El robo de credenciales explicado: técnicas, detección y defensa empresarial

Información clave

El robo de credenciales es la principal vía de acceso a las brechas de seguridad. Las credenciales robadas provocaron el 22 % de todas las brechas en 2025 (Verizon DBIR), y el número de cuentas comprometidas se disparó un 389 % con respecto al año anterior.
La cadena de suministro de programas de robo de datos está industrializada. Los atacantes obtuvieron 1.800 millones de credenciales solo en el primer semestre de 2025, lo que supone un aumento del 800 %, mientras que en una recopilación sin precedentes de la dark web aparecieron 16.000 millones de credenciales.
La autenticación de dos factores (MFA) tradicional ya no es suficiente. La campaña de SSO de ShinyHunters (enero de 2026) burló en tiempo real la autenticación de dos factores basada en notificaciones push. Solo la autenticación de dos factores phishing(FIDO2/claves de acceso) ofrece una protección sólida.
Las filtraciones relacionadas con credenciales tienen un coste medio de 4,8 millones de dólares y se tarda aproximadamente 292 días en detectarlas y contenerlas, por lo que la detección temprana es fundamental.
La defensa requiere una observabilidad unificada. Una protección eficaz contra el robo de credenciales combina el análisis de comportamiento, la detección y respuesta ante amenazas de identidad (ITDR), zero trust y la supervisión continua de las credenciales en la red, la identidad y cloud.

El robo de credenciales se está acelerando a un ritmo superior al que pueden seguir la mayoría de los equipos de seguridad. Según el informe DBIR 2025 de Verizon, las credenciales robadas fueron el origen del 22 % de todas las violaciones de seguridad confirmadas —la cifra más alta de cualquier vector de ataque concreto—, mientras que el informe de respuesta a incidentes de Unit 42 de 2026 reveló que las vulnerabilidades de identidad desempeñaron un papel fundamental en el 90 % de las investigaciones. Esta guía desglosa el ciclo de vida del robo de credenciales, desde la adquisición inicial hasta su explotación, y traza un mapa completo MITRE ATT&CK y ofrece las estrategias de detección y prevención que las empresas necesitan para defenderse de los ataques basados en credenciales en 2026 y más allá.

¿Qué es el robo de credenciales?

El robo de credenciales consiste en la obtención no autorizada de datos de autenticación —nombres de usuario, contraseñas, tokens, cookies de sesión, claves API y certificados— que se utilizan para suplantar a usuarios legítimos y obtener acceso no autorizado a sistemas, aplicaciones y datos. A diferencia de los ataques de fuerza bruta, que adivinan las credenciales, el robo de credenciales se centra en credenciales válidas ya existentes mediante phishing, malware, ingeniería social o el aprovechamiento de un almacenamiento inseguro de credenciales.

El robo de credenciales es importante porque proporciona a los atacantes las claves necesarias para moverse por los entornos como usuarios internos de confianza. El informe DBIR 2025 de Verizon confirmó que las credenciales robadas fueron el origen del 22 % de todas las brechas en 12 195 incidentes confirmados, más que cualquier otro vector de acceso inicial. El informe TRU 2025 de eSentire documentó un aumento interanual del 389 % en el compromiso de cuentas, siendo las credenciales válidas las responsables del 55 % de todos los incidentes de seguridad observados. Y el informe de respuesta a incidentes de Unit 42 de 2026 reveló que las vulnerabilidades de identidad —muchas de ellas derivadas de credenciales robadas o comprometidas— desempeñaron un papel fundamental en el 90 % de las investigaciones, con el 65 % de los accesos iniciales impulsados específicamente por técnicas de ciberataque basadas en la identidad.

Estas cifras reflejan un cambio fundamental. Los atacantes optan cada vez más por iniciar sesión en lugar de forzar el acceso, lo que convierte el robo de credenciales en la vía preferida para las filtraciones de datos, el despliegue de ransomware y el compromiso de la cadena de suministro.

Robo de credenciales frente al relleno de credenciales

Comprender la diferencia entre términos relacionados es fundamental para elaborar modelos de amenazas precisos.

Tabla: Robo de credenciales frente a relleno de credenciales frente a recolección de credenciales.

Término	Definición	Diferencia clave
Robo de credenciales	La categoría general que abarca todos los métodos para sustraer datos de autenticación (contraseñas, tokens, cookies, claves)	Término genérico que abarca todo el ciclo de vida de un ataque
Relleno de credenciales	Una técnica específica (`T1110.004`) que utiliza combinaciones de nombre de usuario y contraseña filtradas anteriormente para intentar iniciar sesión en otros servicios	Aprovecha la reutilización de contraseñas; requiere una filtración previa
Recogida de credenciales	La fase de recopilación del robo de credenciales, en la que los atacantes recogen datos de autenticación a gran escala mediante phishing, programas de robo de información o scraping	Se centra en la fase de adquisición, no en la explotación

Dado que el 51 % de las contraseñas se reutilizan en distintos servicios (Verizon DBIR 2025), el «credential stuffing» sigue siendo muy eficaz, aunque no es más que una técnica dentro del panorama más amplio del robo de credenciales.

Cómo funciona el robo de credenciales

El robo de credenciales en la actualidad funciona como una cadena de suministro industrializada que consta de cuatro fases diferenciadas. Comprender cada una de estas fases ayuda a los equipos de seguridad a implementar controles de detección en cada etapa.

