Filtraciones de credenciales se disparan un 160 %

Cuando las credenciales de una organización se filtran, las consecuencias inmediatas rara vez son visibles, pero el impacto a largo plazo puede ser devastador. Lejos de las escenas de espionaje que vemos en las películas, muchos ciberataques comienzan con algo simple. A menudo, solo se necesita un nombre de usuario y una contraseña.

Cuando una filtración de credenciales es solo el comienzo

En 2024, las credenciales filtradas causaron el 22 % de las brechas de seguridad. Esto superó al phishing y a la explotación de vulnerabilidades de software por primera vez. En otras palabras, casi una de cada cuatro intrusiones no empieza con ataques de día cero. Tampoco son campañas muy sofisticadas. En cambio, comienzan con accesos directos, silenciosos y que parecen inofensivos.

Esta amenaza no es nueva, pero sí más intensa. Datos recientes de Cyberint —empresa de gestión de riesgos e inteligencia de amenazas— indican un aumento del 160 % en credenciales filtradas en 2025 frente al año anterior. Su informe, El auge de las credenciales filtradas, no solo examina el volumen de estas filtraciones, sino también sus métodos de explotación y las medidas que las organizaciones pueden implementar para adelantarse a los atacantes. 

Auge por automatización y accesibilidad

El aumento de credenciales filtradas no se debe solo al volumen, sino también a la velocidad y facilidad de obtención. Malware y campañas de phishing con IA permiten robar accesos y venderlos en foros y canales clandestinos. El tiempo promedio de remediación en GitHub es de 94 días, lo que deja un amplio margen de ataque.

Factores detrás del aumento

El auge de las filtraciones de credenciales responde a una combinación de tecnologías emergentes y malas prácticas de seguridad. El phishing asistido por inteligencia artificial ha elevado la sofisticación de los engaños, generando correos y sitios falsos prácticamente indistinguibles de los legítimos. Al mismo tiempo, los malware tipo stealer, que se ofrecen como Malware-as-a-Service, han hecho más fácil el cibercrimen. Ahora, incluso los atacantes sin mucha experiencia pueden robar credenciales a gran escala.

Esto se suma a la gran cantidad de herramientas automáticas. Estas herramientas ayudan a realizar ataques de fuerza bruta y credential stuffing. Esto aumenta la velocidad y efectividad con la que los delincuentes prueban combinaciones de usuario y contraseña en varias plataformas.

La mala gestión también agrava el problema. En promedio, las empresas tardan 94 días en arreglar credenciales filtradas en lugares como GitHub. Esto da a los atacantes una oportunidad muy peligrosa para explotar la situación. Más grave aún, cerca del 46 % de los dispositivos con credenciales corporativas comprometidas no tienen monitoreo activo. Esto convierte estas brechas en puertas abiertas. Permiten el movimiento lateral, la instalación de malware o el robo de información sensible.

En conjunto, estos factores reflejan un ecosistema digital donde el acceso inicial mediante credenciales comprometidas se ha convertido en una de las rutas más efectivas, económicas y difíciles de detectar para los ciberdelincuentes.

Credenciales como moneda

En el ecosistema del cibercrimen, las credenciales filtradas se han convertido en una moneda de alto valor, comerciadas en foros clandestinos y utilizadas como punto de partida para una amplia gama de ataques. Su versatilidad las hace atractivas tanto para ciberdelincuentes experimentados como para actores con pocos recursos técnicos.

Entre los usos más comunes destacan:

• Toma de cuentas (Account Takeover – ATO): con un simple acceso, los atacantes pueden suplantar identidades, enviar campañas de phishing desde cuentas legítimas y ejecutar fraudes financieros difíciles de rastrear.
• Relleno de credenciales (credential stuffing): al reutilizar contraseñas en múltiples servicios, una sola filtración puede convertirse en un acceso en cadena a correos electrónicos, redes sociales, servicios en la nube e incluso sistemas corporativos críticos.
• Spam y automatización con bots: las cuentas comprometidas sirven para propagar desinformación, manipular tendencias o ejecutar ataques de denegación de servicio.
• Extorsión y chantaje: desde exigir pagos para no exponer información sensible hasta utilizar datos privados como palanca de presión psicológica o reputacional.

Lo más alarmante es que incluso las cuentas personales aparentemente inofensivas pueden abrir la puerta a información corporativa sensible, especialmente en un mundo hiperconectado donde los límites entre lo personal y lo laboral son cada vez más difusos.

¿Qué pueden hacer las organizaciones?

