Cómo los programas de robo de información sustraen credenciales y evaden la detección

En una era en la que las identidades digitales son la llave de nuestro reino, una epidemia silenciosa se extiende por el panorama cibernético. Los infostealers, malware sofisticado malware para recopilar credenciales, han robado 1800 millones de credenciales de 5,8 millones de dispositivos solo en 2025, lo que supone un aumento del 800 % con respecto a años anteriores. Esta asombrosa magnitud del robo de credenciales es ahora la causa del 86 % de todas las violaciones de seguridad, lo que cambia radicalmente la forma en que las organizaciones deben abordar la seguridad.

La gravedad de esta amenaza se hizo innegable en octubre de 2025, cuando 183 millones de credenciales de Gmail inundaron los mercados clandestinos, vendiéndose por tan solo 10 dólares por cuenta. Aunque no se trataba de una brecha en los sistemas de Google, esta filtración masiva demostró cómo las infecciones de los puntos finales se traducen en desastres de seguridad a escala empresarial. Para los profesionales de la seguridad que defienden entornos cada vez más complejos, comprender los infostealers no es opcional, sino esencial para la supervivencia de la organización.

¿Qué son los infostealers?

Los infostealers son una categoría especializada de malware para extraer silenciosamente información confidencial de los sistemas infectados, centrándose especialmente en credenciales de autenticación, tokens de sesión y datos personales. Estos programas maliciosos operan de forma sigilosa en segundo plano, recopilando contraseñas almacenadas en navegadores, claves de monederos de criptomonedas, información del sistema y cookies de sesión activas que eluden la autenticación multifactorial. A diferencia del ransomware, que anuncia su presencia mediante el cifrado, los infostealers permanecen ocultos mientras saquean sistemáticamente las identidades digitales.

La sofisticación de los modernos ladrones de información va mucho más allá del simple robo de contraseñas. Estas herramientas extraen perfiles digitales completos que incluyen historiales de navegación, datos de autocompletar, capturas de pantalla y configuraciones del sistema. Operando bajo un modelo Malware(MaaS), los delincuentes pueden alquilar el acceso a plataformas avanzadas de infostealers por tan solo 200 dólares al mes, lo que elimina las barreras técnicas de entrada. Esta democratización de las herramientas de ciberdelincuencia ha transformado el robo de credenciales de una habilidad especializada a un servicio básico.

El modelo de negocio que hay detrás de los ladrones de información revela por qué se han convertido en el arma preferida de los ciberdelincuentes. Las credenciales robadas circulan por una sofisticada economía sumergida en la que los Initial Access Brokers (IAB) compran, empaquetan y revenden el acceso a cuentas comprometidas. Una sola credencial corporativa puede alcanzar un valor de miles de dólares cuando proporciona acceso a redes valiosas. Este incentivo económico impulsa la innovación continua en técnicas de evasión y estrategias de selección de objetivos.

La magnitud de la amenaza de los ladrones de información

Las cifras ofrecen un panorama preocupante sobre la proliferación de los infostealers. Solo en el primer semestre de 2025 se robaron 1.800 millones de credenciales, lo que supone un aumento del 800 % con respecto a los seis meses anteriores, mientras que en todo el año 2024 se robaron 3.200 millones, de los cuales el 75 % se sustrajo mediante infostealers (IBM X-Force, 2024). Actualmente, una violación de seguridad cuesta a las organizaciones una media de 4,44 millones de dólares a nivel mundial, llegando a los 10,22 millones de dólares en Estados Unidos. El análisis geográfico muestra una concentración de infecciones en la India (10 %) y Brasil (8 %), aunque ninguna región se libra de ellas.

Las fuerzas del orden han puesto en marcha su respuesta coordinada más agresiva hasta la fecha: la Operación Endgame desmanteló la infraestructura principal de un programa de robo de información en 2024, seguida de la Operación Secure de la INTERPOL en 2025, que desactivó 20 000 direcciones IP y dominios maliciosos, incautó 41 servidores, detuvo a 32 sospechosos y notificó a 216 000 víctimas. Sin embargo, a los pocos días de cada acción, surgieron nuevas infraestructuras, lo que confirma que las desarticulaciones crean fricción, pero no pueden superar a un ecosistema basado en la descentralización y la rápida reconstitución.

Las organizaciones que implementan soluciones de detección y respuesta ante amenazas de identidad (ITDR) señalan una mejora significativa en las tasas de detección, aunque el lapso entre la infección y su detección sigue siendo, de media, de cuatro días.

Cómo funcionan los infostealers

Comprender los mecanismos técnicos de los infostealers revela por qué las medidas de seguridad tradicionales suelen fallar. Estas sofisticadas herramientas emplean múltiples métodos de extracción, técnicas avanzadas de evasión y una infraestructura de comando y control resistente para mantener un acceso persistente a los flujos de datos de las víctimas.