Obtención. Los atacantes obtienen credenciales mediante phishing , malware de robo de información, ingeniería social o el aprovechamiento de almacenes de credenciales expuestos. Las plataformas Phishing(PhaaS) —disponibles por entre 200 y 300 dólares al mes— provocaron el 63 % de las violaciones de cuentas en 2025, utilizando técnicas de «adversario en el medio» (AitM) para eludir la autenticación multifactorial (MFA) y robar tokens de sesión (eSentire 2025).
Recopilación. Las credenciales robadas se recopilan a partir de almacenes de credenciales, volcados de memoria del sistema operativo, almacenes de contraseñas de los navegadores e interceptaciones de red. malware de robo de información malware 1.800 millones de credenciales en el primer semestre de 2025, lo que supone un aumento del 800 %, en 5,8 millones de hosts comprometidos (análisis de Flashpoint sobre el malware de robo de información de 2025).
Validación. Los atacantes utilizan herramientas automatizadas para probar a gran escala las credenciales obtenidas en los servicios objetivo. Las herramientas de verificación de credenciales validan rápidamente los pares robados, separando las cuentas activas de las credenciales caducadas.
Aprovechamiento. Las credenciales validadas permiten el acceso a las cuentas, el movimiento lateral, la escalada de privilegios, la exfiltración de datos y la instalación de ransomware. El 25 % de las intrusiones más rápidas alcanzaron la exfiltración de datos en tan solo 72 minutos en 2025 —frente a los 285 minutos de 2024—, mientras que el tiempo medio de escape de los delitos electrónicos se redujo a 29 minutos (Informe sobre amenazas globales de CrowdStrike 2026).

*El ciclo de vida del robo de credenciales, desde la obtención inicial hasta su uso malintencionado.*

El mercado de credenciales de la dark web amplifica cada fase. Una filtración sin precedentes ocurrida en febrero de 2026 dejó al descubierto 16 000 millones de credenciales recopiladas en la dark web, y el informe DBIR 2025 de Verizon reveló que solo el 49 % de las contraseñas de un usuario medio en todos los servicios eran únicas, lo que significa que la reutilización del 51 % de las contraseñas alimenta el «credential stuffing» a gran escala.

Tipos de ataques de robo de credenciales

Los atacantes utilizan una amplia gama de técnicas de robo de credenciales, muchas de las cuales están catalogadas oficialmente en MITRE ATT&CK TA0006 (Acceso mediante credenciales) MITRE ATT&CK MITRE ATT&CK . El MITRE ATT&CK recoge 17 técnicas con más de 50 subtécnicas dentro de esta táctica. A continuación se enumeran las categorías principales.

Venta masiva de credenciales (T1003). Los atacantes extraen las credenciales directamente de la memoria del sistema operativo, de la base de datos de Active Directory o de la replicación del controlador de dominio. Entre las técnicas utilizadas se encuentra la extracción de memoria LSASS (T1003.001), acceso a archivos NTDS (T1003.003), y los ataques DCSync (T1003.006). Herramientas como Mimikatz suelen asociarse con la extracción de credenciales en situaciones posteriores a una intrusión.

Ataques de fuerza bruta (T1110). Ataques de «password spraying» (T1110.003) prueba contraseñas comunes en muchas cuentas para evitar bloqueos, mientras que el «credential stuffing» (T1110.004) aprovecha los pares que ya han sido vulnerados para atacar nuevos servicios.

Robo de credenciales de los almacenes de contraseñas (T1555). Los atacantes se centran en las credenciales almacenadas en el navegador (T1555.003) y gestores de contraseñas (T1555.005). Según el Informe Picus Red 2026, T1555 (Las credenciales procedentes de almacenes de contraseñas) aparecieron en el 23,49 % de todos los ataques analizados, lo que las convierte en una de las técnicas de robo de credenciales más frecuentes.

phishing de credenciales. Los ataques phishing spear phishing utilizan páginas de inicio de sesión falsas, el secuestro de cuentas de correo electrónico corporativo y phishing por voz phishing engañar a los usuarios y que revelen sus credenciales. Las plataformas PhaaS han industrializado este vector.

Kerberoasting (T1558.003). Los atacantes solicitan tickets del servicio Kerberos para cuentas de servicio y los descifran fuera de línea para recuperar las contraseñas en texto plano, lo que les permite escalada de privilegios.

Interceptación de redes (T1557). Ataques de tipo «man-in-the-middle», incluido el envenenamiento de LLMNR/NBT-NS (T1557.001), interceptar el tráfico de autenticación en la red para capturar las credenciales mientras se transmiten.

Credenciales no seguras (T1552). Credenciales almacenadas en archivos de texto sin cifrar (T1552.001) o a través de las API de metadatos cloud (T1552.005) son recopilados directamente por los atacantes que tienen acceso al sistema.

Evasión del AMF (T1556.006, T1621). Los atacantes modifican los procesos de autenticación o se aprovechan del cansancio que provoca la autenticación multifactorial (MFA) mediante el envío repetido de notificaciones push para eludir las protecciones multifactoriales.

Mapeo de acceso a MITRE ATT&CK

En la siguiente tabla se relacionan las principales técnicas de acceso MITRE ATT&CK con sus métodos de ataque y sus estrategias de detección.

