Los ciberdelincuentes no siempre necesitan malware sofisticado para entrar en una empresa. Muchas veces les basta con una contraseña débil, una cuenta reutilizada o un usuario legítimo que ha sido comprometido. Un informe global de Kaspersky Security Services sitúa el abuso de credenciales entre las tácticas más efectivas observadas en 2025, por delante de técnicas más ruidosas que suelen activar antes las defensas tradicionales.
El dato obliga a mirar la ciberseguridad desde otro ángulo. Durante años, muchas organizaciones han invertido en antivirus, EDR, firewalls y protección perimetral, pero los atacantes han aprendido a moverse con credenciales válidas. Cuando alguien accede con un usuario real, desde una ubicación plausible y usando herramientas administrativas legítimas, la frontera entre actividad normal y ataque se vuelve mucho más difícil de distinguir.
El atacante ya no fuerza la puerta: entra con una llave
Según el informe Anatomy of a Cyber World, elaborado a partir de datos de Managed Detection and Response, respuesta a incidentes, evaluaciones de compromiso y consultoría SOC de Kaspersky, la técnica con mayor tasa de conversión a incidente confirmado fue el password guessing, con un 34,8 %. Es decir, intentos sistemáticos de adivinar contraseñas hasta encontrar una combinación válida.
La creación de cuentas locales aparece prácticamente al mismo nivel, con un 34,7 %. Una vez dentro de un sistema, los atacantes suelen crear nuevas cuentas para mantener el acceso aunque el punto inicial de entrada sea detectado y eliminado. Esta actividad puede detectarse, pero solo si la organización dispone de la telemetría adecuada y conserva registros suficientes para reconstruir lo ocurrido.
El abuso de cuentas válidas alcanza una tasa del 34,5 %. Aquí el problema es especialmente delicado: el atacante no necesita instalar malware ni explotar una vulnerabilidad visible. Puede iniciar sesión con credenciales robadas, moverse por sistemas internos y mezclarse con el comportamiento habitual de los usuarios. MITRE ATT&CK recoge esta técnica como Valid Accounts y recomienda, entre otras medidas, implantar autenticación multifactor en cuentas locales, de dominio, cloud y cuentas por defecto.
También destacan la manipulación de cuentas, con un 32 %, y el descubrimiento de servicios de red, con un 31,2 %. La primera permite ampliar privilegios, reactivar cuentas deshabilitadas o modificar pertenencias a grupos. La segunda funciona como fase de reconocimiento antes del movimiento lateral. En ambos casos, el patrón es claro: los atacantes no siempre introducen herramientas nuevas, sino que aprovechan lo que ya existe dentro de la organización.
| Técnica observada | Tasa de conversión a incidente confirmado |
|---|---|
| Adivinación de contraseñas | 34,8 % |
| Creación de cuentas locales | 34,7 % |
| Abuso de cuentas válidas | 34,5 % |
| Manipulación de cuentas | 32,0 % |
| Descubrimiento de servicios de red | 31,2 % |
Por qué las defensas clásicas se quedan cortas
El abuso de credenciales funciona porque reduce el ruido. Un ransomware suele dejar señales claras cuando empieza a cifrar archivos. Un ejecutable malicioso puede ser detectado por firmas, comportamiento anómalo o reglas de protección endpoint. En cambio, una sesión iniciada con usuario y contraseña correctos puede parecer legítima durante demasiado tiempo.
Este cambio favorece ataques más discretos. Los delincuentes pueden usar PowerShell, herramientas de administración remota, consolas cloud, VPN corporativas, RDP, servicios de directorio o paneles internos. Desde el punto de vista de muchos sistemas, no hay un “virus” evidente. Hay un usuario que accede, consulta recursos, cambia permisos o explora la red.
MITRE ATT&CK describe el brute force como el uso de técnicas repetitivas para obtener acceso a cuentas cuando no se conoce la contraseña, ya sea contra un servicio que valida credenciales o contra hashes obtenidos previamente. Esta técnica sigue siendo eficaz porque muchas empresas arrastran contraseñas débiles, reutilización de claves y servicios expuestos con políticas de bloqueo mal configuradas.