La cadena de infección suele comenzar con ingeniería social, aprovechando la psicología humana en lugar de vulnerabilidades técnicas. Phishing que envían archivos adjuntos maliciosos siguen siendo el vector principal, aunque la publicidad maliciosa y las descargas de software comprometido han aumentado un 700 % gracias a iniciativas como la campaña ClickFix. Una vez ejecutados, los infostealers comienzan inmediatamente a recopilar las credenciales almacenadas en los navegadores, clientes de correo electrónico y gestores de contraseñas, al tiempo que establecen comunicación con la infraestructura del atacante.

Los infostealers modernos emplean sofisticadas técnicas de evasión que les permiten eludir los controles de seguridad. Utilizan el proceso de «hollowing» para ocultarse dentro de aplicaciones legítimas, emplean trucos anti-análisis para detectar máquinas virtuales y aprovechan técnicas sin archivos que operan íntegramente en la memoria. El protocolo de comando y control basado en JSON de StealC V2 ejemplifica esta evolución, ajustando dinámicamente su comportamiento en función del entorno objetivo y manteniendo canales de comunicación cifrados resistentes a la supervisión de la red.

El proceso de extracción sigue una secuencia metódica:

1. Perfilado del sistema — Recopilación de especificaciones de hardware, software instalado y herramientas de seguridad.
2. Recopilación de datos del navegador: extracción de contraseñas guardadas, cookies y datos de autocompletar.
3. Aplicaciones dirigidas: robo de credenciales de clientes de correo electrónico y aplicaciones de mensajería.
4. Descubrimiento de carteras: búsqueda de claves de criptomonedas y frases semilla.
5. Secuestro de sesión: captura de tokens de autenticación activos
6. Empaquetado de datos: compresión de información robada en archivos cifrados.
7. Exfiltración — Transmisión de datos a servidores de comando y control.
8. Preparación del mercado: formateo de credenciales para la venta clandestina.

API de Windows que suelen ser el objetivo de los programas de robo de información

Para extraer credenciales de forma eficaz, los programas de robo de información no se cuelan en el sistema operativo, sino que utilizan la puerta principal. Recurren a las mismas API legítimas de Windows que utilizan a diario los navegadores, los gestores de contraseñas y las aplicaciones empresariales, y es precisamente por eso que su actividad se confunde con el comportamiento normal de los procesos. Los agentes de endpoint que supervisan las firmas maliciosas rara vez detectan lo que parecen llamadas rutinarias al sistema. Estos son los componentes específicos a los que se dirigen los infostealers, lo que contiene cada uno de ellos y la técnica exacta utilizada para convertir una API legítima en una herramienta de recolección de credenciales.

El ecosistema Malware(MaaS)

El modelo MaaS ha transformado los infostealers de herramientas personalizadas a productos comerciales. Por 200 dólares al mes, los delincuentes obtienen acceso a sofisticadas plataformas que incluyen malware personalizables, alojamiento a prueba de balas, gestión automatizada de campañas y paneles de estadísticas en tiempo real. Este modelo de suscripción proporciona actualizaciones continuas, lo que garantiza que malware por delante de las firmas de detección.

Los operadores de plataformas se encargan de la complejidad técnica, mientras que los «clientes» se centran en la distribución. Características como la arquitectura modular permiten a los atacantes seleccionar capacidades específicas, lo que reduce el tamaño de los archivos y los perfiles de detección. El lanzamiento de Acreed en 2025 ejemplifica esta tendencia, ya que ofrece módulos personalizables para el robo de navegadores, el robo de criptomonedas y la recopilación de credenciales corporativas. El competitivo mercado impulsa la innovación, y los proveedores compiten por añadir características como capturas de pantalla multimonitor y capacidades antianálisis mejoradas.

La eficiencia económica de las plataformas MaaS explica su crecimiento explosivo. Si comparamos el coste mensual de 200 dólares con los posibles beneficios de miles de dólares por cada cuenta corporativa comprometida, el retorno de la inversión queda claro. Esta accesibilidad ha ampliado el abanico de actores maliciosos, pasando de grupos sofisticados a delincuentes oportunistas, lo que multiplica la superficie de ataque que las organizaciones deben defender.

Métodos de distribución y vectores de infección

Las estrategias de distribución han evolucionado más allá de los archivos adjuntos tradicionales de correo electrónico. La campaña ClickFix muestra una sofisticada ingeniería social, mostrando mensajes de error falsos que incitan a los usuarios a «solucionar» problemas ejecutando comandos maliciosos de PowerShell. Estas campañas aprovechan contextos de confianza (avisos de actualización de software, notificaciones del navegador y alertas del sistema) para eludir el escepticismo de los usuarios.

