El robo de credenciales es una amenaza que ya lleva más de
una década acechando al mundo. En
Latinoamérica, crece de forma sostenida al ritmo de la digitalización y del
aumento del fraude online,
durante el último año se reportaron más de 2.6 millones de credenciales
comprometidas en la región
latinoamericana, según un informe de SOCRadar en 2025. ESET, compañía
líder en detección proactiva
de amenazas, advierte que el acceso a una cuenta de correo permite a los
atacantes llegar a servicios
bancarios, plataformas corporativas, información financiera y hasta historiales
médicos.
La forma en la que los cibercriminales llegan a las contraseñas de los usuarios
es variada en cuanto a
dificultad o conocimiento técnico necesario. ESET las divide en tres
metodologías: las que abusan de
técnicas de ingeniería social, las que utilizan malware y las que ocurren producto
de un ataque a la
organización que debiera protegerlas.
1. Técnicas de ingeniería social: Este método usa falsamente el nombre de
entidades públicas o
compañías reconocidas para reducir las barreras de desconfianza y aumenta la
efectividad de los
ataques. El más utilizado es el envío de correos electrónicos, o aplicaciones
de mensajería en los que el
atacante se hace pasar por una entidad legítima para engañar a la víctima y
persuadirla de que entregue
sus datos de acceso de forma voluntaria.
Estos mensajes tienen como característica común que apelan a la urgencia y
simulan ser una
notificación de algún problema que requiere acción inmediata: inconvenientes
con una cuenta, un pago
rechazado, problemas con una reserva, entre miles de excusas. Suelen contener
un link malicioso a sitios
que imitan a los legítimos para lograr el robo de los datos sensibles de las
víctimas, como contraseñas y
nombres de usuario.
Pie de imagen: Distribución de detecciones de infostealers
por país, en Latinoamérica, Fuente telemetría ESET.
ESET -Nota de Prensa
Otra forma que toma el phishing es a través de sitios falsos
que se posicionan entre los resultados de
buscadores como Google como anuncios patrocinados, debido a que el atacante
paga por visibilidad
para suplantar páginas reales. En estos escenarios hasta personas precavidas
pueden ser engañadas a
hacer clic en un resultado aparentemente legítimo que replica la
identidad visual de bancos, plataformas
de correo, servicios en la nube o empresas de renombre.
2. Distribución de malware específico: Otra vía frecuente para el robo de
contraseñas es el uso de
malware que actúan una vez que el dispositivo del usuario ya fue comprometido.
En estos casos,
advierte ESET, no hay un engaño puntual ni un mensaje que funcione como alerta,
sino que el robo
ocurre en segundo plano, muchas veces sin que la víctima lo perciba.
Los infostealers, keyloggers y spyware tienen en común la recolección de
información sensible de forma
continua, incluyendo contraseñas almacenadas en navegadores, datos de
autocompletado, credenciales
de aplicaciones y sesiones activas. El impacto de estos tipos de malware,
destaca ESET, no se limita a
una sola cuenta, ya que el programa malicioso sigue recolectando credenciales
mientras el usuario
utiliza el dispositivo infectado.
Pie de imagen: Distribución de detecciones de infostealers
por país, en Latinoamérica. Fuente: Telemetría ESET.
Dentro de este mismo ecosistema aparecen los troyanos bancarios, que se enfocan
específicamente en
credenciales de accesos a cuentas bancarias y plataformas financieras. Mediante
ventanas falsas
capturan datos en el momento que el usuario los ingresa. Este tipo de
amenaza, que no es nueva en la
región, superó las 650 mil detecciones únicas durante 2025 de las cuales 110
mil correspondieron a una
misma familia: Guildma.
