Según un reciente informe global “Anatomy of a Cyber World” de Kaspersky , el robo y abuso de credenciales continúa siendo una de las tácticas más efectivas utilizadas por los ciberdelincuentes en 2025. Técnicas como el descifrado de contraseñas y el uso de cuentas legítimas comprometidas encabezan la lista de métodos con mayor probabilidad de desembocar en incidentes reales de seguridad. Esta tendencia refleja un cambio estratégico por parte de los atacantes, que cada vez recurren menos a malware ruidoso que pueda activar las soluciones de protección y optan por aprovechar accesos legítimos para pasar desapercibidos.
Según el informe, una parte significativa de las técnicas de ciberataque más monitorizadas está relacionada con la gestión de identidades y credenciales. El análisis, que evalúa la tasa de conversión de distintos Indicadores de Ataque (IoA), destaca las siguientes tácticas maliciosas:
Descifrado de contraseñas (34,8%). Esta técnica consiste en probar sistemáticamente distintas contraseñas hasta conseguir acceso a una cuenta. Encabeza la clasificación debido a su elevada presencia tanto en ciberataques reales como en evaluaciones de seguridad autorizadas, lo que la convierte en una amenaza persistente. El uso de contraseñas débiles o reutilizadas sigue facilitando este método clásico de ataque.
Creación de cuentas locales (34,7%). Una vez dentro de un sistema, los ciberdelincuentes suelen crear nuevas cuentas locales para mantener el acceso incluso si su punto de entrada inicial es descubierto y eliminado. Esta técnica aparece con frecuencia durante ejercicios de seguridad y puede detectarse, aunque para ello es necesario contar con la telemetría adecuada, algo que no siempre ocurre.
Abuso de cuentas válidas (34,5%). En lugar de desplegar malware, los ciberdelincuentes acceden utilizando credenciales robadas o comprometidas y se mezclan con la actividad habitual de los usuarios. Esto dificulta enormemente su detección, ya que el acceso parece completamente legítimo. Su elevada tasa de conversión demuestra que las credenciales comprometidas siguen siendo uno de los vectores de ataque más peligrosos.
Manipulación de cuentas (32%). Los ciberdelincuentes modifican cuentas existentes para consolidar su acceso, por ejemplo, activando cuentas deshabilitadas, alterando pertenencias a grupos o elevando privilegios. Esta práctica refuerza una tendencia cada vez más común: en lugar de introducir nuevas herramientas, los ciberdelincuentes profundizan su control utilizando los recursos que ya existen en la organización.
Reconocimiento de servicios de red (31,2%). Antes de avanzar dentro de una red, los ciberdelincuentes suelen identificar servicios abiertos y sistemas accesibles. Esta fase de reconocimiento es un fuerte indicador de movimientos laterales y futuras actividades maliciosas. Detectarla de forma temprana proporciona a los equipos de seguridad una ventana crítica para intervenir.
El informe clasifica las técnicas en función de la frecuencia con la que la actividad observada termina derivando en incidentes maliciosos confirmados. Según los expertos de Kaspersky, aunque el marco MITRE ATT&CK® recoge un amplio catálogo de técnicas utilizadas por los atacantes, una detección eficaz requiere priorizar aquellos comportamientos con una mayor probabilidad de indicar actividad maliciosa, evitando al mismo tiempo un exceso de falsos positivos.
“Los ciberdelincuentes no siempre necesitan malware sofisticado para alcanzar sus objetivos. En muchos casos, las herramientas administrativas legítimas y las cuentas comprometidas siguen siendo la forma más rápida y efectiva de moverse dentro de una organización evitando la detección. La persistencia de estas técnicas demuestra que las empresas necesitan una visibilidad profunda del comportamiento de los atacantes y la capacidad de correlacionar actividades sospechosas a lo largo de las distintas fases de un ataque. Para hacer frente a estos desafíos, las organizaciones pueden reforzar su seguridad con soluciones como Kaspersky Managed Detection and Response e Incident Response, que cubren todo el ciclo de gestión de incidentes, desde la detección de amenazas hasta la protección continua y la remediación”, afirma Sergey Soldatov, responsable del Security Operations Center de Kaspersky.