Los ataques a la cadena de suministro representan un vector emergente, en el que los atacantes comprometen software legítimo para distribuir infostealers. El incidente Snowflake, en el que participaron seis cepas diferentes de infostealers, comprometió 165 entornos a través de herramientas de terceros infectadas. El envenenamiento de la optimización de motores de búsqueda (SEO) dirige el tráfico a sitios maliciosos que alojan cracks de software falsos y modificaciones de juegos, dirigidos especialmente a los grupos demográficos más jóvenes, menos conscientes de los riesgos de seguridad.

Las campañas de publicidad maliciosa compran espacios publicitarios legítimos para distribuir programas de robo de información, aprovechando plataformas de confianza para llegar a las víctimas. Estos anuncios suelen suplantar la identidad de programas populares, lo que lleva a páginas de descarga convincentes que alojan cargas maliciosas. La segmentación geográfica y demográfica garantiza que las campañas lleguen a objetivos valiosos: profesionales de las finanzas durante la temporada de impuestos, jugadores durante los lanzamientos importantes o estudiantes durante los periodos de exámenes.

Tipos de infostealers

El panorama de los infostealers presenta diversas variantes, cada una con capacidades y perfiles de objetivos únicos. Comprender estas diferencias ayuda a los equipos de seguridad a priorizar las estrategias de detección y asignar los recursos defensivos de manera eficaz.

El mercado ha experimentado importantes perturbaciones en 2025, con operaciones policiales que han desmantelado a los actores establecidos, mientras que nuevas variantes llenan rápidamente el vacío. Esta constante evolución supone un reto para los equipos de seguridad, que deben mantener la inteligencia sobre amenazas actualizada y prepararse al mismo tiempo para las amenazas emergentes. Malware revela patrones comunes entre las variantes, aunque cada familia mantiene características distintivas que requieren enfoques de detección personalizados.

La competencia impulsa la innovación, y los desarrolladores compiten por añadir funciones que diferencien sus productos. Las actualizaciones incluyen regularmente técnicas de evasión avanzadas, aplicaciones objetivo ampliadas y métodos mejorados de exfiltración de datos. Las plataformas de inteligencia sobre amenazas realizan un seguimiento de estos avances y proporcionan a los equipos de seguridad indicadores de compromiso y patrones de comportamiento esenciales para la detección.

Lumma Stealer: líder del mercado

Lumma Stealer domina el mercado con 1200 búsquedas mensuales, lo que refleja su amplia adopción entre los ciberdelincuentes. Esta variante ha experimentado un aumento del 369 % en las detecciones, a pesar de que Microsoft y Cloudflare confiscaron 2300 dominios asociados en mayo de 2025. Su resistencia se debe a una infraestructura distribuida y a su rápida adaptación a las medidas policiales.

El análisis técnico revela las sofisticadas capacidades de Lumma, incluida la extracción avanzada de navegadores dirigida a los almacenes de contraseñas de Chrome, Firefox y Edge. El malware múltiples técnicas antianálisis, detectando máquinas virtuales y entornos sandbox para evadir el análisis automatizado. Su arquitectura modular permite a los operadores personalizar las cargas útiles, añadiendo o eliminando funciones en función de los perfiles de los objetivos. La comunicación se produce a través de canales cifrados que utilizan algoritmos de generación de dominios (DGA) que complican los esfuerzos de eliminación.

El éxito de Lumma refleja su equilibrio entre sofisticación y facilidad de uso. El panel de gestión proporciona estadísticas en tiempo real, análisis automatizado de registros y herramientas de monetización integradas. Los operadores pueden filtrar las credenciales robadas por valor, identificando automáticamente los objetivos de alto valor, como cuentas corporativas o carteras de criptomonedas. Esta eficiencia ha convertido a Lumma en la opción preferida tanto para grupos sofisticados como para delincuentes novatos.

Amenazas emergentes en 2025

En 2025 han surgido tres nuevas variantes que suponen una amenaza significativa, cada una de las cuales aporta capacidades únicas al ecosistema de los ladrones de información:

Acreed Stealer se lanzó a principios de 2025 con un diseño modular que permite seleccionar funciones personalizadas. Con un precio competitivo de 200 dólares al mes, Acreed se centra en las credenciales de los navegadores, las carteras de criptomonedas y la información del sistema. Su arquitectura hace hincapié en el sigilo, utilizando procesos legítimos de Windows para la inyección y evitando los patrones de detección habituales. La distribución se realiza principalmente a través de campañas phishing malvertising dirigidas a usuarios empresariales.

