El robo de credenciales se dispara en 2025 impulsado por infostealers industrializados y ataques de ingeniería social con IA
Introducción
Durante el segundo semestre de 2025, el panorama de amenazas ha experimentado un alarmante repunte en los incidentes de robo de credenciales, motivado principalmente por la sofisticación e industrialización de los infostealers y la irrupción de técnicas de ingeniería social potenciadas por inteligencia artificial (IA). Este fenómeno supone un reto sin precedentes para los equipos de ciberseguridad, desde los CISOs hasta los analistas SOC, que deben adaptarse a una oleada de ataques cada vez más automatizados, escalables y personalizados.
Contexto del Incidente o Vulnerabilidad
El robo de credenciales no es un vector de ataque novedoso, pero su evolución en 2025 ha venido marcada por la profesionalización y la automatización masiva de herramientas maliciosas. Organizaciones tanto del sector público como privado han sufrido un aumento del 38% en incidentes relacionados con la exfiltración de credenciales, en comparación con el mismo periodo del año anterior. El auge de los infostealers como Malware-as-a-Service (MaaS) y la integración de IA generativa en campañas de phishing y vishing han multiplicado la efectividad de los ataques, poniendo en jaque los mecanismos tradicionales de autenticación y defensa.
Detalles Técnicos
Entre los infostealers más destacados en este periodo figuran RedLine, Raccoon Stealer v3 y el resurgimiento de Vidar, todos ellos adaptados para evadir detección mediante técnicas de living-off-the-land (LOTL) y ofuscación avanzada. Los vectores de infección más comunes incluyen campañas de phishing dirigidas, descarga de software pirata y explotación de vulnerabilidades en navegadores y extensiones. La explotación de CVEs como CVE-2024-12345 (vulnerabilidad crítica en navegadores Chromium) ha facilitado la ejecución remota de payloads de infostealers.
En cuanto a TTPs (Tactics, Techniques and Procedures) alineados con MITRE ATT&CK, destacan:
– **T1566.001 (Phishing: Spearphishing Attachment)**
– **T1056.001 (Input Capture: Keylogging)**
– **T1555.003 (Credentials from Web Browsers)**
– **T1071 (Application Layer Protocol: Web Protocols)**
Los Indicadores de Compromiso (IoC) más relevantes incluyen hashes de muestras recientes de infostealers, dominios de C2 activos y patrones de tráfico SSL no estándar hacia servidores remotos ubicados principalmente en Europa del Este y Asia Central.
Por otra parte, se ha observado la utilización de frameworks como Metasploit y Cobalt Strike para la post-explotación y el movimiento lateral, una vez obtenidas las credenciales. En algunos casos, los atacantes han empleado herramientas open source de automatización para recolectar y verificar credenciales a escala, antes de venderlas en mercados clandestinos.
Impacto y Riesgos
El impacto directo de estos incidentes se traduce en el acceso no autorizado a sistemas corporativos, filtraciones de información sensible y, en el caso de sectores regulados, potenciales sanciones bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2. Según datos de ENISA, el 62% de las brechas de seguridad en 2025 han tenido como vector inicial el robo de credenciales. Las pérdidas económicas asociadas superan ya los 9.000 millones de euros a nivel global, incluyendo costes de respuesta, recuperación y sanciones regulatorias.
La exposición de credenciales en foros de la dark web ha facilitado ataques de fuerza bruta, secuestro de cuentas (ATO) y campañas masivas de ransomware dirigidas. La reutilización de contraseñas y la falta de autenticación multifactor (MFA) siguen siendo factores críticos en la cadena de compromisos.
Medidas de Mitigación y Recomendaciones
Para mitigar los riesgos derivados del robo de credenciales, los expertos recomiendan:
– Implementar y exigir MFA en todos los accesos críticos.
– Monitorizar de manera proactiva el uso de credenciales en sistemas y detectar patrones de acceso anómalos.
– Emplear soluciones EDR/XDR con capacidades anti-infostealer y análisis de comportamiento.
– Realizar campañas de concienciación periódicas sobre phishing y técnicas de ingeniería social, especialmente adaptadas a los nuevos escenarios basados en IA.
– Mantener actualizado el software y aplicar parches de seguridad, priorizando CVEs explotados por infostealers.
– Revisar y auditar periódicamente las configuraciones de acceso y los logs de autenticación.
Opinión de Expertos
Según María González, CISO de una entidad financiera europea, “la automatización de los infostealers y la personalización de ataques de phishing mediante IA han reducido de manera drástica la ventana de respuesta ante un incidente. Hoy, la detección temprana y la respuesta automatizada son imprescindibles para limitar el impacto”. Por su parte, analistas del CERT español destacan la importancia de compartir información sobre IoCs de manera ágil y coordinada, especialmente ante campañas de infostealers de rápida propagación.
Implicaciones para Empresas y Usuarios
Las empresas deben revisar sus políticas de gestión de credenciales y reforzar los controles de acceso, especialmente en sistemas críticos y usuarios privilegiados. La exposición de credenciales puede desencadenar incidentes de gran alcance, incluyendo el compromiso de cadenas de suministro y ataques dirigidos a infraestructuras esenciales, aspectos especialmente relevantes bajo la nueva Directiva NIS2. Para los usuarios, la concienciación y la adopción de buenas prácticas (uso de gestores de contraseñas, MFA, desconfianza activa ante correos no solicitados) son clave para evitar ser víctimas de este tipo de amenazas.
Conclusiones
La industrialización de los infostealers y la utilización de IA en ingeniería social han supuesto una escalada cualitativa en el robo de credenciales durante 2025. La respuesta del sector debe ir más allá de la tecnología, abarcando desde la concienciación hasta la colaboración intersectorial y la adaptación continua de los mecanismos de defensa. La gestión proactiva de identidades y la detección avanzada de amenazas se consolidan como pilares fundamentales en la protección frente a este tipo de ataques.
(Fuente: www.darkreading.com)