Cuando se filtran las credenciales de una organización, las consecuencias inmediatas rara vez son visibles, pero el impacto a largo plazo es de gran alcance. Lejos de las tácticas de capa y daga que se ven en la ficción, muchas infracciones cibernéticas del mundo real comienzan con algo engañosamente simple: un nombre de usuario y contraseña.
Según el Informe de Investigaciones de Investigaciones de Datos 2025 de Verizon, las credenciales filtradas representaron el 22% de las infracciones en 2024, superando el phishing e incluso la explotación del software. Eso es casi una cuarta parte de todos los incidentes, iniciado no a través de días cero o amenazas persistentes avanzadas, sino iniciando sesión por la puerta principal.
Esta amenaza tranquila y persistente ha estado creciendo. Nuevos datos compilados por Cyberint, una compañía externa de gestión de riesgos e inteligencia de amenazas adquiridas recientemente por Check Point, muestra un aumento del 160% en las credenciales filtradas en 2025 en comparación con el año anterior. El informe, titulado El aumento de las credenciales filtradasproporciona una mirada no solo al volumen de estas fugas, sino en cómo son explotadas y qué pueden hacer las organizaciones para adelantarse a ellas. Vale la pena leer en su totalidad para aquellos responsables de la reducción de riesgos.
Lea el informe: El aumento de las credenciales filtradas
Un aumento alimentado por la automatización y la accesibilidad
El aumento de las credenciales filtradas no se trata solo de volumen. También se trata de velocidad y accesibilidad. Solo en un mes, Cyberint identificó más de 14,000 exposiciones de credenciales corporativas vinculadas a las organizaciones cuyas políticas de contraseña aún estaban intactas, lo que significa uso activo y potencial de amenaza real.
La automatización ha facilitado el robo de credenciales. El malware del infostaler, a menudo vendido como un servicio, permite que incluso los atacantes con baja calificación cosechen datos de inicio de sesión de los navegadores y la memoria. Las campañas de phishing generadas por IA pueden imitar el tono, el lenguaje y la marca con una extraña precisión. Una vez que se reúnen las credenciales, se venden en mercados subterráneos o se ofrecen en paquetes en canales de telegrama y foros ilícitos.
Como se describe en el libro electrónico, el tiempo promedio que lleva remediar las credenciales filtradas a través de los repositorios de GitHub es de 94 días. Esa es una ventana de tres meses donde un atacante podría explotar el acceso, sin ser detectado.
Cómo se usan las credenciales como moneda
Las credenciales filtradas son moneda para atacantes, y su valor va más allá del inicio de sesión inicial. Una vez obtenidas, estas credenciales se convierten en un vector para una variedad de actividades maliciosas:
- Adquisición de la cuenta (ATO): Los atacantes inician sesión en la cuenta de un usuario para enviar correos electrónicos de phishing desde una fuente legítima, manipular los datos o lanzar estafas financieras.
- Relleno de credenciales: Si un usuario reutiliza las contraseñas en los servicios, la violación de una cuenta puede llevar a que otros caigan en una reacción en cadena.
- Distribución de spam y redes de bot: El correo electrónico y las cuentas sociales sirven como lanzadores para la desinformación, campañas de spam o abuso promocional.
- Chantaje y extorsión: Algunos actores contactan a las víctimas, amenazando con exponer las credenciales a menos que se realice el pago. Si bien las contraseñas se pueden cambiar, las víctimas a menudo se asustan si el alcance de la violación no está claro.
Los efectos aguas abajo no siempre son obvios. Una cuenta personal de Gmail comprometida, por ejemplo, puede dar a los atacantes acceso a correos electrónicos de recuperación para servicios corporativos o descubrir enlaces compartidos con archivos adjuntos confidenciales.
Ver lo que otros extrañan
Cyberint, ahora parte de Check Point, utiliza sistemas de recolección automatizados y agentes de IA para monitorear una amplia gama de fuentes en la red abierta, profunda y oscura. Estos sistemas están diseñados para detectar credenciales filtradas a escala, correlacionar detalles como patrones de dominio, reutilización de contraseñas y metadatos organizacionales para identificar una exposición probable, incluso cuando las credenciales se publican de forma anónima o se incluyen con otros. Las alertas están enriquecidas con un contexto que admite el triaje rápido, y las integraciones con plataformas SIEM y SOAR permiten una acción inmediata, como revocar credenciales o hacer cumplir los restos de contraseña.
Luego, los analistas de Cyberint intervienen. Estos equipos realizan investigaciones específicas en foros cerrados, evalúan la credibilidad de las afirmaciones de amenazas de los actores y juntan señales de identidad y atribución. Al combinar la cobertura impulsada por la máquina con acceso directo a las comunidades subterráneas, Cyberint proporciona escala y precisión, lo que permite que los equipos actúen antes de que las credenciales filtradas se usen activamente.
