Como los malos actores a menudo simplemente valla a través de las puertas delanteras digitales de las empresas con una llave, aquí le mostramos cómo mantener su propia puerta cerrada el 11 de septiembre de 2025 •, 5 min. ¿Lea por qué derribar una puerta y colocar la alarma de la casa cuando tenga una llave y un código para entrar en silencio? Esta es la justificación detrás de una tendencia en la seguridad cibernética donde los adversarios buscan cada vez más robar contraseñas, e incluso tokens de autenticación y cookies de sesión para evitar códigos de MFA para que puedan acceder a las redes disfrazando como usuarios legítimos. Según Verizon, el «uso de credenciales robadas» ha sido uno de los métodos más populares para obtener acceso inicial en los últimos años. El uso de credenciales robadas apareció en un tercio (32%) de las violaciones de datos el año pasado, señala su informe. Sin embargo, si bien hay varias formas en que los actores de amenaza pueden obtener credenciales, también hay muchas oportunidades para detenerlos. Por qué las credenciales son de la zona cero para los ataques cibernéticos según una estimación, más de 3.200 millones de credenciales fueron robadas de las empresas globales en 2024, un aumento anual del 33%. Con el acceso que estos proporcionan a las cuentas corporativas, los actores de amenaza pueden deslizarse efectivamente a las sombras mientras traman su próximo movimiento. Esto podría implicar algunas formas más avanzadas de explotación penal, por ejemplo: realizar el reconocimiento de la red: buscar datos, activos y permisos de usuario para ir después de los próximos privilegios de escalada, por ejemplo, a través de la explotación de vulnerabilidad, para que se muevan lateralmente para alcanzar esos datos de alto valor de los datos/sistemas que establecen comunicaciones con el que trabajan con un servidor de mando de mando adicionales, y los datos de los sistemas de alto valor, y el servidor, y los sistemas de los sistemas se encuentran de manera acuática y el servidor, y los datos de los Sistemas de Working y Exfiltates, y el servidor, y los sistemas de los Sistemas se transfieren y se transfieran a través de los datos de los Sistemas de Working y Exfiltre. Pasos, un adversario también podría llevar a cabo un ransomware de gran éxito y otras campañas. Cómo obtienen contraseñas Los actores de amenaza han desarrollado varias formas de comprometer las credenciales corporativas de sus empleados o, en algunos casos, incluso sus códigos de MFA. Incluyen: phishing: correos electrónicos o mensajes de texto falsificados para aparecer como si se enviara desde una fuente oficial (es decir, el departamento de TI o un proveedor de tecnología). Se alentará al destinatario a hacer clic en un enlace malicioso que lo lleva a una página de inicio de sesión falsa (es decir, Microsoft). Vishing: una variación sobre el tema de phishing, pero esta vez una víctima recibe una llamada telefónica del actor de amenaza. Pueden hacerse pasar por el servicio de ayuda de TI y solicitar a la víctima entrega una contraseña o inscribir un nuevo dispositivo MFA como parte de alguna historia ficticia. O podrían llamar al servicio de asistencia que afirma ser un ejecutivo o empleado que necesita un restablecimiento de contraseña urgente para hacer su trabajo. Infentes de infantes: malware diseñado para recolectar credenciales y cookies de sesión de la computadora/dispositivo de la víctima. Puede llegar a través de un enlace/archivo adjunto de phishing malicioso, un sitio web comprometido, una aplicación móvil atrapada en bobina, una estafa de redes sociales o incluso un mod no oficial de juegos. Se cree que los infantes de infantes fueron responsables del 75% de las credenciales comprometidas el año pasado. Ataques de fuerza bruta: estos incluyen el relleno de credenciales, donde los adversarios intentan combos de nombre/contraseña anteriormente violados en sitios y aplicaciones corporativas. La pulverización de contraseñas, mientras tanto, aprovecha las contraseñas de uso común en diferentes sitios. Los bots automatizados los ayudan a hacerlo a escala, hasta que uno finalmente funcione. Incumplimientos de terceros: los adversarios comprometen un proveedor o socio que almacena