Resumen ejecutivo del Informe Global sobre Amenazas 2026 de CrowdStrike: el informe definitivo sobre inteligencia de amenazas para la era de la IA Descargar

¿Qué es la inserción de credenciales?

La inserción de credenciales es un tipo de ciberataque en el que los ciberdelincuentes utilizan las credenciales de inicio de sesión que han robado de un sistema para intentar acceder a otros sistemas no relacionados.

Los ataques de inserción de credenciales funcionan conforme a la premisa de que las personas a menudo usan el mismo ID de usuario y contraseña en múltiples cuentas. Por tanto, poseer las credenciales de una cuenta puede otorgar acceso a otra cuenta no relacionada.

¿A qué se debe el auge de la inserción de credenciales?

La inserción de credenciales es un riesgo creciente por varios motivos:

  • Disponibilidad de credenciales: en los últimos años, se han robado o filtrado decenas de miles de millones de nombres de usuario y contraseñas. Estas credenciales se publican para su compra en el mercado digital de la dark web. Pueden utilizarse como punto de partida para ataques de inserción de credenciales, además de servir como host de otros ciberataques.
  • Avances tecnológicos: los ataques de inserción de credenciales aprovechan bots u otras herramientas de automatización inteligente para intentar iniciar sesión en varias cuentas en cuestión de segundos. Como estos bots están programados para probar una combinación específica de ID de usuario y contraseña, la herramienta solo intenta iniciar sesión en un sistema determinado una vez. Esto permite que la herramienta eluda muchas medidas de seguridad tradicionales, como aquellas que bloquean direcciones IP que tienen demasiados intentos fallidos de inicio de sesión.
  • Barrera de entrada reducida: el nivel de habilidad tecnológica necesario para lanzar un ataque de inserción de credenciales es extremadamente bajo, al igual que el coste. Por tan solo 50 dólares, cualquiera con un ordenador puede comprar una cuenta comprometida en la dark web y lanzar un ataque de inserción de credenciales.
  • Transición al teletrabajo: la pandemia de COVID-19 aceleró la tendencia de la plantilla remota y dejó a muchas empresas en evidencia, ya que carecen de la preparación necesaria para defender una red distribuida. Los ciberdelincuentes han aprovechado este cambio y están empleando credenciales de cuentas personales para tratar de acceder a dispositivos y servicios comerciales.
  • Dificultad de detección: en un ataque de inserción de credenciales exitoso, el adversario se hace pasar por un usuario legítimo, como un empleado, un contratista o incluso un proveedor externo. Esto, junto con la ausencia de malware u otros vectores de ataque, dificulta enormemente detectar un ataque de inserción de credenciales mediante las defensas de ciberseguridad tradicionales.

¿Cómo funciona un ataque de inserción de credenciales?

Los ataques de inserción de credenciales siguen una ruta de ataque relativamente simple:

1. Los ciberdelincuentes aprovechan credenciales de cuentas robadas o compran credenciales vulneradas a través de la dark web. Estas credenciales suelen provenir de una brecha de datos masiva u otro tipo de ciberataque. En la mayoría de los casos, esta información puede comprarse por muy poco dinero.

2. Con las credenciales de al menos una cuenta en línea, el ciberdelincuente configura una red de bots u otra herramienta de automatización para intentar iniciar sesión en múltiples cuentas independientes de forma simultánea. Por lo general, el bot tiene una función que oculta o falsifica la dirección IP para evitar activar herramientas de seguridad que puedan bloquear direcciones externas o inusuales.

3. Seguidamente, el bot verifica si se concedió acceso a algún servicio o cuenta secundaria. En caso de que el intento de inicio de sesión tenga éxito, el actor recopilará información adicional, como datos personales, información de tarjetas de crédito o datos bancarios. Los estafadores también pueden participar en una serie de otras estafas o delitos, como:

  • Vender el acceso a cuentas de suscripción en línea comprometidas, como servicios de streaming, medios de comunicación, plataformas de videojuegos y más a través de la dark web
  • Comprar bienes o servicios mediante métodos de pago almacenados
  • Tomar el control de una cuenta; de este modo, el adversario asume el control de la cuenta y cambia la configuración de seguridad, la información de contacto y otros datos para realizar actividades futuras con mayor facilidad
  • Vender información personal obtenida a través de la cuenta del cliente para impulsar campañas de phishing y respaldar métodos de ataque más avanzados

Si los hackers logran acceder a una red corporativa a través de una cuenta comprometida, como la de un empleado, un contratista o un proveedor, pueden aprovechar para moverse lateralmente, instalar puertas traseras, obtener conocimientos sobre el sistema para usarlo en futuros ataques y, por supuesto, robar datos. Como el actor emplea credenciales de cuenta legítimas, parece ser un usuario real, lo que dificulta detectar esta actividad mediante medidas de seguridad tradicionales.

Más información

Lee este artículo para comprender qué es la recopilación de credenciales y cómo la aprovechan los ciberdelincuentes para su propio beneficio.

¿Qué es la recopilación de credenciales?

Ataques de inserción de credenciales vs. ataques de fuerza bruta

Aunque la naturaleza de la inserción de credenciales y los ataques de fuerza bruta es similar, lo cierto es que son diferentes.

En un ataque de fuerza bruta, el atacante intenta obtener acceso a datos y sistemas confidenciales probando sistemáticamente tantas combinaciones de nombres de usuario y contraseñas como sea posible.

