Facebook Linkedin Twitter Instagram Youtube Telegram

Las contraseñas dejan de ser seguras ante IA e infostealers

Con motivo del Día Mundial de la Contraseña, que se celebra este 7 de mayo, Check Point® Software Technologies Ltd., empresa global en soluciones de ciberseguridad, asegura que el consejo tradicional de “usar una contraseña compleja con números y símbolos” ha quedado completamente obsoleto. En la actualidad, una contraseña de 16 caracteres resulta inútil si un malware infostealer la extrae directamente del navegador o si un empleado la introduce voluntariamente en una herramienta de inteligencia artificial.

Durante años, las contraseñas han sido la principal forma de proteger el acceso a sistemas y cuentas. Sin embargo, hoy en día se han convertido en un punto débil, ya que forman parte de un mercado global donde los ciberdelincuentes compran y venden credenciales robadas. Por eso, el futuro de la ciberseguridad no pasa por hacer contraseñas cada vez más complejas, sino por reducir su uso y apostar por sistemas que verifiquen de forma continua si el comportamiento del usuario es legítimo”, afirma Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

El problema ya no es la debilidad de las contraseñas, sino el ecosistema global que comercia con ellas. Impulsado por la inteligencia artificial generativa, este mercado está redefiniendo las reglas del cibercrimen en un entorno donde el modelo Cybercrime-as-a-Service (CaaS) permite a cualquier actor comprar acceso en lugar de vulnerarlo.

El mercado clandestino también ha cambiado de forma: los foros tradicionales de la dark web han dado paso a canales privados de Telegram y bots automatizados que permiten comprar y vender credenciales en segundos, acelerando la monetización del robo de datos. Según el Índice de Precios de la dark web 2025/2026 elaborado por Privacy Affairs y DeepStrike, el mercado funciona según las leyes de la oferta y la demanda:

  • Redes sociales y entretenimiento: la sobreoferta ha reducido los precios. Una cuenta de Facebook ronda los 45 dólares, mientras que una de Gmail se vende entre 60 y 65 dólares.
  • Servicios financieros: tarjetas de crédito con CVV cuestan entre 10 y 40 dólares, mientras que accesos a banca online o criptomonedas pueden superar los 1.000 dólares.
  • Acceso corporativo: es el segmento más lucrativo. El acceso inicial a redes empresariales puede costar unos 2.700 dólares, pero los accesos con privilegios a información sensible superan los 113.000 dólares.

Este modelo funciona porque sigue apoyándose en un fallo humano persistente: el 94% de las contraseñas se reutiliza en múltiples servicios, y solo el 3% cumple con estándares de seguridad recomendados. Esto permite ataques automatizados de credential stuffing, donde una sola filtración abre el acceso a múltiples plataformas.

A este problema se suma un nuevo riesgo crítico: la inteligencia artificial. Según los datos de Check Point Research, en marzo de 2026, una de cada 28 interacciones con herramientas de GenAI en entornos corporativos implica un alto riesgo de fuga de información sensible, y el 91% de las organizaciones ya ha registrado este tipo de incidentes. Además, más de 225.000 credenciales de plataformas de IA han sido puestas a la venta tras ser robadas mediante infostealers.

Ante este escenario, las empresas deben asumir que las contraseñas, por sí solas, ya no son un mecanismo fiable de protección. El primer paso es reducir su protagonismo mediante la adopción de tecnologías sin contraseña, como los sistemas basados en FIDO2, que eliminan el riesgo de robo y reutilización de credenciales. Al mismo tiempo, es clave implantar modelos de seguridad Zero Trust centrados en la identidad, en los que cada acceso se valida de forma continua en función del contexto y el comportamiento del usuario.

Además, las compañías deben abordar el nuevo vector de riesgo que representan los navegadores y las herramientas de inteligencia artificial, incorporando controles que permitan monitorizar y limitar la introducción de datos sensibles en estos entornos. Por último, la monitorización constante de la dark web y de canales como Telegram resulta esencial para detectar credenciales comprometidas antes de que sean explotadas por los atacantes.

Imagen de Aldana Balmaceda

Aldana Balmaceda

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.