Cibercriminales ponen la mira en las credenciales robadas: 1 de cada 3 ataques inicia con cuentas de empleados

¿Y si el eslabón más débil de la ciberseguridad en tu empresa no es el firewall, sino una contraseña? Eso es lo que revela el más reciente informe de Respuesta a Incidentes 2024 de la firma global de ciberseguridad Kaspersky. En el informe, se alerta que el 31.4 % de los ataques registrados en Centroamérica y República Dominicana durante el último año comenzaron con credenciales robadas de empleados. Es decir, casi uno de cada tres incidentes informáticos empieza con un usuario y una contraseña filtrados.

Durante 2024, los ciberdelincuentes consolidaron el uso de cuentas comprometidas como una de las puertas de entrada más efectivas. Esto incluye accesos internos —como cuentas de correo, plataformas de trabajo o sesiones administrativas— que fueron previamente robadas, filtradas o vendidas en la darknet. Estas credenciales son utilizadas para penetrar redes empresariales y lanzar ataques mucho más complejos, como secuestros de datos (ransomware) o espionaje corporativo.

Sin embargo, este no es el único método que está siendo explotado. Los accesos inseguros a plataformas mal configuradas o abiertas a internet representaron el 39.2 % de los ataques. Esto se consolidó como la técnica más usada. Esto incluye servidores web, aplicaciones en la nube sin restricciones adecuadas o configuraciones incorrectas que los hacen vulnerables.

¿Quiénes están detrás?

El informe destaca el papel cada vez más activo de los llamados “brokers de acceso inicial”. Estas son organizaciones criminales que se dedican exclusivamente a recolectar y comercializar credenciales comprometidas. Estos actores no necesariamente ejecutan el ataque final. En su lugar, venden el acceso a grupos más grandes, facilitando así el modelo delictivo conocido como Ransomware como Servicio (RaaS).

Eduardo Chavarro, director del Grupo de Respuesta a Incidentes y forense digital para las Américas en Kaspersky, afirmó:

“Los atacantes ya no dependen exclusivamente de vulnerabilidades técnicas. Ahora se enfocan en explotar fallos humanos, credenciales filtradas y relaciones de confianza dentro de las organizaciones”.

¿Dónde y cuándo fue detectada esta tendencia?

La investigación se desarrolló a lo largo de 2024, a partir de incidentes reales. Estos fueron gestionados por el equipo de expertos de Kaspersky en Centroamérica y República Dominicana. El informe fue presentado el 19 de junio de 2025. Se suma a una serie de alertas globales sobre el auge del acceso inicial como vector crítico de ciberataques en la región.

Porque las empresas, sin importar su tamaño, están expuestas. En muchos casos, las cuentas ya habían sido comprometidas desde hace meses y nadie se dio cuenta. Además, los atacantes están perfeccionando sus técnicas. El 12.8 % de los ataques se originaron por relaciones de confianza internas, como correos entre compañeros o accesos compartidos. Por su parte, el phishing (correos o mensajes falsos que buscan engañar a los usuarios) se mantuvo presente en el 9.8 % de los incidentes.

Este panorama resalta una realidad dura: los errores humanos siguen siendo el talón de Aquiles de la ciberseguridad corporativa.

¿Cómo protegerse?

Ante este creciente riesgo, los expertos de Kaspersky ofrecen varias recomendaciones clave para fortalecer la ciberdefensa empresarial:

• Contraseñas seguras + verificación en dos pasos: que sean largas, únicas y combinadas con autenticación multifactor.
• Desactivar accesos innecesarios: cerrar herramientas de administración remota si no son estrictamente requeridas.
• Mantener sistemas actualizados: sobre todo aquellos que están expuestos a internet.
• Capacitación constante: para que los empleados reconozcan señales de alerta como correos fraudulentos o enlaces sospechosos.
• Implementar inteligencia de amenazas: herramientas como Kaspersky Threat Intelligence permiten detectar ataques desde etapas tempranas.

“Solo con tecnología, monitoreo constante y una cultura organizacional preparada podremos ir un paso adelante ante un entorno de amenazas cada vez más complejo”, concluye Chavarro.

El informe deja claro que la ciberseguridad ya no es un tema solo de departamentos de TI, sino una prioridad estratégica. Cada empleado que maneja una cuenta corporativa puede ser el punto de inicio de un ataque. Además, cada minuto sin reforzar la seguridad digital puede traducirse en pérdidas millonarias o en la exposición de información crítica.