2>Por qu\u00e9 las credenciales son la zona cero de los ciberataques<\/h2>\n<p>De acuerdo a <a href=\"https:\/\/www.flashpoint.io\/blog\/flashpoint-global-threat-intelligence-report-gtir-2025\/\" target=\"_blank\" rel=\"noopener\">una estimaci\u00f3n<\/a>se robaron m\u00e1s de 3.200 millones de credenciales de empresas globales en 2024, un aumento anual del 33%. Con el acceso que estos brindan a las cuentas corporativas, los actores de amenazas pueden efectivamente deslizarse hacia las sombras mientras planean su pr\u00f3ximo movimiento. Esto podr\u00eda implicar algunas formas m\u00e1s avanzadas de explotaci\u00f3n criminal, por ejemplo:<\/p>\n<ul>\n<li>Realizaci\u00f3n de reconocimiento de red: b\u00fasqueda de datos, activos y permisos de usuario para el siguiente paso<\/li>\n<li>Escalar privilegios, por ejemplo, a trav\u00e9s de la explotaci\u00f3n de vulnerabilidades, con el fin de moverse lateralmente para llegar a esos almacenes\/sistemas de datos de alto valor.<\/li>\n<li>Establecer comunicaciones encubiertas con un servidor de comando y control (C2) para descargar malware adicional y extraer datos.  <\/li>\n<\/ul>\n<p>Si sigue estos pasos, un adversario tambi\u00e9n podr\u00eda llevar a cabo ransomware y otras campa\u00f1as de gran \u00e9xito.<\/p>\n<h3>C\u00f3mo consiguen las contrase\u00f1as<\/h3>\n<p>Los actores de amenazas han desarrollado varias formas de comprometer las credenciales corporativas de sus empleados o, en algunos casos, incluso sus c\u00f3digos MFA. Incluyen:<\/p>\n<ul>\n<li><strong>Phishing:<\/strong> Correos electr\u00f3nicos o mensajes de texto falsificados para que parezcan enviados desde una fuente oficial (es decir, el departamento de TI o un proveedor de tecnolog\u00eda). Se alentar\u00e1 al destinatario a hacer clic en un enlace malicioso que lo llevar\u00e1 a una p\u00e1gina de inicio de sesi\u00f3n falsa (es decir, Microsoft).<\/li>\n<li><strong>Vishing:<\/strong> Una variaci\u00f3n del tema del phishing, pero esta vez la v\u00edctima recibe una llamada telef\u00f3nica del actor de la amenaza. Pueden hacerse pasar por el servicio de asistencia t\u00e9cnica de TI y solicitar a la v\u00edctima que les proporcione una contrase\u00f1a o que registre un nuevo dispositivo MFA como parte de una historia ficticia. O podr\u00edan llamar al servicio de asistencia t\u00e9cnica afirmando ser un ejecutivo o empleado que necesita un restablecimiento urgente de contrase\u00f1a para realizar su trabajo.<\/li>\n<li><strong>Ladrones de informaci\u00f3n: <\/strong>Malware dise\u00f1ado para recopilar credenciales y cookies de sesi\u00f3n de la computadora\/dispositivo de la v\u00edctima. Podr\u00eda llegar a trav\u00e9s de un enlace o archivo adjunto de phishing malicioso, un sitio web comprometido, una aplicaci\u00f3n m\u00f3vil con trampa explosiva, una estafa en las redes sociales o incluso un mod de juego no oficial. Los ladrones de informaci\u00f3n son <a href=\"https:\/\/www.flashpoint.io\/blog\/flashpoint-global-threat-intelligence-report-gtir-2025\/\" target=\"_blank\" rel=\"noopener\">se cree que fue el responsable<\/a> para el 75% de las credenciales comprometidas el a\u00f1o pasado.<\/li>\n<li><strong>Ataques de fuerza bruta: <\/strong>Estos incluyen el relleno de credenciales, donde los adversarios intentan combinaciones de nombre de usuario y contrase\u00f1a previamente violadas contra sitios y aplicaciones corporativos. Mientras tanto, la pulverizaci\u00f3n de contrase\u00f1as aprovecha las contrase\u00f1as m\u00e1s utilizadas en diferentes sitios. Los robots automatizados les ayudan a hacerlo a escala, hasta que finalmente uno funciona.<\/li>\n<li><strong>Infracciones de terceros: <\/strong>Los adversarios comprometen a un proveedor o socio que almacena credenciales para sus clientes, como un MSP o un proveedor de SaaS. O compran tesoros de \u201ccombinaciones\u201d de inicio de sesi\u00f3n ya violadas para utilizarlas en ataques posteriores.<\/li>\n<li><strong>Omisi\u00f3n MFA:<\/strong> Las t\u00e9cnicas incluyen el intercambio de SIM, el bombardeo r\u00e1pido de MFA que abruma al objetivo con notificaciones push para causar \u00abfatiga de alerta\u00bb y obtener una aprobaci\u00f3n push, y ataques Adversary-in-the-Middle (AitM) donde los atacantes se insertan entre un usuario y un servicio de autenticaci\u00f3n leg\u00edtimo para interceptar tokens de sesi\u00f3n de MFA.