Tabla: Técnicas de acceso MITRE ATT&CK (TA0006) asignadas a métodos de detección.

Técnica ID	Nombre de la técnica	Método de ataque	Enfoque de detección
`T1003.001`	Extracción de credenciales del sistema operativo: memoria de LSASS	Extraer credenciales de la memoria del proceso LSASS de Windows	Supervisa el acceso a LSASS por parte de procesos no estándar
`T1003.003`	Extracción de credenciales del sistema operativo: NTDS	Acceder al archivo de la base de datos del dominio de Active Directory	Detectar el uso de ntdsutil.exe y la creación de instantáneas de volumen
`T1003.006`	Extracción de credenciales del sistema operativo: DCSync	Abuso del protocolo de replicación del controlador de dominio	Supervisa las solicitudes de replicación inusuales procedentes de hosts que no sean controladores de dominio
`T1110.003`	Fuerza bruta: ataque de «password spraying»	Comprueba si las contraseñas más comunes se utilizan en muchas cuentas	Aviso sobre fallos de autenticación distribuidos entre cuentas
`T1110.004`	Fuerza bruta: Credential Stuffing	Utilizar pares de credenciales filtradas en nuevos servicios	Detectar intentos de inicio de sesión masivos procedentes de fuentes inusuales
`T1555.003`	Datos de acceso de los almacenes de contraseñas: navegadores web	Extraer las credenciales almacenadas en el navegador	Supervisar el acceso a los archivos de las bases de datos de credenciales del navegador
`T1555.005`	Datos de acceso de los almacenes de contraseñas: gestores de contraseñas	Almacenes de credenciales de terceros	Detectar accesos no autorizados a los archivos del almacén de contraseñas
`T1056.001`	Captura de entradas: registro de teclas	Graba las pulsaciones del teclado para capturar las credenciales tal y como se teclean	Supervisa los indicadores de procesos de keyloggers y los enlaces a la API
`T1557.001`	Adversario en el medio: envenenamiento LLMNR/NBT-NS	Resolución de nombres falsa para la interceptación de credenciales	Supervisar las respuestas LLMNR/NBT-NS procedentes de hosts inesperados
`T1558.003`	Robar o falsificar tickets de Kerberos: Kerberoasting	Solicitar y descifrar tickets del servicio Kerberos sin conexión	Aviso sobre un volumen elevado de solicitudes de tickets del servicio Kerberos
`T1558.001`	Robar o falsificar tickets de Kerberos: el «ticket dorado»	Falsificar TGT utilizando el hash robado del KRBTGT	Detectar anomalías en el TGT y autenticaciones de dominio inusuales
`T1539`	Robar la cookie de sesión web	Obtener cookies de sesión para el acceso autenticado	Supervisar la reutilización de tokens de sesión desde nuevas ubicaciones
`T1528`	Robar el token de acceso de la aplicación	Obtener tokens OAuth o API para acceder al servicio	Realizar un seguimiento de los patrones de concesión de OAuth y de las anomalías en el uso de tokens
`T1552.001`	Credenciales sin proteger: credenciales en archivos	Buscar credenciales en texto sin cifrar en archivos y scripts	Analizar los repositorios en busca de secretos; notificar el acceso a los archivos de credenciales
`T1552.005`	Credenciales no protegidas: API de metadatos de Cloud	Consultar los puntos de acceso cloud para obtener las credenciales	Supervisar los patrones de acceso a la API de metadatos desde las cargas de trabajo
`T1556.006`	Modificar el proceso de autenticación: MFA	Desactivar o modificar los mecanismos de autenticación multifactorial	Detectar cambios en la configuración de la autenticación multifactorial (MFA) y modificaciones en las políticas
`T1621`	Generación de solicitudes de MFA	Evitar la autenticación de dos factores debido al cansancio por las notificaciones push	Aviso sobre solicitudes repetidas de autenticación multifactorial (MFA) en un breve intervalo de tiempo
`T1606.002`	Crear credenciales web: tokens SAML	Generar tokens SAML para el acceso federado	Supervisar las anomalías en las aserciones SAML y los cambios en la firma

El informe Picus Red Report 2026 también señaló una caída del 38 % en el uso de ransomware, lo que indica una tendencia generalizada hacia la «residencia silenciosa» basada en credenciales, en la que los atacantes utilizan credenciales robadas para mantener un acceso persistente y sigiloso, en lugar de utilizar malware.

Nuevas formas de robo de credenciales

El panorama del robo de credenciales está evolucionando rápidamente más allá del robo tradicional de contraseñas. Existen varios vectores que los competidores pasan por alto sistemáticamente y que suponen un riesgo cada vez mayor para las empresas.

Robo de tokens y sesiones (T1539, T1528). El robo de credenciales en la actualidad se centra cada vez más en los tokens de autenticación y las cookies de sesión, en lugar de en las contraseñas. El robo de cookies de sesión elude por completo la autenticación multifactorial (MFA), ya que el atacante se hace cargo de una sesión que ya está autenticada. El uso indebido de tokens OAuth otorga un acceso persistente a las API que perdura incluso tras el restablecimiento de la contraseña. Este vector de ataque está en aumento a medida que las organizaciones adoptan arquitecturas cloud y con un uso intensivo de SaaS.

malware de robo de información. Los programas de robo de información se están extendiendo de Windows a macOS, y los investigadores de Microsoft han documentado variantes multiplataforma como DigitStealer, MacSync y AMOS, que utilizan la ejecución sin archivos y la automatización mediante AppleScript. Nuevos métodos de distribución, como ClickFix (trampas de CAPTCHA falsas), están eludiendo los controles de seguridad tradicionales del correo electrónico.