StealC V2 (Monster V2) lanzó la versión 2.2.4 en noviembre de 2025, incorporando las lecciones aprendidas de las operaciones policiales. La suscripción mensual de 200 dólares incluye protocolos de comando y control basados en JSON para mejorar la evasión, capacidades de captura de pantalla en múltiples monitores para capturar información confidencial y extracción mejorada de datos del navegador, incluidos los archivos de restauración de sesión. Las técnicas antianálisis de StealC V2 detectan y evaden las soluciones EDR modernas, lo que contribuye a la tasa de elusión del 66 % observada en los infostealers.

Nexus Stealer ha ganado rápidamente cuota de mercado tras la irrupción de RedLine, centrándose en la recopilación avanzada de credenciales y el robo de tokens de sesión. Entre sus capacidades se incluyen el ataque a bases de datos de gestores de contraseñas, la extracción de códigos de respaldo de autenticación de dos factores y el sofisticado robo de cookies eludiendo el aislamiento de sitios. Nexus representa la próxima generación de infostealers, incorporando el aprendizaje automático para la priorización de objetivos y la explotación automatizada de credenciales robadas.

Cómo las credenciales robadas impulsaron los ataques de ransomware y los ataques patrocinados por Estados (2024-2026)

Los incidentes reales demuestran cómo los ladrones de información se traducen en desastres organizativos. Estos casos revelan los patrones de ataque, la magnitud del impacto y las fallas en cadena que se producen tras el compromiso de las credenciales.

Vulnerabilidad en la cadena de suministro de Snowflake — Abril de 2024

El incidente de seguridad en la cadena de suministro de Snowflake puso de manifiesto cómo los programas de robo de información permiten llevar a cabo ataques complejos y en varias fases. Seis variantes diferentes de estos programas infectaron los equipos de los desarrolladores y sustrajeron credenciales que posteriormente se utilizaron para acceder a 165 entornos de clientes. El ataque eludió las barreras de seguridad tradicionales, aprovechando las relaciones de confianza entre proveedores y clientes. Este incidente obligó a reevaluar en todo el sector las prácticas cloud , especialmente en lo que respecta a la gestión del acceso de terceros.

Fuga de credenciales de Gmail — Octubre de 2025

La filtración, en octubre de 2025, de 183 millones de credenciales de Gmail pone de manifiesto la enorme magnitud que alcanza hoy en día el robo de credenciales. Este conjunto de datos, de 400 GB, obtenido mediante Synthient Stealer y otras variantes, inundó los mercados clandestinos, lo que provocó que los precios de las credenciales cayesen a mínimos históricos de 10 dólares por cuenta. La respuesta de Google —un restablecimiento masivo de contraseñas y una mayor vigilancia— puso de manifiesto el carácter reactivo de las defensas actuales frente a unos atacantes proactivos.

Desmantelamiento de la Operación Endgame — Noviembre de 2025

La operación de desmantelamiento de «Operation Endgame» en noviembre de 2025 puso al descubierto la infraestructura que sustenta las operaciones de robo de información. La incautación de más de 1025 servidores y 20 dominios interrumpió el acceso a más de 100 000 carteras de criptomonedas comprometidas. Sin embargo, en cuestión de días surgió una nueva infraestructura, lo que demostró la resiliencia del ecosistema de los ladrones de información. El juego del gato y el ratón entre las fuerzas del orden y los operadores continúa, y cada desmantelamiento proporciona un respiro temporal antes de que las variantes se adapten y resurjan.

Violación de la cadena de suministro de Axios — Abril de 2026

La vulnerabilidad en la cadena de suministro de Axios extendió la amenaza de los programas de robo de información a una de las bibliotecas de JavaScript más utilizadas en los entornos de desarrollo empresarial. Los atacantes utilizaron credenciales de desarrollador sustraídas —siguiendo las técnicas habituales de este tipo de programas— para inyectar código malicioso en una dependencia de confianza, lo que dejó expuestas a las organizaciones posteriores antes de que se detectara la vulnerabilidad. El incidente reforzó una pauta ya establecida por Snowflake: el robo de credenciales de una sola cuenta de desarrollador puede provocar en cadena cientos de brechas de seguridad en las organizaciones a través de cadenas de suministro de software de confianza.

Descubre cómo la filtración de Axios puso de manifiesto las deficiencias de seguridad en la cadena de suministro →

El canal de credenciales a ransomware

Más de la mitad de las víctimas de ransomware presentaban rastros previos de programas de robo de información, lo que convierte al robo de credenciales no en una amenaza paralela al ransomware, sino en su precursor más fiable. Las credenciales robadas se venden a grupos especializados para su explotación, y los programas de robo de información constituyen sistemáticamente la primera etapa de la cadena. La campaña del ransomware HellCat ejemplificó este proceso, utilizando credenciales de JIRA obtenidas de los registros de los programas de robo de información para obtener acceso inicial. Una vez dentro, los atacantes elevaron sus privilegios, se movieron lateralmente e implementaron el ransomware, causando daños por valor de millones.

