Como profesionales de la seguridad, es fácil quedar atrapado en una carrera para contrarrestar las últimas técnicas adversas avanzadas. Sin embargo, los ataques más impactantes a menudo no son de exploits de vanguardia, sino de credenciales agrietadas y cuentas comprometidas. A pesar de la conciencia generalizada de este vector de amenaza, Picus Security Informe azul 2025 muestra que las organizaciones continúan luchando Prevención de ataques de agrietamiento de contraseña y Detección del uso malicioso de cuentas comprometidas.
Con la primera mitad de 2025 detrás de nosotros, Las cuentas válidas comprometidas siguen siendo el vector de ataque más subvencionadodestacando la necesidad urgente de un El enfoque proactivo se centró en las amenazas que evaden las defensas de las organizaciones.
Una llamada de atención: el aumento alarmante en el éxito de la contraseña
El Informe Peak Blue es una publicación de investigación anual que analiza qué tan bien las organizaciones están prevenir y detectar amenazas cibernéticas del mundo real. A diferencia de los informes tradicionales que se centran únicamente en las tendencias de amenazas o los datos de la encuesta, el informe azul se basa en Hallazgos empíricos de más de 160 millones de simulaciones de ataque realizado dentro de las redes de organizaciones en todo el mundo, utilizando el Plataforma de validación de seguridad PICUS.
En el Informe azul 2025Picus Labs descubrió que Los intentos de agrietamiento de contraseña tuvieron éxito en el 46% de los entornos probadoscasi duplicando la tasa de éxito del año pasado. Este fuerte aumento resalta una debilidad fundamental en cómo las organizaciones están administrando, o gravando, sus políticas de contraseña. Contraseñas débiles y algoritmos de hashing anticuados continuar dejando los sistemas críticos vulnerables a los atacantes que usan fuerza bruta o ataques de mesa del arco iris para descifrar contraseñas y obtener acceso no autorizado.
Dado que el agrietamiento de la contraseña es uno de los Métodos de ataque más antiguos y confiablemente efectivoseste hallazgo apunta a un problema grave: en su carrera para combatir la última y más sofisticada raza de amenazas, Muchas organizaciones no hacen cumplir las políticas de higiene de contraseña básica sólidas mientras no adoptan e integran las prácticas de autenticación modernas en sus defensas.
Por qué las organizaciones no evitan los ataques de agrietamiento de la contraseña
Entonces, ¿por qué las organizaciones aún no evitan los ataques de agrietamiento de contraseña? La causa raíz se encuentra en el Uso continuo de contraseñas débiles y Métodos de almacenamiento de credenciales obsoletos. Muchas organizaciones aún dependen de contraseñas fácilmente adivinables y algoritmos de hashing débiles, a menudo sin usar técnicas de sal de sales o autenticación multifactor (MFA).
De hecho, los resultados de nuestra encuesta mostraron que 46% de los entornos había roto al menos un hash de contraseña y convertido en ClearText, destacando la insuficiencia de muchas políticas de contraseña, particularmente para cuentas internasdonde los controles son a menudo más laxos que para sus contrapartes externas.
Para combatir esto, las organizaciones deben Hacer cumplir las políticas de contraseña más sólidas, Implementar la autenticación multifactor (MFA) para todos los usuariosy Validar regularmente sus defensas de credenciales. Sin estas mejoras, los atacantes continuarán comprometiendo cuentas válidas, obteniendo un fácil acceso a los sistemas críticos.
Ataques basados en credenciales: una amenaza silenciosa pero devastadora
La amenaza de abuso de credenciales es a la vez generalizado y peligroso, pero como el Informe azul 2025 Lo más destacado, las organizaciones siguen siendo poco preparado para esta forma de ataque. Y una vez que los atacantes obtienen credenciales válidas, pueden moverse fácilmente lateralmente, Privilegios de escalay compromiso de sistemas críticos.
Infadores y grupos de ransomware Confiar con frecuencia en las credenciales robadas para extendido por las redesexcavando más y más profundo, a menudo sin activar la detección. Este movimiento sigiloso dentro de la red permite que los atacantes mantener largos tiempos de permanenciasin ser detectado, mientras ellos exfiltrado datos a voluntad.
A pesar de este problema continuo y conocido, las organizaciones continúan priorizando las defensas perimetrales, a menudo dejando protección de identidad y credenciales pasado por alto y subfinanciado como resultado. El informe azul de este año muestra claramente que Abuso de cuenta válido está en el centro de los ataques cibernéticos modernos, reforzando la necesidad urgente de un enfoque más fuerte en Seguridad de identidad y validación de credenciales.
Cuentas válidas (T1078): la ruta más explotada hacia el compromiso
Uno de los hallazgos clave en el informe azul 2025 es que Cuentas válidas (Mitre ATT y CK T1078) sigue siendo el La técnica de ataque más explotadacon un verdadero preocupante Tasa de éxito del 98%. Esto significa que una vez que los atacantes obtienen acceso a credenciales válidas, ya sea a través de crujido de contraseña o corredores de acceso inicialpueden moverse rápidamente a través de la red de una organización, a menudo evitando las defensas tradicionales.
El uso de credenciales comprometidas es particularmente efectivo porque permite a los atacantes operar bajo el radarlo que dificulta que los equipos de seguridad detecten actividades maliciosas. Una vez dentro, pueden acceder a datos confidenciales, desplegar malwareo crear nuevos caminos de ataquetodo mientras se mezcla sin problemas con la actividad legítima del usuario.
Cómo fortalecer sus defensas contra el abuso de credenciales y el agrietamiento de la contraseña
Para proteger contra ataques cada vez más efectivos, las organizaciones deberían Implementar políticas de contraseña más seguros y hacer cumplir requisitos de complejidadmientras elimina algoritmos de hashing obsoletos a favor de alternativas más seguras. También es esencial para Adoptar la autenticación multifactor (MFA) Para todas las cuentas confidenciales, asegurando que incluso si las credenciales se comprometen, los atacantes no pueden usarlas para acceder a la red sin un paso de verificación adicional.
Validando regularmente defensas de credenciales a través de ataques simulados es crucial para identificar vulnerabilidades y garantizar que sus controles estén funcionando como se esperaba. Las organizaciones también necesitan Mejorar sus capacidades de detección de comportamiento para atrapar actividades anómalas vinculado al abuso de credenciales y al movimiento lateral.
Además, monitorear e inspeccionar tráfico saliente para signos de Exfiltración de datos y asegurar que Medidas de prevención de pérdidas de datos (DLP) están en su lugar y operan de manera efectiva para proteger su información confidencial.
Cerrar las brechas en la gestión de credenciales y contraseñas
Los resultados en el Blue Report 2025 muestran que, desafortunadamente, muchas organizaciones aún son vulnerables a la amenaza silenciosa de crujido de contraseña y cuentas comprometidas. Y si bien el fortalecimiento de las defensas perimetrales sigue siendo una prioridad, también está claro que Las debilidades centrales se encuentran en la gestión de credenciales y los controles internos. El informe también destacó el hecho de que infadores y grupos de ransomware están aprovechando estas brechas de manera efectiva.
Si está listo para tomar medidas proactivas para Endurece tu postura de seguridad, Reduce tu exposicióny Priorizar sus vulnerabilidades críticasel Informe azul 2025 Ofrece ideas invaluables para mostrarle dónde concentrarse. Y Seguridad de picosiempre estamos felices de hablar sobre ayudar a su organización a satisfacer sus necesidades de seguridad específicas.
No olvide obtener su copia del Blue Report 2025 Y tome pasos proactivos hoy para mejorar su postura de seguridad.