Robo de credenciales impulsado por la IA. El Índice de Amenazas IBM X-Force 2026 reveló la aparición de más de 300 000 credenciales de ChatGPT en la dark web y un aumento general de los ataques del 44 %. Las credenciales robadas se están utilizando para convertir en armas los sistemas de IA agentiva —lo que SecurityWeek describe como el «problema del radio de impacto»—, en los que las credenciales comprometidas otorgan acceso no solo a cuentas individuales, sino a flujos de trabajo automatizados completos. La seguridad de la IA agentiva se está convirtiendo en una preocupación crítica, ya que los agentes de IA heredan los permisos de sus cuentas de servicio.

Ataques dirigidos aCloud . El robo de credenciales es la principal técnica utilizada contra la infraestructura cloud ; según Thales, afecta al 67 % de las organizaciones. El informe de Unit 42 de 2026 reveló que el 99 % de cloud , roles y servicios cloud contaban con permisos excesivos —incluido el acceso no utilizado durante 60 días o más—, lo que crea una amplia superficie de ataque para cloud robadas cloud .

El robo de credenciales en la práctica

Las filtraciones reales ponen de manifiesto cómo se desarrolla el robo de credenciales, desde el acceso inicial hasta sus consecuencias catastróficas. Estos casos prácticos comparten un patrón común: una sola credencial robada, la ausencia de autenticación multifactorial (MFA) o la posibilidad de eludirla, y consecuencias masivas a largo plazo.

Fuga de datos de Snowflake (2024). El actor malicioso UNC5537 utilizó credenciales robadas mediante malware de robo de información malware algunas de las cuales se remontaban a 2020 malware para acceder a aproximadamente 160 instancias de clientes de Snowflake, entre los que se encontraban AT&T, Ticketmaster y Santander Bank. Ninguna de las cuentas afectadas tenía habilitada la autenticación multifactorial (MFA), lo que permitió la autenticación de un solo factor con credenciales robadas hace años. La cadena de ataque pasó de la infección por el malware de robo de información a la recolección de credenciales, la venta en la dark web, la apropiación de cuentas y la exfiltración de datos en 160 organizaciones. (AnálisisCloud Alliance; análisis de Google/Mandiant sobre UNC5537)

Diagrama: Cadena de ataque de la filtración de Snowflake, que muestra la progresión desde la infección por un programa de robo de información (2020), pasando por la recopilación de credenciales, la venta en la dark web, el acceso a cuentas sin autenticación multifactorial (MFA) y la exfiltración de datos en 160 instancias, hasta el impacto posterior en AT&T, Ticketmaster y Santander. Pie de foto: «Cadena de ataque de la filtración de Snowflake: cómo las credenciales robadas años atrás permitieron una filtración masiva en la cadena de suministro».

Fallo de seguridad en PowerSchool (enero de 2025). Un único conjunto de credenciales comprometidas —sin protección de autenticación multifactorial (MFA)— permitió a un atacante acceder al portal de atención al cliente de PowerSchool, lo que acabó comprometiendo los datos personales de aproximadamente 62 millones de alumnos y profesores de 18 000 centros educativos, incluidos los números de la Seguridad Social y la información médica. (Análisis de TechTarget sobre PowerSchool)

Campaña de SSO de ShinyHunters (enero de 2026). El grupo de amenazas ShinyHunters (identificado como UNC6661) atacó a unas 100 organizaciones utilizandophishing avanzadasphishing para robar credenciales de SSO de Okta e inscribir dispositivos controlados por los atacantes en la autenticación multifactorial (MFA) de las víctimas. Entre los objetivos se encontraban Atlassian, Canva, Epic Games, HubSpot, Harvard y la Universidad de Pensilvania. Los atacantes utilizaron un panel web en tiempo real para manipular dinámicamente phishing mientras hablaban por teléfono con las víctimas, lo que demuestra que la autenticación multifactorial (MFA) tradicional basada en notificaciones push ya no es suficiente. (Campaña SSO de ShinyHunters; análisis de ShinyHunters realizado por Google/Mandiant)

Colonial Pipeline (2021). Los atacantes utilizaron un único conjunto de credenciales de VPN robadas de una cuenta antigua que carecía de autenticación multifactorial (MFA) para acceder a la red de Colonial Pipeline, donde desplegaron el ransomware DarkSide, lo que provocó la interrupción del suministro de combustible en toda la costa este de Estados Unidos durante seis días. Este caso demuestra que las cuentas inactivas con credenciales válidas constituyen una superficie de ataque crítica.

El patrón común a los cuatro incidentes es evidente: el robo de credenciales, junto con la ausencia o la posibilidad de eludir la autenticación multifactorial (MFA) y la existencia de credenciales inactivas y sin gestionar, crea puntos únicos de fallo que facilitan el movimiento lateral, la amplificación a través de la cadena de suministro y filtraciones de datos catastróficas.

