AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**El robo de credenciales: el origen silencioso del 22% de las brechas según el DBIR 2025**

admin

### Introducción

El robo y filtración de credenciales corporativas sigue siendo uno de los vectores de ataque más efectivos y menos detectados en el entorno de la ciberseguridad actual. A pesar de las múltiples capas de defensa que las organizaciones implementan, la realidad es que la simple exposición de un usuario y una contraseña puede desencadenar una cadena de ciberincidentes con consecuencias a largo plazo. Lejos de los complejos ataques que suelen copar titulares, la explotación de credenciales filtradas se mantiene como la puerta de entrada predilecta para una amplia variedad de actores maliciosos.

### Contexto del Incidente o Vulnerabilidad

El último informe de Verizon, Data Breach Investigations Report (DBIR) 2025, revela que el 22% de las brechas de seguridad analizadas tienen su origen en el uso indebido de credenciales comprometidas. Esta cifra consolida una tendencia al alza observada en los últimos años, marcada por el auge del ransomware, el phishing y el acceso inicial vendido en mercados clandestinos. El robo de credenciales afecta a organizaciones de todos los tamaños y sectores, desde administraciones públicas hasta empresas del IBEX 35, pasando por pymes y startups tecnológicas.

La filtración de credenciales puede producirse de múltiples formas: desde ataques de phishing dirigidos hasta la explotación de bases de datos vulnerables, pasando por la reutilización de contraseñas en servicios de terceros y la compra directa en foros de la dark web. La facilidad con la que los atacantes pueden automatizar el proceso de recopilación y validación de credenciales ha convertido este vector en uno de los más rentables y menos arriesgados.

### Detalles Técnicos

Las credenciales filtradas suelen asociarse a vulnerabilidades explotadas mediante técnicas bien documentadas en el marco MITRE ATT&CK, especialmente las tácticas Initial Access (TA0001) y Credential Access (TA0006). Entre los principales métodos empleados destacan:

– **Phishing (T1566):** Uso de campañas de correo electrónico con enlaces o adjuntos maliciosos para capturar credenciales.
– **Password Spraying (T1110.003):** Automatización de intentos de inicio de sesión con contraseñas comunes sobre grandes volúmenes de cuentas.
– **Credential Stuffing (T1110.004):** Uso de combinaciones de usuario/contraseña filtradas en otros servicios para obtener accesos adicionales.
– **Captura de hashes NTLM y Pass-the-Hash (T1550.002):** Explotación de protocolos inseguros en redes internas Windows.

En cuanto a los IoC (Indicadores de Compromiso), es frecuente identificar:

– Direcciones IP asociadas a proxies o VPN de uso malicioso.
– Dominios de phishing recientemente registrados.
– Cadenas de User-Agent propias de herramientas como Hydra, Burp Suite, Metasploit o Cobalt Strike.
– Listados de credenciales en pastebins o foros clandestinos como BreachForums.

Las versiones afectadas suelen ser tanto aplicaciones web legacy (WordPress <5.8, Joomla <3.9, portales OWA antiguos) como servicios cloud (Microsoft 365, Google Workspace) sin MFA habilitado. El uso de exploits públicos y herramientas como Metasploit o módulos de Cobalt Strike para el movimiento lateral es habitual una vez obtenidas las credenciales iniciales.

### Impacto y Riesgos

La explotación de credenciales filtradas permite a los atacantes eludir muchas de las medidas de seguridad tradicionales, accediendo de forma legítima a sistemas críticos, aplicaciones SaaS, VPNs y recursos de red. Entre los riesgos asociados destacan:

– **Persistencia y movimiento lateral:** El acceso inicial puede derivar en la escalada de privilegios y persistencia prolongada en la infraestructura.
– **Ransomware y exfiltración de datos:** Actores como FIN7 o Black Basta emplean credenciales válidas para desplegar ransomware o extraer información sensible.
– **Pérdida económica y reputacional:** El coste medio de una brecha asociada a credenciales supera los 4,45 millones de dólares según IBM, además de los daños reputacionales y las posibles sanciones regulatorias (GDPR, NIS2).
– **Compromiso de la cadena de suministro:** Acceso a sistemas de terceros y proveedores mediante cuentas compartidas o federadas.

### Medidas de Mitigación y Recomendaciones

– **Implementación obligatoria de MFA** en todos los accesos remotos y aplicaciones críticas.
– **Gestión y rotación periódica de contraseñas**, evitando la reutilización y empleando gestores de contraseñas corporativos.
– **Monitorización de credenciales expuestas** mediante servicios de threat intelligence y alertas proactivas.
– **Auditorías de acceso y privilegios**, minimizando el número de cuentas privilegiadas y segmentando redes críticas.
– **Simulacros de phishing y concienciación** para reducir la efectividad de ataques de ingeniería social.
– **Políticas de Zero Trust** y verificación continua de identidad y contexto.

### Opinión de Expertos

Según Juan Antonio Calles, CEO de Zerolynx, “la gestión de credenciales debe ser una prioridad estratégica para cualquier organización que aspire a cumplir con estándares como GDPR o NIS2. La realidad es que la mayoría de los incidentes graves de los últimos años han comenzado con una simple filtración de credenciales”. Por su parte, expertos de ENISA alertan sobre el crecimiento de los mercados de acceso inicial y la profesionalización de los grupos de ransomware.

### Implicaciones para Empresas y Usuarios

Las empresas deben adaptar sus estrategias de defensa ante la evidencia de que la protección perimetral ya no es suficiente. El cumplimiento normativo (GDPR, NIS2) exige no solo la prevención, sino la detección proactiva y la respuesta rápida ante incidentes relacionados con credenciales. Los usuarios corporativos, por su parte, deben ser conscientes de la importancia de no reutilizar contraseñas y de activar el MFA en todos sus servicios.

### Conclusiones

La filtración y uso malicioso de credenciales sigue siendo la base de una parte significativa de las brechas de seguridad, impulsada por la automatización y la economía del cibercrimen. La adopción de controles técnicos robustos, combinada con la formación y concienciación, es imprescindible para reducir este riesgo latente y cumplir con las exigencias regulatorias y de negocio actuales.

(Fuente: feeds.feedburner.com)