credenciales para sus clientes, como un MSP o un proveedor SaaS. O compran trova de «combos» de inicio de sesión ya violados para usar en ataques posteriores. Bypass MFA: las técnicas incluyen intercambio de SIM, bombardeos indicadores de MFA que abruman el objetivo con notificaciones push para causar «fatiga de alerta» y provocar una aprobación push, y ataques adversarios en el medio (AITM) donde los atacantes se insertan entre un usuario y un servicio legítimo de autenticación para interformar con la sesión de la sesión de MFA. Los últimos años han estado inundados de los ejemplos del mundo real del compromiso de contraseña que conduce a incidentes de seguridad importantes. Incluyen: Cambiar la atención médica: en uno de los ataques cibernéticos más importantes de 2024, el grupo de ransomware ALPHV (BlackCat) Cambio paralizado Healthcare, un importante proveedor de tecnología de salud estadounidense. La pandilla aprovechó un conjunto de credenciales robadas para acceder de forma remota a un servidor que no tenía la autenticación multifactorial (MFA) activada. Luego intensifican sus privilegios y se movieron lateralmente dentro de los sistemas y desplegaron ransomware, lo que finalmente condujo a una interrupción sin precedentes del sistema de salud y el robo de datos confidenciales sobre millones de estadounidenses. Snowflake: el actor de amenaza de motivación financiera UNC5537 obtuvo acceso a las instancias de la base de datos de clientes de Snowflake de múltiples clientes. Cientos de millones de clientes aguas abajo se vieron afectados por esta campaña masiva de extorsión de robo de datos. Se cree que el actor de amenazas accedió a sus entornos a través de credenciales previamente robadas a través de malware infestador. Mantenga los ojos bien abiertos, lo cual hace que sea más importante que nunca proteger las contraseñas de sus empleados, hacer que los inicios de sesión sean más seguros y monitorear el entorno de TI más de cerca por los signos reveladores de una violación. Gran parte de esto se puede lograr siguiendo un enfoque de confianza cero basado en el principio: nunca confíe, siempre verifique. Significa adoptar la autenticación basada en el riesgo en el «perímetro» y luego en varias etapas dentro de una red segmentada. Los usuarios y dispositivos deben evaluarse y calificarse en función de su perfil de riesgo, que se puede calcular desde el tiempo y la ubicación del inicio de sesión, el tipo de dispositivo y el comportamiento de la sesión. Para reforzar la protección de su organización contra el acceso no autorizado y garantizar el cumplimiento de las regulaciones, la autenticación multifactor (MFA) sólida en roca también es una línea de defensa no negociable. Debe complementar este enfoque con programas actualizados de capacitación y conciencia para los empleados, incluidas las simulaciones del mundo real utilizando las últimas técnicas de ingeniería social. Las políticas y herramientas estrictas que evitan que los usuarios visiten sitios arriesgados (donde los infantes de infantes pueden acechar) también son importantes, al igual que el software de seguridad en todos los servidores, puntos finales y otros dispositivos, y herramientas de monitoreo continuo para detectar un comportamiento sospechoso. Este último lo ayudará a detectar adversarios que pueden estar dentro de su red cortesía de una credencial comprometida. De hecho, las organizaciones también deben tener una forma de reducir el daño que puede hacer una cuenta comprometida, por ejemplo, siguiendo el principio de menor privilegio. Finalmente, Dark Web Monitoring puede ayudarlo a verificar si alguna credencial de empresa está a la venta en el cibercrimen underground. En términos más generales, considere solicitar la ayuda de un tercero experto a través de un servicio de detección y respuesta administrada (MDR). Especialmente si su empresa tiene poco recursos. Además del menor costo total de propiedad, un proveedor de MDR de buena reputación aporta experiencia en materia, monitoreo y caza de amenazas las 24 horas, y el acceso a analistas que entienden los matices de las intrusiones basadas en credenciales y también pueden acelerar la respuesta de incidentes si se detectan cuentas comprometidas.