Repercusiones empresariales y coste del robo de credenciales

Las filtraciones relacionadas con las credenciales acarrean costes financieros y operativos cuantificables que justifican la inversión en la detección y prevención del robo de credenciales.

Tabla: Impacto cuantificado en las empresas del robo de credenciales en 2025-2026.

Métrica	Valor	Fuente	Año
Coste medio por incidente relacionado con credenciales	4.8 millones	Informe de IBM sobre el coste de una filtración de datos en 2025	2025
Tiempo medio de identificación y contención	292 días	Informe de IBM sobre el coste de una filtración de datos en 2025	2025
Víctimas de ransomware cuyas credenciales se habían filtrado previamente	54%	Informe anual sobre incidentes de seguridad de Verizon 2025	2025
Registros de un programa de robo de información empresarial que revelan credenciales corporativas	2,05 millones	Estudio sobre bengalas 2026	2026
Aumento de las operaciones de los adversarios basadas en la inteligencia artificial	89 % interanual	Informe sobre amenazas globales de CrowdStrike 2026	2026

El informe de Flare Research de 2026 también reveló que la exposición de identidades corporativas se duplicó con creces, pasando del 6 % de las infecciones por programas de robo de información a principios de 2024 a casi el 14 % a finales de 2025. La relación entre el robo de credenciales y el ransomware es directa: el 54 % de las víctimas de ransomware tenían credenciales expuestas previamente en registros de programas de robo de información, y el 40 % de ellas contenían direcciones de correo electrónico corporativas (Verizon DBIR 2025).

Estas métricas de ciberseguridad ponen de relieve un problema fundamental: los ataques basados en credenciales son los más costosos y los que más tardan en detectarse, lo que da a los atacantes casi 10 meses de tiempo de permanencia antes de que las organizaciones identifiquen y contengan la brecha de seguridad.

Detección y prevención del robo de credenciales

Una defensa eficaz contra el robo de credenciales requiere controles de detección y prevención en varias capas. El objetivo es reducir tanto la probabilidad de que se comprometan las credenciales como el tiempo de permanencia del atacante tras el compromiso.

Métodos de detección

Análisis de comportamiento. Supervise los patrones de autenticación anómalos, incluidos los desplazamientos imposibles (inicios de sesión desde ubicaciones geográficamente distantes en plazos de tiempo imposibles), horarios de inicio de sesión inusuales, acceso anómalo a recursos y escaladas de privilegios sospechosas. La detección de comportamientos detecta el uso indebido de credenciales que elude las reglas estáticas y las herramientas basadas en firmas.

Detección y respuesta ante amenazas de identidad (ITDR). Las plataformas ITDR detectan el uso indebido de credenciales en la capa de identidad, supervisando en tiempo real las anomalías en las sesiones, el uso indebido de protocolos de autenticación, la escalada de privilegios y el movimiento lateral basado en la identidad. ITDR se integra con SIEM y SOAR para automatizar los guiones de respuesta cuando surgen indicadores de robo de credenciales.

Detección y respuesta en la red (NDR). El análisis del tráfico de red detecta la sustracción de credenciales, las comunicaciones de comando y control y los movimientos laterales mediante credenciales robadas, lo que proporciona visibilidad incluso cuando los agentes de los puntos finales están comprometidos o ausentes.

Honeytokens y credenciales de prueba. Implemente credenciales de señuelo en todo el entorno. Cuando un atacante intenta utilizar un honeytoken, se genera una alerta de alta fiabilidad que confirma que se está produciendo un robo de credenciales.

Medidas de prevención

Las organizaciones deben implementar los siguientes controles para prevenir el robo de credenciales. Cada medida aborda una fase concreta del ciclo de vida del robo de credenciales.

Implementa la autenticación multifactorial (MFA) phishing(FIDO2/claves de acceso) en todas las cuentas
Comprobar si las contraseñas figuran en bases de datos de credenciales comprometidas, según la norma NIST SP 800-63B
Implementa la gestión del acceso privilegiado con un aprovisionamiento justo a tiempo
Adoptar zero trust con verificación continua según la norma NIST SP 800-207
Supervisar la dark web para detectar posibles filtraciones de credenciales de la organización
Desactivar las cuentas inactivas y aplicar la gestión del ciclo de vida de las credenciales
Implemente gestores de contraseñas para evitar la reutilización (tasa de reutilización del 51 % según el DBIR 2025 de Verizon)
Formar a los empleados para que sepan detectar la ingeniería social y phishing por teléfono

La autenticación multifactorial (MFA) Phishing como nuevo estándar

La autenticación multifactorial tradicional —códigos SMS, notificaciones push y TOTP— es cada vez más fácil de eludir. La campaña de SSO de ShinyHunters demostró en enero de 2026 que era posible eludir la autenticación multifactorial en tiempo real mediante phishing de voz phishing el registro de dispositivos controlados por los atacantes (análisis de Google/Mandiant sobre ShinyHunters).

El NIST recomienda los autenticadores phishing —concretamente FIDO2/WebAuthn y las claves de acceso— como estándar para la autenticación fuerte. La CISA ha publicado casos de éxito de agencias federales que han implementado FIDO2, y el consenso que se está formando es claro: las organizaciones deben implementar la autenticación multifactorial (MFA) phishing, en lugar de confiar en métodos de MFA obsoletos que pueden ser burlados por las técnicas de robo de credenciales.

