Si se filtran las credenciales de su organización, los resultados inmediatos son raros, pero el impacto a largo plazo es de gran alcance. Lejos de las tácticas de la capa y la daga que se ven en la ficción, muchas violaciones cibernéticas del mundo real comienzan con lo aparentemente simple: los nombres de usuario y las contraseñas.
Según el informe de investigación de violación de datos 2025 de Verizon, las credenciales filtradas representaron el 22% de las violaciones en 2024, superando la explotación de phishing y software. Esto es casi una cuarta parte de todos los incidentes y se inicia iniciando sesión por la puerta principal en lugar de un día cero o una amenaza altamente persistente.
Esta amenaza tranquila y persistente continúa creciendo. Los nuevos datos compilados por Cyberint (una compañía externa de gestión de riesgos e inteligencia de amenazas obtenidas recientemente en el punto de control) ha visto un aumento del 160% en las credenciales filtradas en 2025 en comparación con el año anterior. El informe, titulado Rise of Leaked Credentials, examina no solo la cantidad de estas filtraciones, sino también cómo están siendo explotadas y qué pueden hacer las organizaciones para avanzar de ellas. Definitivamente vale la pena leer para el gerente de reducción de riesgos.
Lea el informe: Rise de credenciales filtradas
Ofrimientos impulsados por la automatización y la accesibilidad
Los volúmenes no son la única forma de aumentar las credenciales filtradas. También hay información sobre velocidad y accesibilidad. En solo un mes, Cyberint ha identificado más de 14,000 exposiciones de calificación de la compañía relacionadas con organizaciones cuyas políticas de contraseña aún están intactas.
La automatización ha hecho que sea más fácil conocer sus credenciales. El malware del infostaler, a menudo vendido como un servicio, permite a los atacantes aún menos calificados cosechar datos de inicio de sesión de los navegadores y la memoria. Las campañas de phishing generadas por IA pueden imitar el tono, el idioma y la marca con la precisión misteriosa. Una vez que se recogen las credenciales, se venden en mercados subterráneos o se ofrecen en paquetes en canales de telegrama y foros ilegales.
Como se describe en el libro electrónico, el tiempo promedio que lleva reparar credenciales filtradas a través del repositorio de GitHub es de 94 días. Esta es una ventana de tres meses donde un atacante explota el acceso y no se detecta.
Cómo se usan las credenciales como moneda
Las credenciales filtradas son la moneda del atacante, y su valor excede el inicio de sesión inicial. Una vez recuperado, estas credenciales se convierten en un vector de varias actividades maliciosas.
La adquisición de la cuenta (ATO): un atacante inicia sesión en la cuenta de un usuario y envía correos electrónicos de phishing de fuentes legítimas, tambalean con datos o lanza estafas financieras. Calificaciones: si un usuario reutiliza las contraseñas en todo el servicio, una violación de una cuenta puede conducir a otra en una reacción en cadena. Distribución de spam y redes de bots: el correo electrónico y las cuentas sociales actúan como lanzadores para la desinformación, campañas de spam o abuso promocional. Correo electrónico y torótico: algunos actores se han puesto en contacto con la víctima y amenazaron con exponer su elegibilidad a menos que se realice el pago. Puede cambiar su contraseña, pero si el alcance de la violación no está claro, la víctima a menudo se encuentra en pánico.
Los efectos aguas abajo no siempre son obvios. Por ejemplo, una cuenta de Gmail personal comprometida puede proporcionar a los atacantes acceso a correos electrónicos de recuperación de servicios corporativos o descubrir enlaces compartidos en archivos adjuntos confidenciales.
Ver lo que otros se han perdido
Actualmente parte del punto de control, Cyberint utiliza sistemas de recolección automatizados y agentes de IA para monitorear una amplia gama de fuentes en la red abierta, profunda y oscura. Estos sistemas están diseñados para detectar credenciales filtradas a escala, correlacionando detalles como patrones de dominio, reutilización de contraseñas, metadatos organizacionales y más para identificar posibles exposiciones, ya sea publicando o incluido anónimamente con otros. Las alertas enriquecen el contexto para respaldar el triaje rápido, y la integración con las plataformas SIEM y SOAR permite acciones inmediatas como revocar credenciales y realizar restos de contraseña.
Los analistas de Cyberint luego intervienen. Estos equipos realizan investigaciones específicas en foros cerrados, evalúan la confiabilidad de las reclamaciones de amenazas y las señales de identidad y atribución. Al combinar la cobertura impulsada por la máquina con acceso directo a las comunidades subterráneas, Cyberint ofrece escala y precisión. Permite que los equipos actúen antes de que las calificaciones filtradas se usen activamente.