Recorded Future identificó a los programas de robo de información como el principal vector de infección inicial en los incidentes analizados durante 2025, siendo esta la primera vez que una sola malware ocupa ese puesto durante todo un año natural.

El tiempo transcurrido entre el robo de credenciales y el despliegue del ransomware es, por término medio, de entre 4 y 7 días, aunque los grupos más sofisticados pueden actuar con mayor rapidez. Este intervalo representa el periodo crítico para la detección y la respuesta. Las organizaciones que detectan y responden al robo de credenciales en cuestión de horas pueden evitar que la situación se agrave, mientras que aquellas que tardan días se enfrentan a un compromiso inevitable. El tiempo medio de detección de 4 días significa que la mayoría de las organizaciones descubren las infecciones después de que los atacantes ya hayan monetizado los datos robados.

Detección y prevención de ladrones de información

Una defensa eficaz contra los ladrones de información requiere estrategias por capas que combinen controles técnicos, mejoras en los procesos y formación de los usuarios. La tasa de elusión de la detección en los puntos finales del 66 % demuestra por qué las organizaciones no pueden confiar en capas de seguridad únicas.

Las estrategias de detección deben tener en cuenta la naturaleza sigilosa y las capacidades polimórficas de los infostealers. Las variantes modernas emplean sofisticadas técnicas de evasión, como el vaciado de procesos, tácticas de «vivir de la tierra» y comunicaciones cifradas. El análisis del comportamiento ofrece una detección más fiable que los enfoques basados en firmas, ya que se centra en patrones de actividad anómalos en lugar de en malware específicas malware . El análisis forense de la memoria puede revelar la presencia de infostealers que operan íntegramente en la RAM, mientras que las soluciones de detección y respuesta de red (NDR) identifican patrones sospechosos de exfiltración de datos.

La prevención requiere abordar tanto las vulnerabilidades técnicas como los factores humanos. Si bien los controles tecnológicos proporcionan una protección esencial, el comportamiento de los usuarios sigue siendo el principal vector de infección. Las organizaciones deben equilibrar los requisitos de seguridad con la usabilidad, asegurándose de que las medidas de protección no obstaculicen la productividad. La rápida evolución de las técnicas de robo de información significa que las defensas de ayer pueden fallar frente a las amenazas de hoy, lo que requiere una adaptación y mejora continuas.

Los métodos de detección eficaces incluyen:

1. Supervisión del análisis del comportamiento para los patrones de acceso a credenciales
2. Análisis forense de memoria para identificar la inyección de código malicioso
3. Análisis del tráfico de red para detectar comunicaciones C2
4. Supervisión de la integridad de los archivos para detectar modificaciones no autorizadas
5. Auditoría de extensiones del navegador para identificar adiciones maliciosas
6. Supervisión de llamadas API para detectar interacciones sospechosas en el sistema
7. Análisis del registro para detectar mecanismos de persistencia
8. Supervisión de Cloud para detectar autenticaciones anómalas
9. Correlación SIEM agregación de eventos de seguridad en todos los sistemas

Por qué el EDR tradicional no es suficiente

Las soluciones de detección y respuesta en endpoints (EDR) se enfrentan a importantes retos a la hora de detectar los modernos programas de robo de información. La tasa de elusión del 66 % refleja el uso de sofisticadas técnicas de evasión diseñadas específicamente para burlar la seguridad de los endpoints. La exposición es mayor a nivel de dispositivo: el 30 % de los sistemas comprometidos eran dispositivos empresariales gestionados, mientras que el 46 % eran dispositivos BYOD no gestionados, lo que significa que casi la mitad de todas las infecciones comienzan fuera del alcance de los programas corporativos de seguridad de los puntos finales (INTERPOL, 2025).

Los programas de robo de información utilizan interfaces de programación de aplicaciones (API) legítimas de Windows para extraer credenciales, lo que hace que su comportamiento parezca normal a las soluciones de detección y respuesta ante amenazas (EDR). Actúan durante un breve periodo de tiempo, extrayendo datos y cerrando antes de que los algoritmos de detección señalen una actividad sospechosa.

Las variantes modernas emplean múltiples técnicas anti-EDR, incluyendo llamadas directas al sistema que evitan los ganchos API, la inyección de procesos en aplicaciones de confianza y operaciones a nivel del núcleo que evitan la supervisión en modo usuario. Detectan entornos de virtualización y sandbox, permaneciendo inactivas cuando se someten a análisis. Algunas variantes se dirigen específicamente a los procesos EDR, intentando desactivar o corromper las herramientas de seguridad antes de comenzar la extracción de credenciales.

