brechas de terceros (Linkedin, Twitter, GitHub), malware en dispositivos personales, campañas de phishing dirigidas, ciberataques contra proveedores.
Qué es credenciales comprometidas
Nombres de usuario y contraseñas robados, filtrados o expuestos públicamente. Representan uno de los vectores de ataque más explotados en ciberdelincuencia moderna.
Por qué importa
Las credenciales comprometidas son la causa raíz de entre el 50% y el 75% de los incidentes de seguridad empresariales según reportes de CISA y proveedores de MDR. Un atacante con credenciales válidas: Elude controles de perímetro: no requiere explotar vulnerabilidades; accede como usuario legítimo. Realiza movimiento lateral: se desplaza por la red interna en búsqueda de datos valiosos. Escala privilegios: obtiene acceso administrativo y establece persistencia. Roba datos a escala: exfiltración masiva de IP, datos financieros, PII, secretos comerciales. Causa daño reputacional: brechas públicas derivadas de credenciales débiles afectan confianza de clientes. Impacta cumplimiento normativo: ISO 27001, NIS2 y DORA exigen detección y respuesta a compromisos de credenciales.
Puntos clave
empleados usan la misma contraseña en múltiples plataformas; un compromiso en un servicio afecta toda la cadena corporativa.
las credenciales comprometidas se venden o usan en dark web; la víctima descubre el compromiso semanas o meses después.
cambiar contraseña solo funciona si el atacante no ha establecido acceso persistente (tokens, claves SSH, etc.).
incluso con credenciales comprometidas, MFA bloquea acceso sin el segundo factor.
servicios especializados escanean filtraciones para alertar a empresas sobre su información comprometida.
Ejemplo real
Un ejecutivo de una multinacional accede a LinkedIn desde su portátil personal. Meses después, LinkedIn sufre una brecha masiva; 500 millones de credenciales se filtran. El ejecutivo reutiliza una variante de la misma contraseña en Microsoft 365 corporativo. Un atacante compra las credenciales en un mercado oscuro, intenta acceso a Teams, y sin MFA activado, entra. Una vez dentro, el atacante accede al correo del ejecutivo, descubre documentos financieros en OneDrive, se desplaza lateralmente a servidores internos usando herramientas Kerberos, establece persistencia mediante una cuenta de administrador oculta y roba 18 meses de correspondencia confidencial. El incidente se detecta dos meses después mediante alertas anómalas de EDR.
Errores habituales
- asumir que "no nos hemos enterado de una brecha" es diferente a "no estamos comprometidos".
- sin MFA, el atacante puede resetear la contraseña nuevamente usando acceso ya establecido.
- un usuario estándar con credenciales comprometidas no debería tener acceso a bases de datos financieras.
- políticas permisivas de contraseña facilitan fuerza bruta y reutilización.
- logueos desde IP sospechosa o fuera de horario de trabajo requieren investigación inmediata.
- bloquear acceso desde navegadores no administrados o ubicaciones geográficas inhabituales es fundamental.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cómo sé si mis credenciales han sido comprometidas?
Usa servicios como HaveIBeenPwned.com para verificar si tu email ha aparecido en brechas públicas. Además, monitorea cambios de contraseña no autorizados, logueos desde ubicaciones extrañas, o alertas de tu proveedor de email sobre intentos de acceso fallidos.
¿La autenticación multifactor es suficiente contra credenciales comprometidas?
MFA reduce significativamente el riesgo (de hasta 99% según Microsoft), pero no lo elimina completamente. Los atacantes pueden usar ataques de redireccionamiento (adversary-in-the-middle) o robar tokens MFA si el dispositivo está comprometido. MFA es esencial pero debe combinarse con monitoreo de anomalías.
¿Qué debo hacer si descubro que mis credenciales corporativas han sido filtradas?
Actúa inmediatamente: cambia tu contraseña, activa MFA si no está activado, revisa logueos recientes en logs, reporta al equipo de seguridad, revisa si se han compartido datos desde tu cuenta, y monitorea actividad anómala. Si tenías acceso administrativo, el equipo debe investigar el alcance del compromiso.
¿Cómo puede una empresa detectar credenciales comprometidas en uso?
Mediante monitoreo de SIEM, EDR, análisis de logs de autenticación (Office 365, VPN, servidores), detección de comportamiento anómalo (logueos fuera de horario, accesos desde países inesperados), y servicios de threat intelligence que monitorean dark web y mercados clandestinos donde se venden credenciales.