Check Point® Software Technologies Ltd. (NASDAQ: CHKP), alerta de que la filtración de credenciales ha aumentado un 160 % en 2025, según los datos del último informe elaborado por Check Point External Risk Management (ERM).
Esta cifra pone de manifiesto una tendencia preocupante: los atacantes no solo siguen utilizando esta vía de entrada, sino que han perfeccionado sus técnicas hasta convertirla en un mecanismo sistemático, automatizado y difícil de detectar. Este fenómeno afecta tanto a grandes corporaciones como a empresas de menor tamaño sin importar el sector en el que operen. La exposición, de hecho, no depende únicamente del tamaño de la compañía, sino del nivel de digitalización y del grado de visibilidad.
El 46 % de los dispositivos asociados a credenciales filtradas no tiene instalada ninguna herramienta de seguridad
En un solo mes más de 14.000 credenciales de empleados han quedado expuestas en filtraciones, muchas de ellas incluso respetando las políticas internas de contraseñas. Esta realidad demuestra que la seguridad basada únicamente en contraseñas ya no es suficiente. Además, la investigación revela que las empresas tardan de media 94 días en remediar una filtración de credenciales que proviene de plataformas como GitHub. Se trata de un periodo crítico durante el cual los atacantes pueden actuar sin ser detectados. Por si fuera poco, el 46% de los dispositivos asociados a credenciales filtradas carece de herramientas de seguridad instaladas, lo que agrava el riesgo de exposición incluso más allá del entorno corporativo.
¿Cómo se filtran las credenciales?
El informe señala que los métodos utilizados por los ciberdelincuentes son cada vez más variados y sofisticados:
- Bases de datos vulneradas: los atacantes quebrantan los sistemas corporativos para acceder a las bases de datos que contienen nombres de usuario y contraseñas. Esto puede implicar explotar vulnerabilidades de software, comprometer cuentas de administrador o utilizar ataques de inyección para extraer información de inicio de sesión.
- Phishing: los correos electrónicos fraudulentos, el vishing (phishing de voz) y el smishing (phishing de SMS) son tácticas habituales para engañar a los empleados y hacer que divulguen datos de acceso confidenciales.
- Malware: los programas maliciosos, incluidos los infostealers, pueden instalarse en ordenadores o servidores y robar directamente los datos de acceso. Los keyloggers registran las pulsaciones de teclas, capturando los nombres de usuario y las contraseñas a medida que se teclean. Los programas espía avanzados pueden hacer capturas de pantalla o interceptar datos en tránsito.
Una vez obtenidas las credenciales se compilan en «listas combinadas» y se venden e intercambian en foros abiertos y en la Dark Web. Así otros ciberdelincuentes las compran para lanzar ataques de toma de control de cuentas, obtener acceso no autorizado a información confidencial de una empresa o iniciar sofisticadas campañas de ingeniería social. Estos foros operan como mercados ilícitos, ofreciendo una gama de datos robados que va más allá de las credenciales.
Una amenaza que sigue siendo efectiva
El robo de credenciales es barato, discreto y rentable, y mientras siga funcionando, los atacantes seguirán explotándolo. Además, están constantemente buscando nuevas formas de eludir la autenticación multifactor (MFA) y otras barreras defensivas. Ante esta situación, los expertos destacan que la mejor defensa frente a esta amenaza es adoptar un enfoque integral y preventivo, basado en múltiples capas de protección:
- Revisar la política de contraseñas: imponer actualizaciones periódicas y evitar la reutilización.
- Aplicar autenticación multifactor (MFA): aunque no es infalible, añade una capa de seguridad.
- Priorizar el inicio de sesión único (SSO): reduce el número de puntos de exposición.
- Limitar los intentos de acceso: para impedir ataques de fuerza bruta.
- Aplicar el principio de mínimo privilegio (PoLP): dar a cada empleado solo los accesos necesarios.
- Formar a los empleados en técnicas de phishing.
- Implementar cortafuegos y sistemas de detección de intrusiones.
- Restringir el acceso a webs de terceros poco seguras.
“En muchas ocasiones los ciberdelincuentes no actúan inmediatamente. A menudo analizan las credenciales filtradas, esperan el momento oportuno y personalizan sus ataques. Por eso, detectar filtraciones antes de que sean utilizadas es esencial”, señala Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Las credenciales robadas siguen siendo la piedra angular de muchas campañas de ciberataques. Son la forma más rápida y silenciosa de acceder a un sistema sin levantar sospechas”, concluye.