Frente al incremento acelerado de las filtraciones de credenciales, los expertos subrayan que ninguna medida aislada es suficiente. La única respuesta eficaz pasa por un enfoque integral de ciberdefensa, que combine tecnología, procesos y cultura organizacional. Entre las principales acciones destacan:

• Autenticación multifactor (MFA) y Single Sign-On (SSO): incorporar factores adicionales de verificación (biometría, tokens, apps de autenticación), reduce drásticamente las contraseñas robadas y facilita la gestión de accesos en grandes organizaciones.
• Políticas de contraseñas robustas: exigir claves únicas, complejas y renovadas periódicamente, así como limitar y bloquear intentos de inicio de sesión masivos para frenar ataques de credential stuffing.
• Monitoreo y respuesta en tiempo real: desplegar firewalls de última generación, sistemas de detección y prevención de intrusiones (IDS/IPS), y soluciones de seguridad en la nube capaces de identificar comportamientos anómalos antes de que escalen.
• Concienciación y capacitación continua: entrenar al personal en detección de correos de phishing, buenas prácticas de contraseñas y procedimientos de reporte inmediato. El factor humano sigue siendo la primera línea de defensa.
• Auditorías rápidas y sistemáticas: no esperar meses para reaccionar; revisar de inmediato las credenciales expuestas en repositorios públicos o dark web y revocar accesos comprometidos. Cada día perdido aumenta la ventana de explotación.
• Escaneo continuo: integrar herramientas de inteligencia de amenazas que permitan detectar credenciales filtradas, patrones de ataque emergentes y posibles fugas antes de que sean utilizadas en campañas dirigidas.

En síntesis, las organizaciones deben dejar atrás la idea de que “las contraseñas seguras” son suficientes. Solo un marco de seguridad multicapa y proactivo puede garantizar la resiliencia frente a un cibercrimen cada vez más sofisticado y persistente.

Recomendaciones para usuarios

La seguridad digital empieza en cada individuo. Ante el crecimiento sin precedentes de filtraciones de credenciales, los usuarios deben adoptar medidas inmediatas y sostenidas para reducir su exposición:

• Cambia tus contraseñas: Utiliza contraseñas únicas, largas y complejas para cada servicio, evitando la reutilización entre cuentas personales y laborales.
• Activa la verificación en dos pasos (2FA/MFA): ya sea mediante aplicaciones de autenticación, SMS o llaves físicas, este segundo factor convierte una contraseña robada en inútil para la mayoría de los atacantes. Cuando sea posible, migra hacia passkeys, que eliminan la dependencia de contraseñas tradicionales.
• Usa gestores de contraseñas: facilitan la creación y almacenamiento seguro de claves fuertes, además de detectar cuando una credencial ha sido expuesta en brechas conocidas.
• Comprueba si has sido víctima: recurre a herramientas para verificar si tu correo electrónico o cuentas aparecen en bases de datos filtradas.
• Revisa tus sesiones y tokens activos: cierra accesos en dispositivos desconocidos o sospechosos y mantén bajo control las cuentas conectadas a terceros que ya no utilices.
• Mantente alerta ante señales de abuso: correos extraños, accesos desde ubicaciones inusuales o notificaciones de restablecimiento no solicitadas deben tratarse como alertas críticas.

En un entorno donde las credenciales robadas se han convertido en moneda de cambio del cibercrimen, la prevención personal es tan importante como la seguridad corporativa. Cada acción individual contribuye a reducir la superficie de ataque global.

Ventaja competitiva

En el actual panorama de ciberamenazas, la verdadera ventaja competitiva no reside en la prevención absoluta, sino en la capacidad de detección temprana y respuesta ágil. Identificar credenciales comprometidas antes de que sean explotadas es lo que marca la diferencia entre un incidente controlado y una brecha devastadora. El descubrimiento proactivo supera con creces al análisis forense tardío, que solo llega cuando el daño ya está hecho.

Mitigación en capas

La defensa efectiva contra el robo y uso indebido de credenciales requiere un enfoque multicapa, donde cada control aporta una barrera adicional frente a los atacantes:

• Políticas de contraseñas seguras: fomentar el uso de claves únicas, robustas y gestionadas mediante herramientas seguras.
• SSO y MFA como doble escudo: el Single Sign-On facilita la gestión de accesos. La autenticación multifactor añade una segunda barrera importante contra accesos no autorizados.
• Limitación de intentos de acceso: controles de bloqueo ante múltiples intentos fallidos reducen la efectividad de ataques automatizados (credential stuffing o fuerza bruta).
• Principio de privilegio mínimo (PoLP): cada usuario solo debe tener acceso a los recursos imprescindibles, limitando el daño en caso de una cuenta comprometida.
• Capacitación continua en phishing: entrenar a los usuarios en la detección de correos y enlaces maliciosos refuerza la primera línea de defensa.
• Monitoreo en tiempo real de foros y mercados clandestinos: La vigilancia en la dark web es importante. Ayuda a encontrar credenciales filtradas. Esto se hace antes de que se usen mucho.

En definitiva, ningún control aislado es suficiente. La seguridad real surge de la combinación de múltiples defensas y, sobre todo, de la capacidad de detección inteligente y proactiva que permite adelantarse a los atacantes.

Conclusión

El 2025 ha sido un año clave en la ciberseguridad. El robo de credenciales es ahora el ataque más común y peligroso. Esto se debe a la automatización, el Malware-as-a-Service y el uso de IA en el phishing.

Este escenario demuestra que las contraseñas, por sí solas, ya no son una garantía de seguridad. Tanto las empresas como los usuarios deben adoptar un enfoque de defensa en profundidad, que combine la autenticación multifactor, la gestión proactiva de accesos, la segmentación de privilegios y el monitoreo continuo.

Las filtraciones de credenciales no son hechos aislados, sino la evidencia de un ecosistema digital vulnerable. La única respuesta efectiva es pasar de la reacción tardía a la prevención proactiva, fortaleciendo la resiliencia frente a un cibercrimen cada vez más sofisticado.