Robo de credenciales y cumplimiento normativo

Los controles contra el robo de credenciales se corresponden directamente con los requisitos de los principales marcos de seguridad y normas de cumplimiento. La siguiente tabla de correspondencias ayuda a los equipos de GRC a vincular las inversiones en protección de credenciales con las pruebas de auditoría.

Tabla: Medidas de control contra el robo de credenciales en relación con los principales marcos de cumplimiento.

Marco	ID de control	Importancia del robo de credenciales	Enlace a las pruebas
LCR 2.0 DEL NIST	PR.AA, DE.CM	Gestión de identidades, autenticación, supervisión continua	Marco de ciberseguridad del NIST
NIST SP 800-63B	AAL2/AAL3	Comprobación de contraseñas frente a bases de datos vulneradas; autenticación multifactorial phishing	NIST SP 800-63B
CIS Controls v8	Controles 5, 6 y 16	Gestión de cuentas, control de acceso, verificación de credenciales	Asignación de controles CIS
ISO 27001:2022	A.8.5, A.5.16, A.8.16	Autenticación segura, gestión del ciclo de vida de las identidades, supervisión	Referencia de correspondencias con la norma ISO 27001
PCI DSS v4.0	Requisito 8, Requisito 10	MFA para el acceso a los datos de los titulares de tarjetas, así como para registrar y supervisar la autenticación	Referencia a las normas PCI DSS e HIPAA
HIPAA	164.312(d), 164.308(a)(5)	Autenticación de usuarios, formación en materia de seguridad	Referencia a las normas PCI DSS e HIPAA

Tendencias futuras y consideraciones emergentes

El panorama del robo de credenciales está evolucionando rápidamente. En los próximos 12 a 24 meses, varias tendencias marcarán la forma en que las organizaciones abordan la protección y la detección de credenciales.

Ataques a credenciales impulsados por la IA. El Informe sobre amenazas globales de CrowdStrike de 2026 documentó un aumento del 89 % en las operaciones de los adversarios que utilizan la IA, y el Índice de amenazas de IBM X-Force de 2026 señaló un incremento general del 44 % en los ataques. La IA permite a los atacantes diseñar phishing más convincentes a gran escala, automatizar la validación de credenciales y acelerar la explotación tras el compromiso del sistema. La aparición del robo de credenciales de agentes de IA —con los primeros infostealers dirigidos a credenciales de agentes de IA descubiertos en febrero de 2026— indica que la superficie de ataque se está expandiendo hacia los sistemas autónomos.

Aceleración de la adopción de claves de acceso y FIDO2. Dado que la autenticación multifactorial (MFA) tradicional resulta cada vez más fácil de eludir, se acelerará la adopción por parte de las empresas de claves de acceso y tokens de hardware FIDO2. La presión normativa va en aumento: la actualización de la norma NIST SP 800-63 rev. 4 y la entrada en vigor de la Directiva NIS2 de la UE en 2026 podrían introducir nuevos requisitos de autenticación phishing.

Pasar del ransomware a la residencia silenciosa. El informe Picus Red Report 2026 documentó una caída del 38 % en el uso de ransomware, ya que los atacantes recurren cada vez más a credenciales robadas para mantener un acceso persistente y sigiloso con fines de robo de datos y espionaje, en lugar de utilizar ransomware que deja huellas. Este cambio exige una detección basada en el comportamiento que identifique patrones de uso indebido de credenciales durante largos periodos de permanencia.

Convergencia entre NDR e ITDR. Las capacidades de detección se están fusionando en cloud de red, identidad y cloud . Las organizaciones deben dar prioridad a las plataformas que correlacionen las señales de identidad (desplazamientos imposibles, escalada de privilegios, autenticaciones inusuales) con los comportamientos de red (movimiento lateral, exfiltración de datos) y cloud , con el fin de detectar el robo de credenciales en todo el entorno híbrido.

Recomendaciones de preparación. Las organizaciones deben acelerar la implantación de la autenticación multifactorial (MFA) phishing en todas las cuentas (dando prioridad a las cuentas privilegiadas y de servicio), implementar un seguimiento continuo de las credenciales para detectar su exposición en la dark web, invertir en análisis de comportamiento que detecten el uso indebido de credenciales sin depender de firmas, y establecer guías de respuesta ante incidentes relacionados con credenciales que abarquen todo el ciclo de vida del robo de credenciales.

Enfoques modernos para la defensa contra el robo de credenciales

El sector está apostando por varias capacidades de defensa contra el robo de credenciales: plataformas ITDR que detectan ataques basados en la identidad en tiempo real, análisis de comportamiento que detectan el uso indebido de credenciales sin necesidad de firmas, NDR con correlación de identidades para obtener visibilidad a nivel de red, automatización SIEM/SOAR para la respuesta ante incidentes relacionados con credenciales y zero trust que imponen una verificación continua.

Los enfoques más eficaces comparten un principio común: partir de la base de que las credenciales serán vulneradas y desarrollar capacidades de detección y respuesta que permitan identificar a los atacantes tras su acceso inicial, pero antes de que logren sus objetivos. Esto implica una observabilidad unificada que abarque la red, la identidad y cloud correlacionando las señales de estas tres capas para detectar el uso indebido real de credenciales.

