las fuentes de compromiso más habituales son brechas de terceros (servicios SaaS, redes profesionales, plataformas de colaboración), malware infostealer en dispositivos personales, campañas de phishing dirigidas y ataques a la cadena de suministro de proveedores.
Qué es credenciales comprometidas
Nombres de usuario, contraseñas, tokens o claves de acceso que han sido robados, filtrados o expuestos fuera del control de su legítimo propietario. Son uno de los vectores de ataque más explotados de la ciberdelincuencia moderna precisamente porque permiten operar dentro de la red como si fueras el usuario legítimo: los controles perimetrales no saltan y, sin telemetría fina, el atacante pasa desapercibido durante semanas.
Por qué importa
Informes públicos de CISA, Verizon DBIR y proveedores de MDR sitúan el compromiso de credenciales como causa raíz en el entorno del 50–75 % de los incidentes corporativos investigados cada año. El motivo es simple: una credencial válida elude la mayoría de las defensas. El atacante no necesita explotar una vulnerabilidad, reduce el ruido en los logs y, una vez dentro, puede realizar movimiento lateral en busca de datos valiosos, escalar privilegios para persistir, y terminar con exfiltración masiva de propiedad intelectual, datos financieros o información personal. A esto hay que sumar el impacto en marca, el coste regulatorio (ISO 27001, ENS, NIS2 y DORA exigen detección y respuesta demostrables ante compromisos de credenciales) y la frecuencia con que una credencial corporativa débil desemboca, semanas después, en un incidente de ransomware multimillonario.
Puntos clave
la reutilización de contraseñas entre servicios personales y corporativos convierte cada brecha ajena en una brecha propia; basta un solo servicio vulnerable para exponer la cadena completa de sistemas internos.
las credenciales robadas se comercializan en mercados clandestinos meses antes de ser utilizadas; la víctima rara vez percibe el compromiso hasta que se detecta movimiento anómalo o se recibe aviso externo.
un reset de contraseña no basta si el atacante ya ha establecido persistencia mediante tokens de sesión, reglas de reenvío de correo, claves SSH o aplicaciones OAuth autorizadas.
incluso con la credencial comprometida, una autenticación multifactor resistente a phishing y una política de acceso condicional bloquean la inmensa mayoría de intentos.
existen servicios de ciberinteligencia que escanean foros, filtraciones y mercados para alertar a las empresas antes de que la credencial expuesta sea utilizada en un intento real.
Cómo suele desarrollarse un compromiso de credenciales
Una directiva de una multinacional se registra con su correo corporativo en una plataforma externa desde su portátil personal. Meses después, esa plataforma sufre una brecha masiva y cientos de millones de credenciales acaban circulando en foros privados. Una variante de la misma contraseña se reutiliza en la suite de productividad corporativa. Un actor accede a estas listas, valida credenciales contra portales de acceso expuestos y, sin MFA activado, entra como si fuese la propia directiva.
Una vez dentro, el atacante consulta el buzón, localiza documentos financieros almacenados en el repositorio en la nube, pivota hacia servidores internos mediante técnicas de reutilización de hash y tickets Kerberos, y crea una cuenta de administrador oculta para mantener acceso. Durante semanas exfiltra correspondencia confidencial en lotes pequeños para evadir umbrales de DLP. El incidente se detecta dos meses después por correlación de alertas en el EDR y el SIEM. Una investigación rigurosa reconstruye la línea temporal desde la credencial filtrada hasta el último movimiento del atacante, delimita el alcance real del compromiso y ejecuta la erradicación completa: rotación de credenciales, revocación de tokens y cierre de todas las vías de persistencia.
Errores habituales
- confundir "no nos hemos enterado de una brecha" con "no estamos comprometidos": la ausencia de detección no es ausencia de incidente, es ausencia de visibilidad.
- resetear la contraseña sin revocar sesiones activas, tokens OAuth, claves API y reglas de reenvío: el atacante sigue dentro aunque cambies el secreto.
- permitir que un usuario estándar tenga acceso a bases de datos financieras, directorios críticos o consolas de administración; con MFA sólido pero sin principio de mínimo privilegio, un compromiso de usuario se convierte en compromiso de toda la empresa.
- mantener políticas de contraseña permisivas (longitud corta, sin comprobación contra diccionarios de filtraciones) facilita fuerza bruta y ataques de password spraying.
- ignorar accesos desde IPs sospechosas, horarios atípicos o geografías inhabituales porque "seguramente es alguien de viaje": la investigación inmediata es barata; la reacción tardía, carísima.
- no contemplar dispositivos personales y navegadores no administrados en la política de acceso condicional, dejando abierta la puerta por la que entran los infostealers.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cómo sé si mis credenciales corporativas han sido comprometidas?
Las señales más habituales son cambios de contraseña no iniciados por el usuario, accesos desde ubicaciones o dispositivos inhabituales, reglas de reenvío de correo que no has creado, o alertas del proveedor de identidad ante intentos de acceso repetidos. A nivel proactivo, existen servicios públicos y comerciales de monitorización de filtraciones que cruzan tu dominio corporativo contra brechas conocidas; a nivel empresarial, un servicio de threat intelligence extiende la búsqueda a mercados clandestinos y foros cerrados donde las credenciales se venden antes de ser usadas.
¿La autenticación multifactor es suficiente contra credenciales comprometidas?
Reduce drásticamente el riesgo, pero no lo elimina. Los atacantes pueden recurrir a ataques de adversary-in-the-middle que capturan el token de sesión en tiempo real, fatigar al usuario con notificaciones push hasta que acepta por error (MFA fatigue), o comprometer el propio dispositivo para robar el segundo factor. La MFA es imprescindible, pero debe complementarse con factores resistentes a phishing (passkeys, llaves FIDO2), acceso condicional basado en postura del dispositivo y monitorización continua de anomalías de autenticación.
¿Qué hacer en las primeras horas tras detectar una credencial corporativa filtrada?
El orden importa: revocar todas las sesiones activas y los tokens OAuth asociados, rotar la contraseña y el segundo factor, auditar reglas de correo y aplicaciones consentidas, revisar logs de acceso de los últimos 90 días en busca de actividad anómala, notificar al equipo de seguridad y, si la cuenta tenía privilegios elevados, activar el plan de respuesta a incidentes. Si la exposición afecta a datos regulados, arranca también el reloj de las obligaciones de notificación a autoridad de control o clientes.
¿Cómo puede una empresa detectar credenciales comprometidas en uso?
Con una combinación de capas: SIEM correlacionando eventos de autenticación, EDR vigilando el endpoint donde se inicia sesión, análisis de comportamiento (UEBA) sobre patrones del usuario, acceso condicional que exige factores adicionales ante señales de riesgo, y servicios de inteligencia de amenazas que avisan cuando una credencial aparece a la venta. La detección efectiva no depende de una única herramienta, sino de cuánto se tarda en cruzar estas señales y actuar.