3. Ataque a organizaciones: Otra fuente relevante de robo de credenciales son
los incidentes en los que
las bases de datos de una organización quedan expuestas como consecuencia de
una debilidad o falla en
sus sistemas. En los escenarios más críticos, las filtraciones incluyen
credenciales completas, ya sea en
texto plano o con mecanismos de protección débiles, lo que permite a los
atacantes reutilizarlas de
forma inmediata. Sin embargo, incluso cuando las contraseñas no quedan
expuestas directamente, la
filtración de correos electrónicos o nombres de usuario sigue siendo valiosa.
Esta información se utiliza
luego como base para ataques de relleno de credenciales o fuerza bruta,
aprovechando la reutilización
de contraseñas entre distintos servicios.
ESET -Nota de Prensa
Una vez que una base de datos es comprometida, la
información puede circular durante años en foros
clandestinos y reutilizarse en distintos contextos y contra múltiples
plataformas. De esta forma, una
brecha puntual en una organización termina amplificando el riesgo para otras
empresas y para los
propios usuarios, incluso mucho después de que el incidente original haya sido
corregido.
“También existen amenazas que usan fuerza bruta. Estas consisten en probar de
manera automatizada
múltiples combinaciones de usuario y contraseña hasta lograr un acceso válido,
sin necesidad de
engañar al usuario ni de comprometer previamente su dispositivo. Suele apoyarse
en listas de
contraseñas comunes o en credenciales filtradas en incidentes anteriores,
aprovechando la reutilización
de claves y la falta de controles adicionales de autenticación. Cuando los
servicios expuestos no cuentan
con mecanismos de limitación de intentos o monitoreo adecuado, este tipo de
ataques sigue siendo
efectivo, especialmente contra accesos remotos, aplicaciones web y servicios
corporativos publicados en
Internet.”, comenta Martina López, Investigadora de seguridad informática de
ESET Latinoamérica.
El robo de credenciales puede producirse a través de distintos vectores. El
equipo de ESET sostiene que
la prevención no depende de que se tome una sola medida, sino de una
combinación de prácticas:
· Usar contraseñas únicas y
robustas para cada servicio, ya que el stuffing de credenciales es
una
práctica común entre los ciberatacantes con credenciales que son
comercializadas.
· Habilitar la
autenticación multifactor cuando sea posible, ya que este mecanismo se
complementa
con las contraseñas que utilizamos.
· Desconfiar de mensajes
inesperados y evitar descargar archivos o ingresar a enlaces sospechosos, ya
que el malware y el phishing siguen siendo las formas más comunes de robo de
credenciales.
· Almacenar las contraseñas
en gestores, y evitar guardarlas en texto plano o en dispositivos
compartidos.
· Mantener sistemas y
aplicaciones actualizadas para enmendar posibles vulnerabilidades que tengan.
· Revisar accesos y
actividad inusual en las cuentas, ya sea manteniendo activadas las alertas de
inicio
de sesión o buscando dentro de las secciones de privacidad o accesos de las
aplicaciones.
En caso de que la contraseña ya haya sido robada, desde ESET destacan que el
tiempo de reacción
marca la diferencia entre un incidente aislado o un problema mayor. Por eso,
recomiendan:
· Cambiar las contraseñas
afectadas y todas aquellas donde se haya usado la misma credencial.
· Cerrar las sesiones
activas de la cuenta afectada y desautorizar accesos recientes, en servicios y
aplicaciones donde exista la posibilidad.
· Verificar cambios no
autorizados en las cuentas, y monitorear para el futuro: Mensajes,
configuraciones, pagos, entre otros.
· Usar una herramienta de
seguridad en los dispositivos potencialmente afectados, para eliminar
códigos maliciosos si los hubiere.
“Si bien el robo de contraseñas no es una problemática nueva, sí es una que
sigue creciendo y
adaptándose a las nuevas tecnologías, junto a nuestra vida digital cada vez más
compleja. En estas
líneas, la educación digital y las buenas prácticas se vuelven necesarias para
proteger nuestra identidad,
información y dispositivos a nivel individual y corporativo. Mantenerse
informado es vital para
adelantarnos a las últimas tendencias de seguridad informática.”, concluye
López de ESET.