Cómo Vectra AI la protección contra el robo de credenciales

Vectra AI Attack Signal Intelligence Vectra AI Attack Signal Intelligence el comportamiento de los atacantes en la red, las identidades y cloud detectar técnicas de robo de credenciales que eluden las herramientas tradicionales. La plataforma correlaciona señales basadas en identidades —movimientos imposibles, escalada de privilegios, patrones de autenticación inusuales— con comportamientos de red para identificar casos reales de uso indebido de credenciales, lo que reduce el ruido de las alertas y acelera la detección y la respuesta ante amenazas. Con 12 referencias en MITRE D3FEND (más que cualquier otro proveedor) y 35 patentes en IA para la ciberseguridad, Vectra AI la claridad de señales que los equipos de operaciones del SOC necesitan para detectar los ataques basados en credenciales antes de que se conviertan en brechas de seguridad. Descubra cómo las capacidades de ITDR y NDR Vectra AI trabajan conjuntamente para defenderse contra el robo de credenciales en entornos híbridos.

Conclusión

El robo de credenciales no es solo una técnica de ataque, sino la vía principal que utilizan los atacantes para acceder a los entornos empresariales, mantenerse en ellos y desplazarse por ellos. Teniendo en cuenta que el 22 % de todas las filtraciones se deben al robo de credenciales, que los ladrones de información han recopilado 1 800 millones de credenciales en solo seis meses y que el coste medio de una filtración asciende a 4,8 millones de dólares, la amenaza es tanto generalizada como cuantificable.

El patrón común a todas las brechas de seguridad importantes —desde Snowflake hasta PowerSchool y ShinyHunters— nos enseña una lección clara: la prevención por sí sola no basta. Las organizaciones deben partir de la base de que sus credenciales acabarán siendo comprometidas e invertir en capacidades de detección que detecten el uso indebido de credenciales en una fase temprana, antes de que los atacantes logren desplazarse lateralmente, sustraer datos o desplegar ransomware. Esto implica contar, como mínimo, con una autenticación multifactorial (MFA) phishing, análisis de comportamiento en las capas de identidad y de red, y una observabilidad unificada en todo el entorno híbrido.

Las organizaciones que consideran el robo de credenciales como un problema de detección —y no solo de prevención— son las que detectan los ataques en cuestión de minutos, en lugar de meses.

Descubre cómo Vectra AI los ataques basados en credenciales en la red, la gestión de identidades y cloud.

Preguntas frecuentes

¿Qué es el robo de credenciales?

El robo de credenciales consiste en la obtención no autorizada de datos de autenticación —como nombres de usuario, contraseñas, tokens, cookies de sesión y claves API— que se utilizan para suplantar a usuarios legítimos y obtener acceso a sistemas y datos. Se trata del vector de acceso inicial más frecuente en las brechas de seguridad de las empresas, ya que, según el informe DBIR 2025 de Verizon, será el origen del 22 % de todas las brechas en 2025. A diferencia de los ataques de fuerza bruta, que adivinan contraseñas, el robo de credenciales se centra en credenciales válidas existentes mediante técnicas como phishing, malware de robo de información, el volcado de credenciales y la ingeniería social. MITRE ATT&CK cataloga 17 técnicas bajo la táctica de acceso mediante credenciales (TA0006), lo que refleja la amplitud de los métodos que emplean los atacantes. El robo de credenciales es importante porque las credenciales robadas permiten a los atacantes actuar como personas de confianza internas, lo que hace que la detección sea significativamente más difícil que la de las intrusiones tradicionales malware.

¿Cuál es la diferencia entre el robo de credenciales y el relleno de credenciales?

El robo de credenciales es una categoría general que engloba todos los métodos de sustracción de datos de autenticación, incluidos phishing, malware, el volcado de credenciales y la ingeniería social. El relleno de credenciales es una técnica específica dentro de esta categoría, clasificada en el marco MITRE ATT&CK T1110.004 — en la que los atacantes utilizan combinaciones de nombre de usuario y contraseña obtenidas en filtraciones anteriores para intentar iniciar sesión en otros servicios, aprovechando el hecho de que los usuarios suelen reutilizar las mismas contraseñas en múltiples plataformas. El Informe anual sobre incidentes de seguridad de Verizon 2025 se descubrió que solo el 49 % de las contraseñas eran únicas en todos los servicios, lo que significa que la reutilización del 51 % restante crea una enorme superficie de ataque para el «credential stuffing». En la práctica, el robo de credenciales suele alimentar el relleno de credenciales: los ladrones de información recopilan credenciales de un entorno y los atacantes (o las herramientas automatizadas) prueban esas credenciales en cientos de otros servicios. Ambos requieren enfoques de detección diferentes: el robo de credenciales exige la supervisión de los puntos finales y de la identidad, mientras que la detección del relleno de credenciales se basa en el análisis de patrones de autenticación de gran volumen.

¿Cómo roban los hackers las credenciales?

