Robo de credenciales: KELA revela 2.86 mil millones de registros filtrados

El panorama de la ciberseguridad global ha alcanzado un punto de inflexión crítico. Según el reciente informe “State of Cybercrime 2026” publicado por la firma de inteligencia de amenazas KELA el 30 de abril de 2026, el volumen de datos expuestos ha roto todos los récords históricos. La cifra es devastadora: 2.86 mil millones de registros comprometidos en el último año, una estadística que no solo refleja la escala del problema, sino un cambio estructural en cómo operan los atacantes.

Ya no estamos en la era de los hackers que intentan “romper” sistemas mediante fuerza bruta o explotando vulnerabilidades de software complejas. El informe de KELA confirma que el robo de credenciales se ha convertido en el método de acceso primario, permitiendo a los actores de amenazas simplemente “iniciar sesión” en lugar de forzar la entrada. Este fenómeno ha convertido a la identidad digital en la superficie de ataque más vulnerable y lucrativa del ecosistema moderno.

El colapso de la autenticación tradicional y el robo de credenciales

Uno de los hallazgos más alarmantes del informe es la evolución técnica de los denominados “infostealers”. Este malware especializado ya no se limita a recolectar nombres de usuario y contraseñas estáticas. La nueva generación de malware, liderada por familias como Lumma, Vidar y el emergente “Storm”, ha perfeccionado el secuestro de sesiones (session hijacking).

El robo de credenciales moderno se centra ahora en la exfiltración de tokens de sesión y cookies de autenticación. Cuando un usuario inicia sesión en un servicio y marca la opción “mantener sesión iniciada”, el navegador genera una cookie que actúa como una llave maestra. Los infostealers extraen estas llaves directamente de las bases de datos SQLite de los navegadores (como Chrome, Edge o Firefox). Al poseer este token, el atacante puede replicar la sesión activa en su propia máquina, saltándose por completo cualquier implementación de autenticación de dos factores (2FA) basada en códigos SMS o aplicaciones de autenticación (OTP), ya que el sistema asume que el usuario ya ha pasado el proceso de verificación.

La anatomía del malware “Storm” y el bypass de cifrado

El informe técnico detalla cómo el malware “Storm”, que se alquila en foros de la Dark Web por aproximadamente 1,000 USD mensuales, ha logrado evadir protecciones avanzadas como el App-Bound Encryption de Google (introducido en Chrome 127). Mientras que las herramientas de seguridad de endpoint (EDR) detectaban antes los intentos de descifrado local de contraseñas, “Storm” utiliza un enfoque de descifrado del lado del servidor.

• Exfiltración silenciosa: El malware extrae los archivos de datos cifrados del navegador y los envía a un servidor de comando y control (C2) controlado por el atacante.
• Descifrado remoto: Los atacantes procesan la información fuera del dispositivo de la víctima para evitar generar alertas de telemetría en el sistema local.
• Restauración de sesión automatizada: Los paneles de control de estos malwares permiten al atacante inyectar la cookie robada en un navegador limpio con un solo clic, obteniendo acceso instantáneo a entornos corporativos, cuentas bancarias o servicios en la nube.

El objetivo principal: Los servicios de autenticación y la nube

El informe de KELA destaca que el 30% de todos los datos expuestos pertenecen a servicios de autenticación y plataformas de nube empresarial. Esto representa un cambio de paradigma; los criminales ya no buscan cuentas individuales de usuarios finales por deporte, sino que apuntan a los Proveedores de Identidad (IdP) y sistemas de Single Sign-On (SSO).

Al comprometer una sola credencial de un empleado con acceso a servicios como Azure AD, Okta o Google Workspace, el atacante gana una “llave maestra” para toda la infraestructura de la organización. Esto facilita el movimiento lateral y la escalada de privilegios sin disparar las alarmas tradicionales de seguridad perimetral. En 2025 y lo que va de 2026, el robo de credenciales ha sido el precursor del 54% de los ataques de ransomware exitosos, reduciendo el tiempo entre la infección inicial y el despliegue del cifrado a menos de 48 horas.

El auge del “Vibe Hacking” y la manipulación de IA

Más allá de la técnica pura, el informe introduce el concepto de “Vibe Hacking”. Con la integración masiva de agentes de inteligencia artificial en los flujos de trabajo corporativos, los atacantes están utilizando credenciales robadas para interactuar con asistentes de IA internos. Mediante técnicas de ingeniería social aplicadas a modelos de lenguaje (LLM), convencen a la IA de realizar tareas maliciosas —como extraer reportes financieros o enviar correos fraudulentos— bajo el pretexto de ser solicitudes legítimas del usuario autenticado.