La solución no es abandonar el EDR, sino complementarlo con tecnologías adicionales. Las soluciones de detección y respuesta ante amenazas de identidad (ITDR) se centran en las anomalías basadas en la identidad, en lugar de en los comportamientos de los terminales. La detección de red identifica la filtración de datos independientemente de la evasión de los terminales. Las tecnologías de engaño crean credenciales falsas que activan alertas cuando se accede a ellas. Este enfoque de defensa en profundidad aborda las limitaciones del EDR al tiempo que mantiene la visibilidad de los terminales.

Procedimientos de respuesta tras la infección

La rapidez es clave para responder bien a las infecciones de infostealer. El acuerdo de nivel de servicio (SLA) de 4 horas para restablecer las credenciales es lo mejor, pero para lograrlo hay que estar preparado y automatizar las cosas. Cada hora de retraso aumenta la probabilidad de que se moneticen las credenciales y haya ataques secundarios.

Las medidas de respuesta inmediata deben centrarse en la contención y la invalidación de credenciales. Esto incluye aislar los sistemas infectados del acceso a la red, restablecer todas las contraseñas que puedan estar comprometidas, revocar las sesiones activas y los tokens de autenticación, y revisar los registros de acceso en busca de autenticaciones sospechosas. Las organizaciones deben notificar a los usuarios y socios afectados, al tiempo que conservan las pruebas forenses para la investigación. La implementación temporal de factores de autenticación adicionales y la supervisión de los intentos de reutilización de credenciales ayudan a evitar nuevos compromisos.

La recuperación va más allá de la reparación técnica e incluye mejoras en los procesos y la formación de los usuarios. Las organizaciones deben analizar los vectores de infección para evitar que se repitan, actualizar los controles de seguridad basándose en las lecciones aprendidas y mejorar la supervisión de patrones de ataque similares. La formación de los usuarios debe abordar tácticas específicas de ingeniería social utilizadas, mientras que los equipos de seguridad deben revisar los procedimientos de respuesta a incidentes basándose en la experiencia. La supervisión de la web oscura en busca de credenciales filtradas y las evaluaciones de seguridad periódicas ayudan a identificar los riesgos actuales.

Infostealers y cumplimiento normativo

Los marcos normativos reconocen cada vez más el robo de credenciales como un problema crítico de cumplimiento normativo. Las organizaciones se enfrentan a una presión cada vez mayor para implementar controles exhaustivos que protejan los sistemas de autenticación y las identidades de los usuarios.

MITRE ATT&CK mapea los comportamientos de los ladrones de información a través de múltiples técnicas, incluyendo T1003 (Descarga de credenciales del sistema operativo), T1555 (Credenciales de almacenes de contraseñas), T1539 (Robo de cookies de sesión web), T1056 (Captura de entradas) y T1005 (Datos del sistema local). Este mapeo permite a las organizaciones alinear sus estrategias defensivas con patrones de amenazas reconocidos. Los marcos de cumplimiento hacen referencia a estas técnicas a la hora de definir los requisitos de seguridad.

El Marco de Ciberseguridad 2.0 del NIST aborda las amenazas de robo de información mediante múltiples familias de controles. PR.AC (Gestión de identidades y control de acceso) requiere una autenticación sólida y la protección de las credenciales. DE.CM (Supervisión continua de la seguridad) exige capacidades de detección del robo de credenciales. RS.AN (Análisis) requiere procedimientos de investigación para los casos de sospecha de compromiso. Estos controles constituyen la base del cumplimiento normativo en todos los sectores.

La directiva NIS2 de la UE, que entrará en vigor en octubre de 2024, aborda específicamente las violaciones de credenciales. Las organizaciones deben informar de los incidentes significativos en un plazo de 24 horas, y presentar informes detallados en un plazo de 72 horas. El robo de credenciales que afecte a servicios críticos da lugar a notificaciones obligatorias a las autoridades nacionales. Las sanciones por incumplimiento alcanzan el 2 % de la facturación anual global, lo que pone de relieve los riesgos financieros que entrañan los controles inadecuados.

Enfoques modernos para defenderse contra los ladrones de información

El sector de la seguridad ha evolucionado más allá de las defensas perimetrales tradicionales, reconociendo que el robo de credenciales requiere estrategias centradas en la identidad. Los enfoques modernos asumen la posibilidad de una brecha y se centran en limitar el impacto mediante cambios arquitectónicos y tecnologías emergentes.

Zero Trust cambia radicalmente la forma en que las organizaciones abordan la seguridad de las credenciales. En lugar de confiar implícitamente en los usuarios autenticados, Zero Trust verifica Zero Trust la identidad y la autorización. Este enfoque limita el valor de las credenciales robadas al exigir una verificación adicional para las acciones sensibles. La microsegmentación contiene las brechas de seguridad, impidiendo el movimiento lateral incluso con credenciales válidas. El principio del mínimo privilegio garantiza que las cuentas comprometidas solo accedan a los recursos necesarios.

