### Las contraseñas tradicionales sucumben ante la IA y los infostealers: ¿es hora de reinventar la autenticación?

#### Introducción

El Día Mundial de la Contraseña, celebrado el 7 de mayo, es el marco idóneo para reflexionar sobre el futuro de uno de los pilares de la seguridad digital: la autenticación basada en contraseñas. En un entorno donde la inteligencia artificial (IA) y las herramientas automatizadas han elevado la capacidad de los atacantes para vulnerar sistemas, el consejo clásico de crear contraseñas complejas y largas pierde relevancia. Este análisis, motivado por las últimas advertencias de Check Point® Software Technologies Ltd., explora el declive de la contraseña tradicional frente a amenazas avanzadas como los infostealers y la IA, así como el impacto real para los profesionales de la ciberseguridad.

#### Contexto del Incidente o Vulnerabilidad

Hasta hace pocos años, las recomendaciones de seguridad se centraban en utilizar contraseñas largas (mínimo 12-16 caracteres), que incluyeran números, mayúsculas, minúsculas y símbolos. Sin embargo, el panorama actual ha cambiado drásticamente. La proliferación de infostealers—malware especializado en el robo de credenciales—y la integración de IA para el cracking de contraseñas han convertido estos consejos en insuficientes.

Según datos de Check Point, durante 2023 y los primeros meses de 2024 se ha registrado un incremento del 35% en los intentos de robo de credenciales mediante infostealers en Europa. Además, informes recientes del Grupo de Análisis de Amenazas de Google (TAG) y de Mandiant revelan que amplias campañas de phishing, reforzadas con IA generativa, han logrado evadir mecanismos de defensa convencionales.

#### Detalles Técnicos: CVEs, Vectores de Ataque y TTP MITRE ATT&CK

El vector principal de ataque sigue siendo el compromiso de credenciales a través de malware y phishing, pero la sofisticación ha aumentado. Los infostealers más activos en 2024 incluyen RedLine Stealer, Raccoon Stealer y Vidar, todos ellos disponibles en modelos de malware-as-a-service (MaaS). Estos troyanos extraen contraseñas almacenadas en navegadores, clientes FTP y aplicaciones de correo, además de aprovechar vulnerabilidades como **CVE-2023-4863** (Buffer Overflow en WebP), explotada para ejecutar código remoto y desplegar infostealers.

Respecto a la IA, frameworks como Hashcat y John the Ripper han integrado capacidades de cracking asistidas por inteligencia artificial, utilizando diccionarios dinámicos y modelos de lenguaje para predecir patrones humanos en la creación de contraseñas. Según el MITRE ATT&CK, estas técnicas se alinean con las tácticas **T1110 (Brute Force)** y **T1081 (Credentials in Files)**, además del uso combinado de phishing (T1566) y stealers (T1555).

Los Indicadores de Compromiso (IoC) más frecuentes incluyen conexiones salientes a dominios asociados a C2 de infostealers, cargas de archivos sospechosos en endpoints y la aparición de hashes relacionados con variantes recientes de malware.

#### Impacto y Riesgos

El impacto para las organizaciones es sustancial. Los infostealers han contribuido a la filtración de más de 26.000 millones de credenciales en foros clandestinos durante 2023, según Verizon DBIR. El tiempo medio desde la extracción de una contraseña hasta su venta en la dark web ha descendido a menos de 12 horas. Además, el coste medio de una brecha relacionada con credenciales comprometidas supera los 4,45 millones de dólares, como refleja el informe de IBM Security 2024.

A nivel legal, el incumplimiento del Reglamento General de Protección de Datos (GDPR) o la Directiva NIS2 ante una brecha por mala gestión de contraseñas puede acarrear sanciones de hasta el 4% de la facturación anual global.

#### Medidas de Mitigación y Recomendaciones

La defensa basada únicamente en la complejidad de la contraseña es insuficiente. Se recomienda:

– Implementar autenticación multifactor (MFA) robusta, preferentemente basada en hardware (FIDO2, YubiKey) en vez de SMS o correo electrónico.
– Adoptar soluciones de gestión de identidades y accesos (IAM) que detecten anomalías y comportamientos sospechosos.
– Desplegar sistemas de detección y respuesta en endpoints (EDR) para identificar actividad de infostealers.
– Aplicar políticas de rotación de contraseñas solo cuando haya indicios de compromiso, para evitar la fatiga del usuario.
– Educar y concienciar a los empleados sobre ataques de phishing avanzados y el uso seguro de gestores de contraseñas.

#### Opinión de Expertos

Rafael Sanz, CISO de una entidad bancaria española, afirma: “La contraseña, por sí sola, ya no es un factor de protección fiable. La combinación de IA y malware automatizado hace imprescindible evolucionar hacia esquemas de autenticación adaptativos y con supervisión continua”.

Por su parte, el equipo de análisis de amenazas de Check Point subraya que “el futuro pasa por el passwordless y la autenticación basada en factores biométricos o dispositivos físicos, mucho más resistentes ante la automatización de ataques”.

#### Implicaciones para Empresas y Usuarios

Las empresas que sigan confiando exclusivamente en contraseñas complejas están expuestas a incidentes graves que pueden comprometer activos críticos y la reputación corporativa. Para los usuarios, la reutilización de contraseñas y la falta de MFA los convierten en objetivos prioritarios de campañas de phishing y robo de identidad.

En términos de cumplimiento, las nuevas exigencias de NIS2, vigentes desde octubre de 2024, obligan a las organizaciones críticas a fortalecer sus mecanismos de autenticación y monitorización, bajo amenaza de sanciones más severas.

#### Conclusiones

La era de la contraseña como única barrera de entrada ha terminado. La automatización, la IA y la evolución de los infostealers requieren un cambio de paradigma urgente hacia modelos de autenticación avanzada. Las organizaciones deben revisar sus políticas de acceso y apostar por tecnologías passwordless, MFA robusto y una cultura de ciberseguridad proactiva para mitigar los riesgos actuales y futuros.

(Fuente: www.cybersecuritynews.es)