La manipulación de cuentas añade otra capa de riesgo. MITRE ATT&CK explica que los adversarios pueden modificar cuentas para mantener o elevar acceso, por ejemplo cambiando credenciales, alterando permisos o modificando grupos. Para un SOC, detectar esta actividad exige correlacionar cambios de identidad con contexto: quién realizó la acción, desde dónde, en qué horario, sobre qué cuenta y con qué privilegios.
El problema no se resuelve solo con más herramientas. Muchas organizaciones ya tienen controles de seguridad, pero no siempre disponen de visibilidad unificada sobre identidades, endpoints, red, aplicaciones SaaS y entornos cloud. Si cada señal queda aislada, el ataque puede avanzar por debajo del umbral de alerta.
Identidad, telemetría y respuesta: el nuevo centro del SOC
La conclusión práctica del informe es incómoda pero útil: las credenciales son infraestructura crítica. No basta con exigir contraseñas largas una vez al año. Hace falta una estrategia de identidad que combine autenticación multifactor, políticas de acceso condicional, revisión de privilegios, protección de cuentas administrativas, detección de anomalías y respuesta rápida ante comportamientos sospechosos.
La autenticación multifactor ya debería ser obligatoria en accesos remotos, cuentas privilegiadas, aplicaciones cloud, paneles de administración y servicios críticos. Pero MFA no es una excusa para relajar el resto de controles. También hay que reducir cuentas innecesarias, eliminar usuarios inactivos, controlar cuentas locales, vigilar cambios en grupos administrativos y limitar el uso de credenciales compartidas.
Otra medida básica es mejorar la telemetría. La creación de una cuenta local, una escalada de privilegios, varios intentos fallidos de acceso, un inicio de sesión fuera de horario o una exploración de servicios internos no siempre son ataques por separado. Combinados, pueden contar una historia muy distinta. De ahí la importancia de correlacionar eventos en un SIEM, un MDR o un SOC con capacidad real de análisis.
Kaspersky apunta precisamente a esa necesidad: visibilidad profunda del comportamiento del atacante y capacidad para correlacionar actividad sospechosa en distintas fases del ataque. La detección moderna no puede limitarse a buscar malware conocido; debe identificar secuencias de comportamiento que indiquen compromiso, persistencia, reconocimiento o movimiento lateral.
Para empresas medianas, este enfoque suele exigir ayuda externa. Mantener un SOC 24/7 con analistas, reglas actualizadas, respuesta a incidentes y capacidad forense no está al alcance de todas las organizaciones. Los servicios MDR pueden cubrir parte de esa brecha, siempre que se integren bien con la infraestructura real y no se queden en una capa de alertas sin contexto.
El abuso de credenciales seguirá funcionando mientras las identidades no se traten como una superficie de ataque de primer nivel. La pregunta que deberían hacerse muchas empresas no es solo si tienen EDR o firewall, sino si sabrían detectar a un atacante que entra con una cuenta válida, crea otra cuenta de respaldo, enumera servicios internos y empieza a moverse sin desplegar malware.
La ciberseguridad corporativa se está desplazando hacia una defensa más centrada en identidad, comportamiento y respuesta. Las contraseñas débiles ya no son un problema menor de usuarios despistados. Son una puerta directa al negocio.
Preguntas frecuentes
¿Qué es el abuso de credenciales?
Es el uso de cuentas legítimas, normalmente robadas o comprometidas, para acceder a sistemas corporativos y moverse dentro de la organización sin levantar sospechas inmediatas.
¿Por qué sigue funcionando la adivinación de contraseñas?
Porque muchas empresas mantienen contraseñas débiles, reutilizadas o sin suficiente protección adicional, especialmente en servicios expuestos, cuentas locales o accesos remotos.
¿La autenticación multifactor evita estos ataques?
Reduce mucho el riesgo, pero no lo elimina por completo. Debe combinarse con control de privilegios, monitorización, detección de anomalías y respuesta ante incidentes.
¿Qué debería vigilar un SOC ante este tipo de amenazas?
Cambios de cuentas, creación de usuarios locales, inicios de sesión anómalos, intentos fallidos repetidos, cambios de permisos, uso extraño de herramientas administrativas y escaneos internos de servicios.