Este nivel de autonomía en los ataques significa que el 80% de las tareas de una intrusión pueden ejecutarse hoy sin intervención humana, impulsadas por bots que operan desde cuentas legítimas comprometidas. La identidad ya no es solo una puerta; es el motor mismo del ataque.

La solución definitiva: El “Passkey Pivot”

Ante la ineficacia de las contraseñas y la vulnerabilidad de los tokens de sesión, los analistas de seguridad y el informe de KELA urgen a lo que denominan el “Passkey Pivot” (el pivote hacia las llaves de acceso). Este movimiento busca reemplazar el modelo de “algo que sabes” por un modelo de criptografía de clave pública respaldado por biometría.

Las Passkeys, basadas en los estándares FIDO2 y WebAuthn, ofrecen una “fortaleza por defecto” que el robo de credenciales tradicional no puede superar fácilmente. A diferencia de una contraseña, una passkey consta de un par de claves criptográficas:

1. Clave Pública: Se almacena en el servidor del servicio (por ejemplo, Salesforce o Microsoft).
2. Clave Privada: Nunca sale del dispositivo del usuario (teléfono, computadora o llave de seguridad física). Está protegida por el enclave seguro del hardware (TPM).

¿Por qué las Passkeys detienen a los infostealers?

El diseño de las passkeys elimina los puntos de falla que los infostealers explotan actualmente. En primer lugar, no hay una “llave” que el malware pueda copiar. El proceso de autenticación requiere un “desafío-respuesta” firmado localmente por el hardware tras una verificación biométrica (huella dactilar o reconocimiento facial). Incluso si un malware infecta el dispositivo, no puede extraer la clave privada ni simular la presencia física del usuario.

Además, las passkeys están vinculadas intrínsecamente al dominio (domain-bound). Esto significa que una passkey creada para “empresa.com” no funcionará en un sitio de phishing “empresa-seguro.com”. Esta característica neutraliza los ataques de Adversary-in-the-Middle (AitM) que actualmente engañan a los usuarios para que entreguen sus tokens de sesión en sitios fraudulentos.

Estrategias de mitigación para el resto de 2026

El informe de KELA no solo lanza una advertencia, sino que propone una hoja de ruta para las organizaciones que buscan sobrevivir a esta epidemia de robo de credenciales. La transición no ocurrirá de la noche a la mañana, pero la inacción es una sentencia de brecha de datos.

1. Implementación de autenticación sin contraseñas (Passwordless):

Las empresas deben priorizar la migración a sistemas que soporten FIDO2. Esto incluye actualizar los navegadores corporativos y fomentar el uso de gestores de passkeys que sincronicen las llaves de forma segura y cifrada de extremo a extremo.

2. Acortamiento de los tiempos de vida de los tokens:

Dada la eficacia del secuestro de sesiones, las organizaciones deben configurar políticas de acceso condicional que expiren los tokens de sesión con mayor frecuencia y requieran una nueva verificación biométrica para acceder a datos sensibles (Step-up authentication).

3. Monitoreo proactivo de la Dark Web:

El robo de credenciales a menudo termina en mercados de registros (logs) como “Russian Market” o “Genesis”. El uso de servicios de inteligencia de amenazas para detectar si los dominios corporativos aparecen en estos mercados es vital para revocar sesiones antes de que el atacante actúe.

4. Defensa de “Shadow AI”:

Es imperativo gobernar el uso de herramientas de IA no autorizadas. El informe señala que muchos empleados están introduciendo credenciales corporativas en herramientas de IA gratuitas que carecen de seguridad, creando una fuga masiva de datos que los infostealers recolectan con facilidad.

Conclusión: Hacia una identidad soberana y resistente

El reporte “State of Cybercrime 2026” deja una lección clara: la confianza basada en contraseñas ha muerto. Los 2.86 mil millones de registros robados son la prueba de que el perímetro tradicional ha desaparecido, y ahora el perímetro es la identidad misma. El robo de credenciales ha evolucionado hacia un modelo industrializado, donde el malware es más inteligente y el acceso a las redes corporativas es un producto barato en la Dark Web.

El “Passkey Pivot” no es solo una mejora tecnológica; es una necesidad existencial para la ciberseguridad moderna. Al adoptar estándares criptográficos que no pueden ser interceptados ni replicados por infostealers, las organizaciones pueden finalmente cerrar la puerta principal que los criminales han estado usando para caminar libremente por sus redes. El futuro de la seguridad digital será biométrico, descentralizado y, sobre todo, libre de las vulnerabilidades inherentes a la memoria humana y al texto plano.