El robo de credenciales supera al malware como la principal amenaza para la infraestructura corporativa
728 x 90 px
El panorama de la seguridad de la información experimenta una transformación radical en sus vectores de ataque. En el marco del año 2026, la distribución de códigos maliciosos tradicionales está cediendo su lugar a tácticas mucho más silenciosas. El reciente informe global publicado por Kaspersky Security Services confirma esta tendencia operativa: el robo y abuso de credenciales legítimas se ha consolidado como la vía de ataque más efectiva para vulnerar los entornos corporativos.
El reporte, titulado Anatomy of a Cyber World, recopila un volumen masivo de datos extraídos por los servicios de Detección y Respuesta Gestionada (MDR), Respuesta a Incidentes (IR) y Consultoría SOC de la firma de seguridad. Las conclusiones del documento exponen un cambio de paradigma en el comportamiento del atacante moderno. Al dejar de depender de software malicioso que los motores de los antivirus y los sistemas de detección de endpoints identifican con facilidad, los intrusos prefieren secuestrar accesos autorizados. Esta metodología les permite camuflarse entre el tráfico normal de los empleados, evadiendo los controles de seguridad automatizados y operando bajo el radar durante períodos prolongados.
Las tácticas más utilizadas para vulnerar identidades corporativas
El estudio detalla que la gestión deficiente de identidades es el principal catalizador de los incidentes cibernéticos actuales. Al evaluar las tasas de conversión de los diferentes indicadores de ataque (IoA), Kaspersky identificó los cinco comportamientos maliciosos más recurrentes que derivan en brechas de seguridad confirmadas:
(Automático aquí)
Adivinar contraseñas (34.8%)
La técnica de fuerza bruta y prueba sistemática de combinaciones encabeza la lista de efectividad. A pesar de ser uno de los métodos más antiguos en la historia de la informática, mantiene su vigencia debido a las malas prácticas de higiene digital. El uso generalizado de contraseñas débiles, secuencias predecibles o la reutilización de las mismas claves en múltiples plataformas por parte de los colaboradores facilita enormemente la intrusión inicial.
Creación de cuentas locales (34.7%)
Una vez que el intruso logra superar el perímetro, su prioridad inmediata es asegurar la persistencia en el sistema. La creación de nuevas cuentas de usuario locales les garantiza una puerta trasera o acceso continuo, incluso si el departamento de tecnología detecta y bloquea la credencial comprometida original. Esta táctica evidencia la falta de monitoreo interno y la escasa visibilidad que padecen muchas infraestructuras para detectar alteraciones en los directorios de usuarios.
Abuso de cuentas válidas (34.5%)
La suplantación de identidad es el núcleo del sigilo. Utilizando credenciales robadas en mercados clandestinos o extraídas mediante ingeniería social, los atacantes inician sesión en la red corporativa y se mimetizan con la actividad diaria. Detectar esta anomalía resulta sumamente complejo para los equipos de seguridad, dado que el inicio de sesión cuenta con las validaciones criptográficas de un usuario legítimo.
Manipulación de cuentas (32%)
En lugar de introducir herramientas externas de explotación, los atacantes optan por modificar las propiedades de las cuentas existentes. Esto abarca desde la reactivación de perfiles de empleados que ya no laboran en la empresa, hasta la elevación de privilegios de cuentas estándar hacia roles de administrador. Al utilizar los propios recursos informáticos de la organización en su contra, logran consolidar un control absoluto de la topología de red.
Reconocimiento de la red (31.2%)
Antes de ejecutar la fase destructiva del ataque, como el despliegue de ransomware o la exfiltración masiva de datos, los actores de amenazas realizan un mapeo silencioso de la red. Identifican servidores críticos, bases de datos vulnerables y rutas de acceso laterales. La detección temprana de estos escaneos internos marca la diferencia entre contener un conato de incidente y sufrir una catástrofe operativa.
La complejidad de distinguir entre usuarios legítimos y actores maliciosos
La efectividad de estas técnicas radica en la explotación de los puntos ciegos de la monitorización corporativa. Eduardo Chavarro, director para Américas del Equipo Global de Respuestas a Incidentes en Kaspersky, puntualiza que el abuso de credenciales aprovecha la dificultad técnica de discernir entre un acceso laboral rutinario y una intrusión. Cuando el atacante opera con una cuenta válida, sus movimientos simulan procesos de negocio ordinarios, permitiéndole escalar privilegios sin detonar las alarmas de los sistemas de prevención de intrusiones (IPS).
Este escenario operativo demuestra que salvaguardar los activos digitales de una compañía requiere una evolución en la estrategia defensiva. Ya no es suficiente con instalar barreras contra el malware; es indispensable comprender la biometría del comportamiento del usuario, detectar desviaciones de sus patrones habituales de navegación y reaccionar de forma automatizada ante cualquier anomalía antes de que la intrusión escale hacia sistemas de misión crítica.
Estrategias para fortalecer la resiliencia de la infraestructura de red
Frente a la sofisticación de estos ataques basados en la identidad, la mitigación del riesgo exige la implementación de protocolos estrictos de autenticación y monitoreo continuo. La primera línea de defensa consiste en fortalecer la gestión de accesos mediante auditorías periódicas. Los departamentos de tecnología deben depurar de forma rutinaria los directorios activos, eliminar perfiles inactivos y aplicar rigurosamente el principio de mínimo privilegio, garantizando que cada colaborador posea acceso exclusivo a los recursos estrictamente necesarios para su operación diaria.
En paralelo, es imperativo reforzar las barreras de autenticación. La implementación de la autenticación multifactor (MFA) resulta innegociable en el entorno actual. Al requerir una segunda o tercera capa de verificación mediante tokens dinámicos o biometría, se neutraliza de forma contundente la efectividad de una contraseña robada. Finalmente, las organizaciones deben dotarse de capacidades de detección avanzada a través de centros de operaciones de seguridad (SOC) o servicios gestionados, los cuales proporcionan la telemetría necesaria para identificar comportamientos anómalos y ejecutar protocolos de contención en tiempo real.
