Las credenciales robadas siguen siendo el arma favorita de los ciberdelincuentes

Según un reciente informe global “Anatomy of a Cyber World” de Kaspersky , el robo y abuso de credenciales continúa siendo una de las tácticas más efectivas utilizadas por los ciberdelincuentes en 2025. Técnicas como el descifrado de contraseñas y el uso de cuentas legítimas comprometidas encabezan la lista de métodos con mayor probabilidad de desembocar en incidentes reales de seguridad. Esta tendencia refleja un cambio estratégico por parte de los atacantes, que cada vez recurren menos a malware ruidoso que pueda activar las soluciones de protección y optan por aprovechar accesos legítimos para pasar desapercibidos.

Según el informe, una parte significativa de las técnicas de ciberataque más monitorizadas está relacionada con la gestión de identidades y credenciales. El análisis, que evalúa la tasa de conversión de distintos Indicadores de Ataque (IoA), destaca las siguientes tácticas maliciosas:

Descifrado de contraseñas (34,8%). Esta técnica consiste en probar sistemáticamente distintas contraseñas hasta conseguir acceso a una cuenta. Encabeza la clasificación debido a su elevada presencia tanto en ciberataques reales como en evaluaciones de seguridad autorizadas, lo que la convierte en una amenaza persistente. El uso de contraseñas débiles o reutilizadas sigue facilitando este método clásico de ataque.

Creación de cuentas locales (34,7%). Una vez dentro de un sistema, los ciberdelincuentes suelen crear nuevas cuentas locales para mantener el acceso incluso si su punto de entrada inicial es descubierto y eliminado. Esta técnica aparece con frecuencia durante ejercicios de seguridad y puede detectarse, aunque para ello es necesario contar con la telemetría adecuada, algo que no siempre ocurre.

Abuso de cuentas válidas (34,5%). En lugar de desplegar malware, los ciberdelincuentes acceden utilizando credenciales robadas o comprometidas y se mezclan con la actividad habitual de los usuarios. Esto dificulta enormemente su detección, ya que el acceso parece completamente legítimo. Su elevada tasa de conversión demuestra que las credenciales comprometidas siguen siendo uno de los vectores de ataque más peligrosos.

Manipulación de cuentas (32%). Los ciberdelincuentes modifican cuentas existentes para consolidar su acceso, por ejemplo, activando cuentas deshabilitadas, alterando pertenencias a grupos o elevando privilegios. Esta práctica refuerza una tendencia cada vez más común: en lugar de introducir nuevas herramientas, los ciberdelincuentes profundizan su control utilizando los recursos que ya existen en la organización.

Reconocimiento de servicios de red (31,2%). Antes de avanzar dentro de una red, los ciberdelincuentes suelen identificar servicios abiertos y sistemas accesibles. Esta fase de reconocimiento es un fuerte indicador de movimientos laterales y futuras actividades maliciosas. Detectarla de forma temprana proporciona a los equipos de seguridad una ventana crítica para intervenir.

El informe clasifica las técnicas en función de la frecuencia con la que la actividad observada termina derivando en incidentes maliciosos confirmados. Según los expertos de Kaspersky, aunque el marco MITRE ATT&CK® recoge un amplio catálogo de técnicas utilizadas por los atacantes, una detección eficaz requiere priorizar aquellos comportamientos con una mayor probabilidad de indicar actividad maliciosa, evitando al mismo tiempo un exceso de falsos positivos.

“Los ciberdelincuentes no siempre necesitan malware sofisticado para alcanzar sus objetivos. En muchos casos, las herramientas administrativas legítimas y las cuentas comprometidas siguen siendo la forma más rápida y efectiva de moverse dentro de una organización evitando la detección. La persistencia de estas técnicas demuestra que las empresas necesitan una visibilidad profunda del comportamiento de los atacantes y la capacidad de correlacionar actividades sospechosas a lo largo de las distintas fases de un ataque. Para hacer frente a estos desafíos, las organizaciones pueden reforzar su seguridad con soluciones como Kaspersky Managed Detection and Response e Incident Response, que cubren todo el ciclo de gestión de incidentes, desde la detección de amenazas hasta la protección continua y la remediación”, afirma Sergey Soldatov, responsable del Security Operations Center de Kaspersky.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.