Los atacantes roban credenciales mediante diversas técnicas documentadas en MITRE ATT&CK . Entre los métodos más habituales se incluyen phishing con páginas de inicio de sesión falsas, malware de robo de información malware recopila contraseñas y cookies de sesión almacenadas en el navegador, extracción de credenciales de la memoria del sistema operativo (como la extracción de LSASS), ataques de fuerza bruta —incluido el «password spraying»—, Kerberoasting descifrar tickets del servicio Kerberos sin conexión, la interceptación de red mediante técnicas de «adversario en el medio», el keylogging y el aprovechamiento de credenciales no seguras almacenadas en archivos de texto plano o en API cloud . En 2025-2026, la cadena de suministro del robo de credenciales se ha industrializado significativamente. malware de robo de información malware 1.800 millones de credenciales solo en la primera mitad de 2025 (Flashpoint 2025), mientras que las plataformas PhaaS, disponibles por entre 200 y 300 dólares al mes, permiten a los atacantes lanzar sofisticadas phishing de credenciales a gran escala.

¿Cómo se evita el robo de credenciales?

Para prevenir el robo de credenciales es necesaria una estrategia de defensa por capas. Implemente la autenticación multifactorial (MFA) phishing(FIDO2/claves de acceso) en todas las cuentas: el NIST y la CISA lo recomiendan como norma, ya que la MFA tradicional (SMS, notificaciones push) es cada vez más fácil de eludir. Compruebe todas las contraseñas cotejándolas con bases de datos de credenciales comprometidas, según la norma NIST SP 800-63B. Implemente una gestión del acceso privilegiado con aprovisionamiento «justo a tiempo», de modo que las credenciales solo estén activas cuando sea necesario. Adopte una zero trust con verificación continua según la norma NIST SP 800-207. Supervise la dark web para detectar si las credenciales de su organización aparecen en registros de programas de robo de información y recopilaciones de filtraciones. Desactive inmediatamente las cuentas inactivas: las filtraciones de Colonial Pipeline y Snowflake aprovecharon credenciales de cuentas inactivas o heredadas. Implemente gestores de contraseñas para eliminar la tasa de reutilización de contraseñas del 51 % documentada por el DBIR 2025 de Verizon.

¿Cuál es el coste de una filtración de credenciales?

Las filtraciones basadas en credenciales cuestan una media de 4,8 millones de dólares por incidente y se tarda aproximadamente 292 días en identificarlas y contenerlas, según el informe «Cost of a Data Breach 2025» de IBM. Esto convierte a las filtraciones basadas en credenciales en uno de los tipos de ataque más costosos y de más lenta detección. El impacto financiero va más allá de los costes directos de la filtración. El DBIR 2025 de Verizon reveló que el 54 % de las víctimas de ransomware tenían credenciales expuestas previamente en registros de infostealers, lo que significa que el robo de credenciales suele preceder a ataques aún más destructivos. Flare Research 2026 informó de que 2,05 millones de registros de infostealers expusieron credenciales empresariales en 2025, y que la exposición de identidades empresariales se duplicó con creces, pasando del 6 % a casi el 14 % de las infecciones por infostealers. El plazo de detección de 292 días significa que los atacantes disponen de casi 10 meses para explotar las credenciales robadas antes de que las organizaciones respondan.

¿Cómo se detecta el robo de credenciales?

La detección del robo de credenciales requiere múltiples capas de detección, ya que las credenciales robadas permiten a los atacantes actuar como usuarios legítimos. Entre los principales métodos de detección se incluyen el análisis de comportamiento (que supervisa desplazamientos imposibles, horas de inicio de sesión inusuales, patrones anómalos de acceso a recursos y escaladas de privilegios sospechosas), las plataformas de detección y respuesta ante amenazas de identidad (ITDR) que detectan el uso indebido de credenciales y anomalías en las sesiones en la capa de identidad, la detección y respuesta de red (NDR) que identifica el movimiento lateral y la exfiltración de datos mediante credenciales robadas, honeytokens y credenciales canario que generan alertas de alta fidelidad cuando se utilizan, y reglas de correlación SIEM que señalan anomalías de autenticación en múltiples sistemas. El informe de Unit 42 de 2026 reveló que el 25 % de las intrusiones más rápidas alcanzaron la exfiltración de datos en tan solo 72 minutos, lo que subraya la necesidad de una detección en tiempo real capaz de responder en cuestión de minutos, no de horas. Una detección eficaz del robo de credenciales requiere una observabilidad unificada en cloud de red, de identidad y cloud .

¿Qué es la recopilación de credenciales?

La recopilación de credenciales es la fase de recogida de datos de autenticación en la que los atacantes recopilan información a gran escala. Entre las técnicas habituales de recopilación se incluyen phishing (en las que se envían páginas de inicio de sesión falsas para capturar nombres de usuario y contraseñas), malware de robo de información malware que extrae credenciales almacenadas en navegadores, gestores de contraseñas y configuraciones de aplicaciones), el rastreo web de bases de datos expuestas y repositorios de código, y las técnicas de «adversario en el medio», que interceptan las credenciales durante el proceso de autenticación. La recolección de credenciales se distingue de la explotación de credenciales: la recolección se centra en recopilar las credenciales, mientras que la explotación implica utilizar esas credenciales para obtener acceso no autorizado. La magnitud de la recolección moderna es asombrosa: Flashpoint informó de que malware de robo de información malware 1.800 millones de credenciales en la primera mitad de 2025, lo que supone un aumento del 800 % con respecto a los seis meses anteriores, en 5,8 millones de hosts comprometidos. Las credenciales recolectadas se venden a menudo en mercados de la dark web, creando una economía autosuficiente que alimenta ataques posteriores de relleno de credenciales, apropiación de cuentas y movimiento lateral.