La supervisión automatizada de la web oscura se ha convertido en algo esencial para una defensa proactiva. Los servicios escanean continuamente los mercados clandestinos en busca de credenciales organizativas, lo que permite alertar de forma temprana sobre posibles vulnerabilidades. La integración con los sistemas de gestión de identidades permite una respuesta automática cuando las credenciales aparecen en línea. Los algoritmos de aprendizaje automático identifican patrones que sugieren ataques dirigidos, mientras que las fuentes de inteligencia sobre amenazas proporcionan contexto sobre las campañas emergentes. Esta postura proactiva hace que las organizaciones pasen de una postura de seguridad reactiva a una predictiva.

Las credenciales de sesión vinculadas al dispositivo (DBSC) representan la próxima evolución en seguridad de autenticación. Esta tecnología emergente vincula criptográficamente los tokens de sesión a dispositivos específicos, lo que evita los ataques de repetición incluso si se roban las cookies. Las primeras implementaciones muestran resultados prometedores, aunque su adopción generalizada depende del soporte de los navegadores y las aplicaciones. Las claves de acceso FIDO2, ahora compatibles con el 93 % de las cuentas de usuario, proporcionan protección inmediata a través de una autenticación phishing que los ladrones de información no pueden comprometer.

Cómo Vectra AI sobre la detección de ladrones de información

Vectra AI la detección de programas de robo de información desde una perspectiva centrada en la identidad, combinando señales de red y de identidad para identificar los intentos de robo de credenciales antes de que se produzca la exfiltración. En lugar de basarse en malware que quedan rápidamente obsoletas, Attack Signal Intelligence™ se centra en los comportamientos recurrentes que todos los programas de robo de información deben mostrar, como el acceso a almacenes de credenciales, el establecimiento de canales de comando y la exfiltración de datos. Al correlacionar las anomalías de identidad con los patrones de red, los equipos de seguridad obtienen visibilidad sobre los ataques que eluden la protección tradicional de los puntos finales.

Detección de comportamientos relacionada con las acciones del atacante

Los modelos de IA conductual Vectra AI detectan la actividad posterior a la infección que sigue al robo de credenciales, los patrones de autenticación anómalos, el movimiento lateral mediante credenciales robadas, la escalada de privilegios y el acceso inusual a recursos confidenciales, sin necesidad de conocer de antemano la familia específica de programas de robo de información implicada. Las detecciones se corresponden directamente con las técnicas de acceso MITRE ATT&CK (TA0006) y recopilación (TA0009) MITRE ATT&CK , lo que proporciona a los equipos del SOC señales alineadas con el marco de trabajo sobre las que pueden actuar de inmediato.

Supervisión de identidades y tokens de sesión

Cuando se utiliza un token de sesión robado desde la infraestructura del atacante, no se produce ningún nuevo evento de inicio de sesión ni se activa ningún desafío de autenticación multifactorial (MFA). Vectra AI cómo las identidades se autentican y se desplazan por los entornos, señalando las desviaciones de comportamiento respecto a los patrones de referencia establecidos, incluso cuando las credenciales utilizadas son técnicamente válidas. Se trata de una capa de detección que los sistemas basados en registros y los agentes de terminal no pueden proporcionar de forma fiable a gran escala.

Visibilidad a nivel de red más allá de los dispositivos finales

Dado que el 66 % de las infecciones por programas de robo de información eluden los sistemas de seguridad de los puntos finales y muchas de ellas se originan en dispositivos no gestionados o personales, la observabilidad a nivel de red Vectra AI abarca todos los dispositivos que se comunican en la red, estén gestionados o no. Los patrones sospechosos de exfiltración de datos, las características de la comunicación C2 y las transferencias salientes anómalas pueden observarse a nivel de red, independientemente de si el dispositivo infectado ejecuta un agente gestionado.

Narrativas de ataques correlacionadas a través de Jetstream

El motor de transmisión en tiempo real Jetstream Vectra AI relaciona las primeras señales de uso indebido de credenciales con los movimientos laterales y la escalada de privilegios posteriores, todo ello dentro de una única narrativa de ataque correlacionada. Los equipos de seguridad pueden ver el alcance completo de la actividad posterior a la infección, en lugar de alertas aisladas que requieren una correlación manual, lo que les permite responder con mayor rapidez y seguridad antes de que los atacantes pasen del robo de credenciales al despliegue de ransomware.

Descubre cómo Vectra AI las señales posteriores a la infección que dejan los programas de robo de información, así como los comportamientos de la red y de las identidades que los agentes de los terminales y las herramientas basadas en registros no están diseñados para detectar.

