Informe: Los atacantes ahora se centran en el robo de credenciales para acceder a los sistemas
Los piratas informáticos están cambiando su enfoque de «irrumpir» a «iniciar sesión», según el Informe de amenazas de Cloudflare 2026.
Las herramientas de seguridad sofisticadas son más difíciles de penetrar y hacen saltar las alarmas cuando son atacadas, según el informe. Esto ha obligado a los piratas informáticos a robar credenciales legítimas para explotar las vulnerabilidades del sistema.
Este método ha demostrado ser más rápido, sigiloso y más difícil de detectar. Los principales sistemas de identidad vulnerables al robo incluyen nombres de usuario, contraseñas, tokens y privilegios de acceso.
Además, se ha vuelto increíblemente difícil identificar a los atacantes. Una vez que obtienen las credenciales del objetivo, pueden moverse por el sistema interno con facilidad.
Cloudflare también descubrió que el 4% de los intentos de inicio de sesión son bots que prueban automáticamente las credenciales. El informe destaca que el 54% de los ataques de ransomware se originan a partir de malware de robo de credenciales.
Cerca del 50% de los inicios de sesión humanos utilizan credenciales que ya están expuestas a infracciones.
Los cambios fundamentales en la forma en que las organizaciones administran sus entornos de TI han hecho que este tipo de ataque, que roba datos de inicio de sesión, sea más frecuente. Estos incluyen:
- Ecosistemas de nube y SaaS: los sistemas corporativos están cada vez más conectados a través de inicio de sesión único (SSO) y plataformas de identidad federadas.
- Trabajo remoto e híbrido: los empleados inician sesión desde dispositivos personales, redes domésticas y terminales móviles.
- Identidades de máquinas y automatización: los bots, las API y las cuentas de servicio ahora superan en número a los usuarios humanos en muchos sistemas.
Todos estos cambios han proporcionado un caldo de cultivo para una sofisticada red de ataques dirigidos a organizaciones, a medida que los atacantes buscan grandes cantidades de nombres de usuarios y contraseñas.
Luego, estas bases de datos se venden o comercializan en línea en la web oscura. Estos ataques cierran el círculo cuando los piratas informáticos utilizan credenciales robadas para violar los sistemas de TI.
La IA como herramienta para los hackers
El Informe de amenazas de Cloudflare también describe cómo los piratas informáticos están utilizando la IA generativa para reforzar su arsenal. Lo utilizan para reconocimiento automatizado, para crear mensajes de phishing o comunicaciones ultrafalsas y para mapear redes e identificar objetivos de alto valor más rápidamente.
La tendencia preocupante aquí es que les da a los atacantes acceso al campo con herramientas sofisticadas, lo que provoca infracciones a escala.
En el pasado, el objetivo de TI era mantener alejados a los atacantes. Ahora se trata de identificar amenazas que aparecen como empleados o contratistas y que operan dentro de aplicaciones confiables como Slack, Google Workspace o GitHub.
Cloudflare reconoce que la respuesta de ciberseguridad debe utilizar sistemas de defensa autónomos para utilizar inteligencia artificial y automatización para detectar actividades sospechosas y responder al instante.
Cloudflare recomienda que estos sistemas se utilicen para la verificación continua de la identidad, así como para monitorear el comportamiento de los usuarios y dispositivos y la contención automatizada de cuentas comprometidas.
Los atacantes siempre están buscando formas nuevas e innovadoras de comprometer los sistemas de TI. Esta ola de robo de credenciales e ingreso a sistemas bajo los auspicios de usuarios legítimos genera una necesidad de automatización en tiempo real en lugar de una respuesta manual.
«Las organizaciones deben pasar a una mitigación automatizada basada en el borde que pueda responder en segundos», escribieron los autores del informe. «Los modelos de centros de depuración antiguos ya no son suficientes para ataques que alcanzan su punto máximo y concluyen en 10 minutos».
Para obtener el informe completo, visite el blog de Cloudflare.