Las fugas de credenciales no se producen solo en estaciones de trabajo monitoreadas. Según los datos de Cyberint, el 46% de los dispositivos asociados con fugas de credenciales corporativas no están protegidos por el monitoreo de puntos finales. Estos incluyen computadoras portátiles personales o dispositivos no administrados que permiten a los empleados acceder a aplicaciones comerciales.
La pila de detección de amenazas de Cyberint se integra con las herramientas SIEM y SOAR para permitir respuestas automatizadas en el momento en que se identifica una violación, como revocar el acceso o forzar un restablecimiento de contraseña. Esto cierra la brecha de detección y acción. Este es un factor importante cada hora.
El informe completo profundiza cómo funcionan estos procesos y cómo las organizaciones operan esta inteligencia en sus equipos. Para obtener más información, consulte el informe completo aquí.
La detección de exposición es actualmente una ventaja competitiva
Incluso con políticas de contraseña seguras, MFA y el último filtrado de correo electrónico, el robo de credenciales sigue siendo una posibilidad estadística. Lo que distingue a las organizaciones es qué tan rápido se detectan las exposiciones y qué tan bien es el flujo de trabajo de remediación.
Los dos libros de jugadas presentados en el libro electrónico muestran cómo los equipos pueden responder de manera efectiva, tanto con credenciales de proveedores de empleados como de terceros. Cada paso describe los pasos para el descubrimiento, la validación de la fuente, la revocación de acceso, la comunicación de las partes interesadas y la revisión posterior al rendimiento.
Pero este es el punto importante. Los descubrimientos proactivos son más importantes que la medicina forense reactiva. Esperar que un actor de amenaza haga el primer movimiento aumentará el tiempo de permanencia y aumentará el rango de daño.
La capacidad de identificar credenciales inmediatamente después de su aparición en foros subterráneos antes de que se empaqueten o armen en campañas automatizadas es lo que separa las defensas exitosas de las limpiezas reactivas.
Si se pregunta si su organización publica credenciales flotando en la web profunda o oscura, no necesita adivinar. Puedes comprobarlo.
Consulte la web abierta, profunda y oscura para las credenciales organizacionales ahora
No es solo mitigación
Un solo control no puede eliminar por completo el riesgo de exposición a las credenciales, pero múltiples capas pueden reducir el impacto.
Política de contraseña segura: cambios de contraseña periódica y prohíbe la reutilización entre plataformas. SSO y MFA: agregue barreras más allá de las contraseñas. Incluso los MFA básicos hacen que el relleno de credenciales sea mucho más efectivo. Límite de velocidad: intente establecer umbrales de inicio de sesión para confundir la fuerza bruta y las tácticas de rociado de calificación. POLP: Las cuentas comprometidas no proporcionan entradas más amplias, ya que restringen el acceso de los usuarios a solo lo que necesitan. Capacitación de concientización sobre pesca: educar a los usuarios sobre técnicas de ingeniería social para reducir las fugas tempranas. Monitoreo de la exposición: implementa la detección en los foros, mercados y sitios de pegado para marcar menciones de credenciales corporativas.
Cada uno de estos controles es útil, pero juntos, no es suficiente si la exposición no se nota durante semanas o meses. Ahí es donde entra la inteligencia de detección de Cyberint.
Leer el informe completo lo ayudará a aprender más.
Antes de que se robe la próxima contraseña
No importa si se publican las cuentas asociadas con el dominio. Ya ha sucedido. La verdadera pregunta es, ¿se encontró?
Actualmente, miles de credenciales asociadas con cuentas activas se pasan en mercados, foros y chats de telegrama. Muchos pertenecen a los usuarios que todavía tienen acceso a recursos corporativos. Algunos pueden contener metadatos agrupados como tipos de dispositivos, cookies de sesión e incluso credenciales de VPN. Una vez compartida, esta información se extiende rápidamente y se vuelve imposible de retirar.
Identificar exposiciones antes de que se usen es uno de los pocos beneficios significativos que tienen los defensores. Y comienza con saber dónde mirar.
La inteligencia de amenazas juega un papel central en la detección y la respuesta, especialmente cuando se trata de credenciales publicadas públicamente. Dada la distribución generalizada en la red penal, las credenciales requieren un proceso claro para el monitoreo y la mitigación enfocados.
Compruebe si las calificaciones de su empresa están disponibles públicamente. Cuanto antes se descubran, menos incidentes responderán más tarde.
Source link