La inserción de credenciales se parece en tanto en cuanto el adversario trata de acceder a un sistema sin autorización. Sin embargo, existen varias diferencias fundamentales entre estos ataques:

Especificidad del ataque

En un ataque de fuerza bruta, el atacante intenta obtener acceso averiguando el ID del usuario, la contraseña o ambos. Muy a menudo, los ciberdelincuentes utilizan contraseñas de uso común o frases habituales en su afán por lograr su objetivo. En general, los ataques solo tienen éxito si el usuario ha seleccionado una contraseña popular y sencilla, como "Qwerty", "Contraseña" o "123456".

En un ataque de inserción de credenciales, el adversario posee las credenciales del usuario para un servicio determinado e intenta utilizar esa información para acceder a otra red distinta. Por ejemplo, si las credenciales de un usuario para su servicio de telefonía móvil se han visto comprometidas en una brecha de datos, el ciberatacante empleará esa información para intentar iniciar sesión en otros servicios públicos, en sitios bancarios, en marketplaces o en otras cuentas digitales.

Intentos de acceso

En un ataque de fuerza bruta, el bot suele estar programado para probar varias combinaciones de ID de usuario y contraseñas. Si bien estos ataques se han vuelto más sofisticados y pueden eludir con éxito las medidas de seguridad, muchos resultan en el bloqueo de la dirección IP debido a los excesivos intentos de inicio de sesión fallidos. Este factor, sumado a la falta de contexto a la hora de averiguar las credenciales, hace que los ataques de fuerza bruta tengan mucho menos éxito en comparación con la inserción de credenciales.

Por contra, los ataques de inserción de credenciales son mucho más específicos. En estos ataques, el bot prueba un ID de usuario y una contraseña concretos en una variedad de sitios. Dado que la herramienta no realiza múltiples intentos de acceso, esta actividad suele pasar desapercibida para la mayoría de las herramientas de seguridad tradicionales.

Seguridad de la contraseña

Como los ataques de fuerza bruta intentan obtener acceso usando una contraseña simple y común, la mayoría de estos ataques se pueden prevenir seleccionando contraseñas fuertes y únicas para cada sitio o servicio.

En el caso de un ataque de inserción de credenciales, la seguridad de la contraseña no es un problema, pues el ciberdelincuente emplea una cuenta comprometida como punto de partida para futuros inicios de sesión. Incluso las contraseñas más seguras pueden suponer un riesgo si se comparten entre varias cuentas.

¿Cómo detectar y prevenir la inserción de credenciales?

Para prevenir los ataques de inserción de credenciales a nivel empresarial, las organizaciones deben comprender que las prácticas recomendadas tradicionales en materia de seguridad, como establecer requisitos de contraseñas seguras y supervisar múltiples intentos de inicio de sesión, ofrecerán una ayuda limitada en lo que respecta a este método de ataque concreto. Dicho esto, existen varias medidas efectivas que las empresas pueden tomar para evitar este tipo de ataques y limitar su impacto:

Activar la autenticación multifactor (MFA)

La autenticación multifactor (MFA) requiere que todos los usuarios utilicen más de un método para autenticar su identidad. Esto puede incluir una combinación de credenciales de cuenta tradicionales, un token de seguridad a través de un mensaje de texto o una herramienta de autenticación, o una verificación biométrica. Las organizaciones que activan la autenticación MFA están mucho más protegidas contra ataques de inserción de credenciales, ya que los ciberdelincuentes generalmente solo tienen a su disposición las credenciales de la cuenta, que no son suficiente sin un factor de autenticación secundario.

Implementar higiene de TI

Una herramienta de higiene de TI como CrowdStrike Falcon® Discover™ proporciona visibilidad sobre el uso de credenciales en la organización para detectar actividades administrativas potencialmente maliciosas. La función de monitorización de cuentas permite a los equipos de seguridad verificar la presencia de cuentas creadas por ciberdelincuentes para mantener el acceso. También garantizará que las contraseñas se cambien periódicamente para que no se puedan usar indefinidamente si alguien las roba.

Añadir un Threat Hunting proactivo

El Threat Hunting verdaderamente proactivo, como es el caso de CrowdStrike Falcon® OverWatch™, permite la búsqueda ininterrumpida de amenazas y ataques desconocidos y sigilosos que emplean credenciales robadas y se lanzan suplantando la identidad de usuarios legítimos. Precisamente este tipo de ataques son los que las medidas tradicionales pueden pasar por alto. Al emplear la experiencia adquirida en su lucha diaria contra atacantes sofisticados que recurren a amenazas persistentes avanzadas (APT), el equipo de OverWatch encuentra y rastrea millones de pistas sutiles a diario para validar si son legítimas o maliciosas, alertando a los clientes cuando es necesario.

Formar a los empleados para que sean conscientes de los riesgos que entrañan las contraseñas débiles

Los ataques de inserción de credenciales casi siempre pueden rastrearse hasta un individuo que utiliza la misma contraseña en múltiples servicios. Incluso si el usuario escoge una contraseña segura, corre el riesgo de verse comprometido si reutiliza esas credenciales en distintas cuentas. Educa a los usuarios sobre la importancia de evitar el reciclado de contraseñas y enséñales otras prácticas recomendadas para que elijan contraseñas seguras y únicas. Facilita una herramienta de gestión de contraseñas para evitar que recurran a contraseñas fáciles de recordar y utiliza una herramienta de descubrimiento que exponga las contraseñas predeterminadas en dispositivos que no se hayan cambiado.

Bart es Senior Product Marketing Manager de inteligencia sobre amenazas en CrowdStrike y cuenta con más de 20 años de experiencia en inteligencia, detección y supervisión de amenazas. Tras iniciar su carrera como analista de operaciones de seguridad de red en una organización financiera belga, se trasladó a la costa este de los Estados Unidos para incorporarse a varias empresas de ciberseguridad, como 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi y FireEye-Mandiant, donde se encargó de la gestión y del marketing de productos.