Las filtraciones de credenciales no solo se producen en estaciones de trabajo monitoreadas. Según los datos de Cyberint, el 46% de los dispositivos vinculados a las filtraciones de credenciales corporativas no estaban protegidos por el monitoreo de puntos finales. Estos incluyen computadoras portátiles personales o dispositivos no administrados donde los empleados acceden a las aplicaciones comerciales, que pueden servir como puntos ciegos para muchos equipos.
La pila de detección de amenazas de Cyberint se integra con las herramientas de SIEM y SOAR, lo que permite respuestas automatizadas como revocar el acceso o forzar la contraseña en el momento en que se identifica una violación. Esto cierra la brecha entre la detección y la acción, un factor crucial cuando cada hora cuenta.
El informe completo se sumerge más en cómo funcionan estos procesos y cómo las organizaciones pueden operacionalizar esta inteligencia entre los equipos. Puede leer el informe completo aquí para más detalles.
La detección de exposición ahora es una ventaja competitiva
Incluso con políticas de contraseña seguras, MFA y filtrado de correo electrónico moderno, el robo de credenciales sigue siendo una probabilidad estadística. Lo que diferencia a las organizaciones es qué tan rápido detectan la exposición y qué tan estrechamente se alinean sus flujos de trabajo de remediación.
Dos libros de jugadas presentados en el libro electrónico muestran cómo los equipos pueden responder de manera efectiva, tanto para credenciales de proveedores de empleados como de terceros. Cada uno describe los procedimientos para la detección, la validación de la fuente, la revocación de acceso, la comunicación de las partes interesadas y la revisión posterior al incidente.
Pero la conclusión clave es esta: el descubrimiento proactivo importa más que los forenses reactivos. Esperar que los actores de amenaza hagan el primer movimiento extiende el tiempo de permanencia y aumenta el alcance del daño.
La capacidad de identificar credenciales poco después de que aparezcan en foros subterráneos, antes de que hayan sido empaquetados o armados en campañas automatizadas, es lo que separa la defensa exitosa de la limpieza reactiva.
Si se pregunta si su organización ha expuesto credenciales flotando en la red profunda o oscura, no necesita adivinar. Puedes comprobar.
Consulte la web abierta, profunda y oscura para las credenciales de su organización ahora
La mitigación no se trata solo de prevención
Ningún control único puede eliminar completamente el riesgo de exposición a las credenciales, pero múltiples capas pueden reducir el impacto:
- Política de contraseña segura: Haga cumplir los cambios de contraseña regulares y prohíbe la reutilización en todas las plataformas.
- SSO y MFA: Agregar barreras más allá de la contraseña. Incluso el MFA básico hace que el relleno de credencial sea mucho menos efectivo.
- Limitación de la tasa: Establezca umbrales para los intentos de inicio de sesión para interrumpir la fuerza bruta y las tácticas de pulverización de credenciales.
- POLP: Limite el acceso de los usuarios solo a lo que se necesita, por lo que las cuentas comprometidas no proporcionan una entrada más amplia.
- Entrenamiento de concientización de phishing: Educar a los usuarios sobre las técnicas de ingeniería social para reducir las filtraciones iniciales.
- Monitoreo de la exposición: Implemente la detección en los foros, los mercados y la pegación de sitios para señalar menciones de credenciales corporativas.
Cada uno de estos controles es útil, pero incluso juntos, no son suficientes si la exposición pasa desapercibida durante semanas o meses. Ahí es donde entra la inteligencia de detección de Cyberint.
Puede aprender más métodos leyendo el informe completo.
Antes de que se robe la próxima contraseña
No se trata de si una cuenta asociada con su dominio estará expuesta, ya sucedió. La verdadera pregunta es: ¿se ha encontrado?
Actualmente se están pasando miles de credenciales vinculadas a cuentas activas alrededor de los mercados, foros y chats de telegrama. Muchos pertenecen a los usuarios que todavía tienen acceso a recursos corporativos. Algunos están inclinados con metadatos como el tipo de dispositivo, cookies de sesión o incluso credenciales de VPN. Una vez compartida, esta información se extiende rápidamente y se vuelve imposible de retraerse.
Identificar exposiciones antes de que se usen es una de las pocas ventajas significativas que tienen los defensores. Y comienza con saber dónde mirar.
La inteligencia de amenazas juega un papel central en la detección y la respuesta, especialmente cuando se trata de credenciales expuestas. Dada su circulación generalizada en redes criminales, las credenciales requieren monitoreo enfocado y procesos claros para la mitigación.
Compruebe si las credenciales de su empresa están expuestas en la web abierta, profunda y oscura. Cuanto antes se encuentren, menos incidentes a los que será para responder más adelante.