El robo de credenciales no es solo un inconveniente. A menudo es el primer paso de una reacción en cadena que termina en un compromiso a gran escala.
Más allá del temido proceso de restablecimiento de contraseñas, los ladrones de información, como se ha demostrado en varios ciberataques recientes, pueden tener consecuencias mucho más graves.
Para muchas pequeñas y medianas empresas, el robo de una sola identidad puede suponer días de inactividad y una costosa recuperación.
Estos efectos se multiplican en el contexto empresarial, donde el robo de credenciales y la suplantación de identidades digitales pueden dar lugar a compromisos del correo electrónico empresarial, ransomware y otros problemas, lo que supone para las empresas un tiempo de inactividad y una recuperación críticos.
Un ladrón de información, o «infostealer», es un tipo de malware que recopila silenciosamente datos confidenciales del dispositivo de la víctima y los transmite a actores maliciosos. Este malware puede robar información personal, como nombres de usuario y contraseñas, datos financieros, historial del navegador y otros datos del sistema atacado.
Este tipo de malware suele ser compacto y tiene una funcionalidad limitada en comparación con otras amenazas que acaparan los titulares, como el ransomware. Los creadores de infostealers suelen diseñarlos para que se ejecuten rápidamente, roben datos y se autodestruyan antes de ser detectados.
Los infostealers están fácilmente disponibles para cualquier actor malicioso motivado, lo que pone la capacidad de nivel industrial en manos de atacantes principiantes. El acceso a un servidor de comando y control (C2) operado por el desarrollador puede costar tan solo 50 dólares al mes, según una investigación previa de la Counter Threat Unit de Sophos X-Ops.
Pero, ¿qué ocurre con esas credenciales una vez que son robadas? Una vez que las credenciales salen de tu red, rara vez quedan sin utilizar.
Los actores maliciosos pueden utilizarlas de diversas maneras, incluyendo la extorsión, el despliegue futuro de ransomware, el compromiso del correo electrónico empresarial (BEC) y otros costosos ciberataques.
Extorsión
Al igual que cuando los actores maliciosos roban archivos en un ataque de ransomware, pueden extorsionar a las víctimas para que paguen un rescate a cambio de no filtrar esas credenciales o información personal robadas en foros de la deep web y la dark web.
En el caso del ataque a la cadena de suministro de Snowflake, los actores maliciosos con motivaciones económicas robaron las credenciales de inicio de sesión de cientos de empresas y las extorsionaron individualmente. Algunas de las credenciales habían sido robadas cuatro años antes, sin que las organizaciones fueran conscientes de esta amenaza.
Si las empresas extorsionadas no pagaban, los autores del ataque amenazaban con filtrar las credenciales o venderlas a otros delincuentes. La consiguiente extorsión a las empresas afectadas provocó pérdidas económicas directas y ganancias ilícitas de más de 2 millones de dólares, según la Cloud Security Alliance.
Para muchas víctimas, estas extorsiones llegan sin previo aviso, a menudo años después de la infección inicial.
Ataques de ransomware
A menudo, los ladrones de información son solo la primera etapa de un ataque más largo que termina con un ransomware.
Las credenciales robadas por los ladrones de información se empaquetan en «registros» y se venden en mercados de la web oscura o se comparten a través de plataformas de mensajería como Telegram. A continuación, los intermediarios de acceso inicial compran estos registros, validan las credenciales y revenden ese acceso a los operadores de ransomware.
Con las credenciales válidas en su poder, los delincuentes pueden eludir las defensas tradicionales, como los filtros de phishing o los escáneres de vulnerabilidades. Si no se aplica la autenticación multifactorial (MFA), las cookies robadas pueden incluso conceder acceso total. Una vez dentro, los afiliados al ransomware se mueven lateralmente, extraen datos confidenciales y despliegan cargas útiles de cifrado, bloqueando los sistemas y exigiendo un pago.
