El robo de credenciales corporativas se ha convertido en la técnica más explotada por los ciberdelincuentes en 2025, con un incremento del 160 % respecto al año anterior. Así lo detalla el último informe de Check Point External Risk Management (ERM), que señala un crecimiento sostenido de estas amenazas impulsado por la automatización, la baja detección y su rentabilidad en el mercado ilícito digital.
En tan solo 30 días, los investigadores de Check Point detectaron más de 14.000 credenciales corporativas expuestas en filtraciones. Muchas de ellas cumplían formalmente con las políticas internas de contraseñas, lo que evidencia que estas medidas por sí solas resultan insuficientes frente a las actuales técnicas de intrusión.
Según los datos recogidos por Check Point, el tiempo medio que una organización tarda en responder a una filtración de este tipo es de 94 días. Este margen facilita a los atacantes la explotación silenciosa de accesos privilegiados, prolongando la permanencia en los sistemas comprometidos sin levantar alertas.
Credenciales expuestas sin protección: el 46 % de los dispositivos no cuenta con herramientas de seguridad
Uno de los hallazgos más significativos del informe apunta al estado de los dispositivos asociados a credenciales filtradas: el 46 % carece de software de protección instalado. Esta ausencia de medidas básicas eleva considerablemente el nivel de exposición, incluso más allá de los entornos corporativos.
El fenómeno no discrimina por tamaño empresarial ni por sector. La exposición depende, en gran medida, del grado de digitalización y del control de visibilidad de cada organización. A nivel global, países con alta densidad de población como Estados Unidos siguen encabezando el volumen de credenciales comprometidas. Sin embargo, emergen también Vietnam, Pakistán y Turquía, reflejando el incremento de su actividad digital y su incorporación a dinámicas transnacionales de riesgo.
Técnicas de filtrado cada vez más sofisticadas
El robo de credenciales se sustenta en una variedad de métodos, algunos consolidados y otros en evolución. Check Point ERM identifica tres vectores principales:
- Bases de datos vulneradas: mediante explotación de vulnerabilidades o ataques de inyección SQL, los actores maliciosos acceden a repositorios que contienen combinaciones de usuario y contraseña.
- Phishing y variantes: los ataques de ingeniería social a través de correo electrónico (phishing), voz (vishing) y SMS (smishing) continúan siendo herramientas habituales para obtener credenciales directamente de los usuarios.
- Malware y programas espía: los infostealers, keyloggers y otras formas de malware se instalan en dispositivos comprometidos para capturar datos de acceso mientras el usuario interactúa con el sistema.
Una vez obtenidas, las credenciales se agregan en «listas combinadas» que se comercializan en foros clandestinos y mercados de la Dark Web. Desde estos entornos, otros ciberdelincuentes las adquieren para realizar accesos no autorizados, campañas de suplantación de identidad o movimientos laterales dentro de redes corporativas.
Persistencia de una amenaza rentable y de bajo perfil
El uso de credenciales filtradas persiste como una táctica de alta eficacia para los atacantes. Su coste operativo es bajo y su impacto, elevado, especialmente si se consigue eludir la autenticación multifactor. La discreción con la que permite acceder a redes internas convierte esta técnica en una opción prioritaria para muchos actores.
Eusebio Nieva, director técnico de Check Point Software para España y Portugal, subraya que «en muchas ocasiones los ciberdelincuentes no actúan inmediatamente. A menudo analizan las credenciales filtradas, esperan el momento oportuno y personalizan sus ataques». Esta demora deliberada exige capacidades de detección anticipada por parte de las empresas afectadas.
Nieva advierte también que las credenciales robadas «siguen siendo la piedra angular de muchas campañas de ciberataques. Son la forma más rápida y silenciosa de acceder a un sistema sin levantar sospechas».
Propuestas técnicas para reducir el riesgo de filtración de credenciales
El informe concluye con un conjunto de prácticas recomendadas que, aplicadas de forma simultánea, contribuyen a reducir la exposición al robo de credenciales:
- Contraseñas: exigir renovación periódica y evitar su reutilización entre cuentas.
- Autenticación multifactor (MFA): añadir una capa de verificación independiente de la contraseña.
- Inicio de sesión único (SSO): unificar accesos para minimizar puntos de vulnerabilidad.
- Limitación de intentos de acceso: bloquear intentos repetidos que puedan indicar ataques de fuerza bruta.
- Acceso mínimo necesario (PoLP): restringir los permisos según las funciones específicas de cada usuario.
- Formación del personal: capacitar en la identificación de intentos de phishing y otras técnicas de ingeniería social.
- Cortafuegos y sistemas de detección de intrusos: aplicar soluciones que permitan identificar accesos no autorizados.
- Restricción del acceso web: impedir la navegación hacia dominios no seguros o sin reputación verificada.
Además, se recomienda una vigilancia constante de fuentes abiertas y foros clandestinos, mediante tecnologías de monitoreo que permitan identificar si las credenciales corporativas han sido comprometidas y publicadas.
Vigilancia y respuesta temprana, claves ante un escenario de exposición prolongada
La combinación de técnicas avanzadas, ausencia de protección en dispositivos y lentitud en la respuesta a filtraciones ha configurado un entorno en el que el uso de credenciales comprometidas sigue generando impactos significativos. Aunque existen herramientas técnicas para mitigar estos riesgos, su efectividad depende en gran parte de la agilidad de implementación y la capacidad de detección temprana.
El aumento del 160 % en las filtraciones durante 2025 refuerza la urgencia de revisar los protocolos de acceso en las empresas, no solo desde una perspectiva técnica, sino también desde una visión estratégica de gestión de riesgos. La exposición prolongada a credenciales robadas puede comprometer no solo sistemas internos, sino también la reputación, continuidad operativa y cumplimiento normativo de las organizaciones afectadas.
