Los hackers dejaron de hackear y ahora compran contraseñas: en 2025, el 90 % de los ataques son accesos legítimos.

El informe de FortiGuard correspondiente a la primera mitad de 2025 muestra que los atacantes con motivación financiera cada vez prescinden más de explotaciones complejas y de software malicioso. En lugar de desplegar herramientas pesadas, utilizan cuentas válidas y medios legítimos de acceso remoto para infiltrarse de forma sigilosa en redes corporativas. Este enfoque no solo resulta más sencillo y económico, sino también considerablemente más eficaz — los ataques que emplean contraseñas robadas con mayor frecuencia evaden las herramientas de detección.

Los especialistas informan que en los primeros seis meses del año investigaron decenas de incidentes en distintos sectores — desde la industria hasta las finanzas y las telecomunicaciones. El análisis de estos casos mostró un patrón recurrente: los atacantes obtienen acceso usando credenciales robadas o credenciales compradas, se conectan vía VPN y luego se desplazan por la red con herramientas de administración remota como AnyDesk, Atera, Splashtop y ScreenConnect. Esa estrategia les permite camuflar su actividad como trabajo habitual de los administradores del sistema y evitar sospechas.

FortiGuard durante el mismo periodo corrobora esas conclusiones: las tendencias de filtración de contraseñas registradas en fuentes abiertas coinciden con las detectadas en las investigaciones internas de las empresas. En esencia, los atacantes no necesitan «hackear» los sistemas en el sentido habitual: simplemente acceden con credenciales ajenas, a menudo obtenidas mediante phishing o con infostealers que se venden en mercados clandestinos.

En uno de los ataques analizados, los atacantes utilizaron credenciales válidas para conectarse a la VPN corporativa sin autenticación multifactor, tras lo cual extrajeron del navegador del usuario comprometido las contraseñas guardadas del hipervisor y cifraron las máquinas virtuales. En otro caso, el operador obtuvo acceso mediante una cuenta de administrador de dominio robada e instaló AnyDesk masivamente en toda la red, usando RDP y directivas de grupo, lo que le permitió moverse entre sistemas y permanecer sin detectar durante más tiempo. También hubo episodios en los que los atacantes explotaron una vulnerabilidad antigua en un servidor externo, desplegaron varias herramientas de gestión remota y crearon cuentas de servicio ficticias para moverse de forma encubierta y, posteriormente, extraer documentos.

El análisis mostró que el robo de contraseñas sigue siendo una de las estrategias más baratas y accesibles. El precio del acceso depende directamente del tamaño y la geografía de la empresa: para organizaciones con facturación superior a mil millones de dólares en países desarrollados puede alcanzar los 20.000 dólares, mientras que para firmas pequeñas en regiones en desarrollo puede costar solo unos cientos de dólares. Las campañas masivas de infostealers proporcionan un flujo constante de datos frescos, y la baja barrera de entrada hace que estos ataques sean atractivos incluso para grupos con escasa preparación.

La principal ventaja de este esquema es la sigilosidad. El comportamiento de los atacantes es indistinguible del de los empleados reales, sobre todo si se conectan en horarios habituales y a los mismos sistemas. Las medidas de protección centradas en buscar archivos maliciosos y procesos sospechosos a menudo no detectan anomalías cuando el ataque se reduce a operaciones normales de inicio de sesión y movimiento por la red. Además, en los casos de robo manual de datos a través de interfaces RDP o de las funciones integradas de RMM, resulta difícil rastrear qué archivos se han trasladado, ya que estas acciones no dejan artefactos de red evidentes.

Según FortiGuard, en campañas de este tipo los atacantes siguen empleando activamente Mimikatz y sus modificaciones para extraer contraseñas de la memoria, y continúan recurriendo al exploit Zerologon para elevar privilegios. También se detecta en ocasiones el uso manual de utilidades como GMER, renombradas para parecer herramientas del sistema, con el fin de ocultar rastros de su presencia.

FortiGuard enfatiza que la protección contra tales amenazas requiere replantear los enfoques. Centrarse exclusivamente en los sistemas EDR tradicionales que buscan código malicioso ya no garantiza una seguridad fiable. Gana eficacia una estrategia basada en las cuentas y en el comportamiento de los usuarios. Las empresas deben crear sus propios perfiles de actividad normal y responder con rapidez a las desviaciones — por ejemplo, inicios de sesión desde geolocalizaciones inusuales, conexiones simultáneas a varios servidores o actividad fuera del horario laboral.

Se recomienda prestar especial atención a la autenticación multifactor, no solo en el perímetro externo, sino también dentro de la red. Incluso si un atacante obtiene la contraseña, la necesidad de confirmar el acceso por un método adicional ralentizará su avance y creará más oportunidades para su detección. También es importante limitar los privilegios de los administradores, evitar el uso de cuentas privilegiadas a través de la VPN y monitorizar sus movimientos en la infraestructura.

FortiGuard aconseja a las organizaciones controlar de forma estricta el uso de herramientas de administración remota. Si esos programas no son necesarios por motivos de negocio, deben bloquearse, y cualquier nueva instalación o conexión de red relacionada con ellas debe ser monitorizada. Además, se recomienda deshabilitar SSH, RDP y WinRM en todos los sistemas donde no sean necesarios y configurar alertas para cuando dichos servicios se vuelvan a activar. Según los analistas, tales medidas permiten detectar incluso intentos sigilosos de movimiento lateral dentro de la red.

Los autores del informe señalan que muchas empresas todavía tienen una brecha significativa en su protección: los atacantes no rompen los sistemas, simplemente inician sesión con nombres reales. Por ello, la dirección clave de mejora de la defensa debe ser la autenticación, el control de acceso y el análisis del comportamiento de los usuarios. FortiGuard recomienda utilizar soluciones para la monitorización continua del perímetro externo, la correlación de eventos en entornos híbridos y la detección de actividad anómala. Estas herramientas permiten rastrear incidentes no evidentes, reducir el tiempo de permanencia de los atacantes en la red y prevenir consecuencias de gran alcance.

Los investigadores concluyen que los ataques más peligrosos de hoy no requieren código malicioso nuevo. Emplean tecnologías existentes y credenciales confiables, convirtiendo la sigilosidad en su principal arma. Las empresas que refuercen el control sobre la identificación, el acceso remoto y la analítica del comportamiento podrán reducir significativamente los riesgos y detectar este tipo de intrusiones en fases tempranas.

Fortinet subraya que los resultados del análisis semestral confirman la tendencia marcada ya en 2024: sigue aumentando el número de incidentes relacionados con la explotación de cuentas válidas y herramientas legítimas de administración. A pesar de la atención creciente sobre la inteligencia artificial y nuevos tipos de ciberataques, son estos métodos, en apariencia sencillos, los que continúan siendo para los delincuentes la vía más fiable de acceso a las redes corporativas.