<\/li>\n<\/ul>\n<p>Los \u00faltimos a\u00f1os han estado inundados de ejemplos del mundo real de vulneraci\u00f3n de contrase\u00f1as que han provocado importantes incidentes de seguridad. Incluyen:<\/p>\n<ul>\n<li><strong>Cambiar la atenci\u00f3n m\u00e9dica<\/strong>: En uno de los ciberataques m\u00e1s importantes de 2024, el grupo de ransomware ALPHV (BlackCat) <a href=\"https:\/\/www.hipaajournal.com\/change-healthcare-responding-to-cyberattack\/\">lisiado cambio atenci\u00f3n sanitaria<\/a>un importante proveedor de tecnolog\u00eda sanitaria de EE. UU. La pandilla aprovech\u00f3 un conjunto de credenciales robadas para acceder de forma remota a un servidor que no ten\u00eda activada la autenticaci\u00f3n multifactor (MFA). Luego aumentaron sus privilegios y se movieron lateralmente dentro de los sistemas y desplegaron ransomware, lo que finalmente provoc\u00f3 una interrupci\u00f3n sin precedentes del sistema de salud y el robo de datos confidenciales de millones de estadounidenses.<\/li>\n<li><strong>Copo de nieve: <\/strong>Actor de amenazas con motivaci\u00f3n financiera <a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/unc5537-snowflake-data-theft-extortion\">UNC5537 obtuvo acceso<\/a> a las instancias de la base de datos de clientes de Snowflake de varios clientes. Cientos de millones de clientes intermedios se vieron afectados por esta campa\u00f1a masiva de extorsi\u00f3n por robo de datos. Se cree que el actor de amenazas accedi\u00f3 a sus entornos a trav\u00e9s de credenciales previamente robadas mediante malware de robo de informaci\u00f3n. <\/li>\n<\/ul>\n<h2>Mant\u00e9n los ojos bien abiertos<\/h2>\n<p>Todo lo cual hace que sea m\u00e1s importante que nunca proteger las contrase\u00f1as de sus empleados, hacer que los inicios de sesi\u00f3n sean m\u00e1s seguros y monitorear m\u00e1s de cerca el entorno de TI para detectar signos reveladores de una infracci\u00f3n.<\/p>\n<p>Gran parte de esto se puede lograr siguiendo un enfoque de Confianza Cero basado en el principio: nunca confiar, siempre verificar. Significa adoptar una autenticaci\u00f3n basada en riesgos en el \u201cper\u00edmetro\u201d y luego en varias etapas dentro de una red segmentada. Los usuarios y dispositivos deben evaluarse y calificarse en funci\u00f3n de su perfil de riesgo, que puede calcularse a partir del momento y la ubicaci\u00f3n del inicio de sesi\u00f3n, el tipo de dispositivo y el comportamiento de la sesi\u00f3n. Para reforzar la protecci\u00f3n de su organizaci\u00f3n contra el acceso no autorizado y garantizar el cumplimiento de las regulaciones, s\u00f3lido como una roca <a href=\"https:\/\/www.eset.com\/us\/business\/solutions\/multi-factor-authentication\/\" target=\"_blank\" rel=\"noopener\">autenticaci\u00f3n multifactor (MFA)<\/a> Tambi\u00e9n es una l\u00ednea de defensa no negociable.<\/p>\n<p>Debe complementar este enfoque con programas actualizados de capacitaci\u00f3n y concientizaci\u00f3n para los empleados, incluidas simulaciones del mundo real utilizando las \u00faltimas t\u00e9cnicas de ingenier\u00eda social. Tambi\u00e9n son importantes las pol\u00edticas y herramientas estrictas que impidan a los usuarios visitar sitios riesgosos (donde podr\u00edan acechar los ladrones de informaci\u00f3n), al igual que el software de seguridad en todos los servidores, terminales y otros dispositivos, y las herramientas de monitoreo continuo para detectar comportamientos sospechosos. Este \u00faltimo le ayudar\u00e1 a detectar adversarios que puedan estar dentro de su red gracias a una credencial comprometida. De hecho, las organizaciones tambi\u00e9n necesitan tener una forma de reducir el da\u00f1o que puede causar una cuenta comprometida, por ejemplo, siguiendo el principio de privilegio m\u00ednimo. Finalmente, el monitoreo de la web oscura puede ayudarlo a verificar si hay alguna credencial empresarial a la venta en el mundo del cibercrimen.<\/p>\n<p>En t\u00e9rminos m\u00e1s generales, considere contratar la ayuda de un tercero experto a trav\u00e9s de un servicio administrado de detecci\u00f3n y respuesta (MDR). especialmente si su empresa tiene pocos recursos. Adem\u00e1s de un menor costo total de propiedad, un proveedor de MDR acreditado brinda experiencia en la materia, monitoreo y b\u00fasqueda de amenazas las 24 horas del d\u00eda, y acceso a analistas que comprenden los matices de las intrusiones basadas en credenciales y tambi\u00e9n pueden acelerar la respuesta a incidentes si se detectan cuentas comprometidas.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Como los malos actores a menudo simplemente atraviesan las puertas digitales de las empresas con una llave, aqu\u00ed<\/p>\n","protected":false},"author":1,"featured_media":252,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-251","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/251","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/comments?post=251"}],"version-history":[{"count":0,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/251\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media\/252"}],"wp:attachment":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media?parent=251"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/categories?post=251"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/tags?post=251"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}