Tendencias futuras y consideraciones emergentes

El panorama de la ciberseguridad sigue evolucionando rápidamente, con los ladrones de información a la vanguardia de los nuevos retos. Durante los próximos 12-24 meses, las organizaciones deben prepararse para varios avances clave que transformarán la forma en que nos defendemos contra el robo de credenciales.

La inteligencia artificial está transformando tanto las capacidades de ataque como las de defensa. Los atacantes aprovechan la IA para crear phishing convincentes, identificar automáticamente objetivos de gran valor en conjuntos de datos robados y desarrollar malware polimórfico malware se adapta a las medidas defensivas. Los defensores contrarrestan con análisis de comportamiento basados en IA, búsqueda automatizada de amenazas y modelos predictivos que identifican posibles objetivos. Esta carrera armamentística de la IA se acelerará hasta 2026, y las ventajas se desplazarán entre atacantes y defensores a medida que las tecnologías maduren.

La computación cuántica supone una amenaza a largo plazo para los métodos de cifrado actuales que protegen las credenciales almacenadas. Aunque aún faltan años para que los ordenadores cuánticos sean una realidad, las organizaciones deben empezar a prepararse para los ataques de «recoger ahora, descifrar después», en los que los adversarios roban datos cifrados para descifrarlos en el futuro. Las normas de criptografía poscuántica, finalizadas por el NIST en 2024, requieren su implementación en todos los sistemas de autenticación. Las organizaciones deben hacer un inventario de las dependencias criptográficas y desarrollar planes de migración para algoritmos resistentes a la computación cuántica.

La presión regulatoria se intensificará tras las infracciones de alto perfil atribuidas al robo de credenciales. La directiva NIS2 de la UE sienta precedentes que probablemente seguirán otras regiones, con notificaciones obligatorias de infracciones y sanciones sustanciales por controles inadecuados. La legislación federal estadounidense propuesta en materia de privacidad incluye disposiciones que abordan específicamente la protección de credenciales y la verificación de identidad. Las organizaciones que operan a nivel internacional se enfrentan a un complejo mosaico de requisitos que requieren programas integrales de seguridad de la identidad.

Las prioridades de inversión para los próximos 24 meses deben centrarse en tres áreas fundamentales. En primer lugar, las organizaciones deben acelerar la adopción de claves maestras, con el objetivo de alcanzar una cobertura del 100 % para las cuentas privilegiadas en el segundo trimestre de 2026. En segundo lugar, la implementación de ITDR debe ampliarse más allá de los programas piloto para abarcar la implementación en producción de todos los almacenes de identidades. En tercer lugar, Zero Trust deben pasar de ser marcos conceptuales a arquitecturas operativas con verificación continua y microsegmentación.

La convergencia de los entornos de TI y OT crea nuevas superficies de ataque para los ladrones de información. Los sistemas de control industrial se conectan cada vez más a las redes corporativas, lo que expone la tecnología operativa a riesgos de robo de credenciales. Las credenciales comprometidas de un ingeniero podrían proporcionar acceso a infraestructuras críticas, creando escenarios de amenazas internas con potencial de daños físicos más allá del robo de datos. Las organizaciones deben ampliar los programas de seguridad de identidad para abarcar los entornos OT, implementando controles especializados para los sistemas industriales.

Conclusión

La epidemia de los programas de robo de información ha redefinido silenciosamente el panorama de amenazas, no mediante ataques más sonados, sino a través de otros más económicos. Con 1.800 millones de credenciales robadas solo en 2025 y un 86 % de las filtraciones relacionadas con el robo de credenciales, las organizaciones ya no pueden considerar la seguridad de la identidad como algo secundario respecto a la protección de la red. La aparición de variantes sofisticadas como Lumma, Acreed y StealC V2, disponibles por tan solo 200 dólares al mes, ha democratizado las capacidades de ataque avanzadas, mientras que la tasa de elusión de EDR del 66 % pone de manifiesto brechas críticas en las defensas actuales.

Para hacer frente con éxito a los programas de robo de información, es necesario adoptar estrategias de seguridad centradas en la identidad que partan de la premisa de que se producirá una violación de la seguridad, en lugar de basarse en una prevención perfecta. Las organizaciones deben acelerar la adopción de las claves de acceso FIDO2, que ya son compatibles con el 93 % de las cuentas, al tiempo que implementan soluciones ITDR capaces de detectar intentos de robo de credenciales, independientemente de malware .

Descubre cómo la detección de comportamientosVectra AI en la red, la identidad y cloud las señales posteriores a la infección que dejan tras de sí los programas de robo de información, señales que los agentes de los terminales y las herramientas basadas en registros no están diseñadas para detectar.