Este ecosistema criminal, desde los ladrones de información hasta los intermediarios de acceso y los operadores de ransomware, funciona como una cadena de suministro, en la que cada actor se especializa en una fase diferente del ataque. Esto hace que sea más fácil, rápido y rentable comprometer a las organizaciones. De hecho, las credenciales comprometidas fueron la segunda causa más común de los ataques de ransomware, según el informe Sophos State of Ransomware 2025.
Compromiso del correo electrónico empresarial
Más allá del ransomware, los actores maliciosos suelen explotar las credenciales robadas en estafas posteriores, como el compromiso del correo electrónico empresarial (BEC), independientemente de si fueron los ladrones originales.
El BEC se produce cuando un adversario consigue suplantar a una empresa objetivo o a un empleado de esa organización para engañar a los objetivos y hacerles creer que los correos electrónicos que reciben son legítimos.
En 2023, la Counter Threat Unit (CTU) de Sophos X-Ops observó que los actores maliciosos atacaban a hoteles con campañas de phishing diseñadas para distribuir infostealers y comprometer sus sistemas. Una vez infectados, los actores maliciosos responsables del ataque recopilaron las credenciales de las cuentas de Booking.com de los hoteles.
Con acceso directo a estas cuentas, los actores maliciosos utilizaron canales de mensajería legítimos de Booking.com para ponerse en contacto con los huéspedes que tenían reservas próximas. Enviaron mensajes de phishing convincentes relacionados con reservas reales, a menudo solicitando pagos fraudulentos. Dado que los mensajes procedían de fuentes fiables y hacían referencia a reservas reales, las víctimas eran más propensas a cumplirlos.
También existía un floreciente mercado secundario para estas credenciales. Los investigadores de la CTU observaron una gran demanda en foros clandestinos de credenciales de Booking.com, y otros actores maliciosos solicitaron registros de infostealers que incluían credenciales para el portal de gestión de propiedades admin[.]Booking[.]com, que, una vez iniciada la sesión, permitía a los actores ver cualquier reserva próxima de un huésped y aprovechar esa información en correos electrónicos maliciosos.
Cómo proteger tus credenciales con Sophos
La identidad se ha convertido en el plano de control de los ciberataques modernos. Los ciberdelincuentes están desplegando cada vez más ataques sofisticados que aprovechan las identidades comprometidas para obtener acceso no autorizado a datos y sistemas confidenciales. El 90 % de las organizaciones sufrieron al menos una violación relacionada con la identidad en el último año, según un estudio de 2024 de la Identity Defined Security Alliance (IDSA).
Sophos Identity Threat Detection and Response (ITDR) está diseñado específicamente para detener los ataques basados en la identidad en tiempo real. Supervisa continuamente tu entorno en busca de riesgos de identidad y configuraciones incorrectas, al tiempo que aprovecha la inteligencia de la web oscura para descubrir credenciales comprometidas, incluso antes de que se utilicen como arma.
Las organizaciones pueden reforzar sus defensas adoptando una postura proactiva. Las medidas preventivas, como mantener una buena higiene de seguridad y reforzar la postura de seguridad de la identidad antes de que se produzca un ataque, son tan importantes como los esfuerzos de detección y respuesta, que implican supervisar los ataques y detenerlos una vez que se han producido.
Pero para garantizar la seguridad de tus credenciales y datos confidenciales, Sophos ITDR puede alertarte de cualquier posible robo o filtración de credenciales antes de que un agente malicioso pueda difundirlas en línea a otras personas o utilizarlas en ataques posteriores.
Dado que los ladrones de información alimentan una economía sumergida en auge basada en el acceso robado, las organizaciones deben actuar antes de que las credenciales se conviertan en un arma. Sophos ITDR te permite tomar el control, detectar las amenazas de forma temprana y responder con confianza. No esperes al próximo inicio de sesión sospechoso o a la próxima sorpresa en tu bandeja de entrada. Da un paso proactivo hacia una protección de identidad más sólida: empieza hoy mismo tu prueba gratuita de Sophos ITDR.
