AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Las credenciales robadas mantienen su liderazgo como vector de ataque en 2025, según Kaspersky

Introducción

El panorama de amenazas cibernéticas sigue evolucionando a un ritmo vertiginoso, pero un vector de ataque permanece constante en la cima de las prioridades de los actores maliciosos: el robo y abuso de credenciales. Así lo confirma el informe global “Anatomy of a Cyber World 2025” publicado recientemente por Kaspersky, que analiza las principales tendencias y técnicas empleadas por los ciberdelincuentes. En este artículo profundizamos en los hallazgos del informe, desgranando las tácticas, técnicas y procedimientos (TTP) más habituales, los riesgos asociados y las mejores prácticas para defenderse ante una amenaza que afecta tanto a grandes corporaciones como a pymes y usuarios particulares.

Contexto del Incidente o Vulnerabilidad

El robo de credenciales no es un fenómeno nuevo, pero su prevalencia y sofisticación han crecido de forma significativa en los últimos años. Según el informe de Kaspersky, durante 2024 y lo que va de 2025, más de un 60% de los incidentes registrados tuvieron como vector inicial la obtención y explotación de credenciales comprometidas. Los actores de amenazas, desde grupos de ransomware como LockBit o BlackCat hasta operadores de acceso inicial (IABs), han perfeccionado técnicas para recolectar, validar y utilizar cuentas legítimas, accediendo así a infraestructuras críticas sin levantar sospechas en las primeras fases de sus campañas.

Detalles Técnicos: CVE, Vectores de Ataque y TTP MITRE ATT&CK

Las principales técnicas de obtención de credenciales identificadas por Kaspersky incluyen:

– **Phishing avanzado:** El 35% de los incidentes comenzaron con campañas de spear phishing dirigidas a empleados clave, donde se utilizaron kits de phishing personalizados y técnicas de impersonación (MITRE ATT&CK T1566).
– **Malware de robo de credenciales:** Herramientas como RedLine Stealer, Raccoon y Vidar siguen proliferando, con variantes que esquivan cada vez mejor las soluciones EDR tradicionales. Estos malwares están asociados a la técnica MITRE ATT&CK T1555 (Credentials from Password Stores).
– **Brute force y password spraying:** El análisis de logs y honeypots muestra un repunte del 22% en ataques de fuerza bruta dirigidos a servicios expuestos como RDP o VPN empresariales, muchos de los cuales explotan configuraciones inseguras (CVE-2023-34362, CVE-2024-3124).
– **Abuso de cuentas legítimas:** Una vez dentro, los atacantes emplean técnicas de movimiento lateral (T1075, T1021) y escalamientos de privilegios (T1134), usando herramientas como Mimikatz, Cobalt Strike y Metasploit.

Los Indicadores de Compromiso (IoC) más comunes incluyen direcciones IP relacionadas con infraestructuras de botnets, hashes de malware conocido y credenciales filtradas en mercados clandestinos.

Impacto y Riesgos

El impacto del robo de credenciales va más allá del acceso no autorizado. Un 48% de los incidentes analizados resultaron en la exfiltración de datos confidenciales, el despliegue de ransomware o ataques a la cadena de suministro. Las pérdidas económicas directas asociadas a estos incidentes superaron los 5.000 millones de euros en 2024, solo en Europa, según datos de la ENISA. Además, la exposición de credenciales puede derivar en incumplimientos de la GDPR y de la directiva NIS2, con sanciones que pueden alcanzar hasta el 4% de la facturación anual.

Medidas de Mitigación y Recomendaciones

Para mitigar este riesgo, los expertos recomiendan:

– **Autenticación multifactor (MFA) robusta:** Preferiblemente basada en tokens físicos o aplicaciones OTP, evitando SMS por su vulnerabilidad a ataques de SIM swapping.
– **Rotación periódica de contraseñas** y uso de gestores seguros que permitan contraseñas complejas y únicas.
– **Monitoreo constante de accesos** y detección de patrones anómalos, empleando SIEM y soluciones de UEBA.
– **Segmentación de la red** y principio de menor privilegio para limitar el movimiento lateral.
– **Simulacros de phishing y formación continua** para empleados, con especial énfasis en personal con acceso privilegiado.
– **Revisión y parcheo de servicios expuestos,** priorizando vulnerabilidades como las identificadas bajo CVE-2023-34362 y CVE-2024-3124.

Opinión de Expertos

Juan Antonio Calles, CISO y fundador de Zerolynx, advierte: “El uso de credenciales legítimas por parte de actores maliciosos es uno de los mayores retos para los SOC. Herramientas como Cobalt Strike han democratizado el movimiento lateral, exigiendo un enfoque proactivo en la detección de anomalías y la limitación de privilegios”. Por su parte, la analista de amenazas Marta Barrio, de S21sec, añade: “La cadena de valor del cibercrimen está más profesionalizada que nunca. Las credenciales robadas se venden en tiempo real en foros especializados, lo que reduce drásticamente el tiempo desde la filtración hasta el ataque”.

Implicaciones para Empresas y Usuarios

Para las empresas, la exposición de credenciales supone un riesgo sistémico. La implementación de controles técnicos y administrativos es indispensable, así como el cumplimiento estricto de los requisitos de la NIS2 y el GDPR. Los usuarios, por su parte, deben ser conscientes de la importancia de la higiene digital y de la gestión segura de sus identidades.

Conclusiones

El informe de Kaspersky confirma que el robo y abuso de credenciales seguirá siendo la principal amenaza para organizaciones y usuarios durante 2025. La profesionalización de los atacantes, sumada a la persistencia de malas prácticas en la gestión de contraseñas, exige una respuesta integral basada en tecnología, formación y procesos. La anticipación, el monitoreo activo y la resiliencia deben ser prioridades estratégicas en cualquier programa de ciberseguridad.

(Fuente: www.cybersecuritynews.es)