Aumento del 389% en un año: parece que los hackers han encontrado la manera perfecta de "entrar" sin llamar ni usar exploits
En 2025, el tiempo medio entre el robo de una contraseña y su explotación alcanzó un récord de 14 minutos.
Para acceder a la red corporativa, los atacantes cada vez menos necesitan buscar una vulnerabilidad en el servidor o ejecutar un exploit complejo. Es mucho más rentable hacerlo de forma más simple y silenciosa: robar una cuenta ajena e iniciar sesión. En el informe eSentire TRU se afirma que en 2025 la identidad digital fue el objetivo principal de los ataques, y que el cibercrimen se parece cada vez más a una industria con servicios listos para usar y una economía clara.
El motor clave de esta industrialización son las plataformas de suscripción phishing como servicio, que ofrecen infraestructuras y herramientas de phishing llave en mano. Según el informe, por $200–300 al mes un atacante principiante puede conseguir un servicio que elude la autenticación multifactor, intercepta tokens de sesión en tiempo real y entrega las cuentas capturadas a quienes monetizan rápidamente el acceso.
La magnitud del cambio se aprecia bien en las estadísticas de eSentire TRU. La compromisión de cuentas representó la mitad de todas las observaciones del equipo y aumentó un 389% respecto a 2024. Los autores del informe lo explican de manera directa: ¿para qué hackear si se puede entrar? Al mismo tiempo, el abuso de herramientas de administración remota también está ganando impulso; en otra sección del informe el aumento del abuso de RMM (monitorización y gestión remota) se estima en 143% interanual.
Asimismo, los investigadores observan que cada vez con más frecuencia la compromisión comienza con un correo electrónico. La proporción de incidentes en los que el acceso inicial se obtuvo por correo aumentó del 36,9% en 2024 al 54,8% en 2025, y el 63% de todos los casos de captura de cuentas se vinculó precisamente con operaciones PhaaS. Estos esquemas a menudo emplean un ataque de adversario en el medio, cuando la víctima es dirigida a una página proxy de inicio de sesión y, en el momento de la autenticación, se roban no solo la contraseña sino también los tokens de sesión.
La velocidad del ataque se ha convertido en otra norma desagradable. En el análisis de 100 incidentes con la plataforma Tycoon2FA los atacantes comenzaban a explotar en promedio 14 minutos después del robo de credenciales. En la práctica esto significa que entre «alguien ingresó la contraseña» y «alguien ya cambia las reglas de reenvío en el correo» puede pasar menos tiempo del que dura una llamada breve.
Paralelamente también aumenta la proporción de ataques en los que literalmente obligan al usuario a ejecutar código malicioso con sus propias manos. Uno de los ejemplos más notables es ClickFix, también conocido como FakeCaptcha. El informe indica que en 2025 ClickFix pasó del 7,8% al 30,7% de todos los casos de entrega de malware, lo que equivale a casi un crecimiento del 300% interanual, y en un año los investigadores registraron más de 65 cadenas de intrusión diferentes con esta técnica. El escenario suele girar en torno a captchas falsos y errores del navegador, tras lo cual convencen a la víctima de pulsar «Arreglar», copiar un comando y ejecutarlo mediante Win+R o PowerShell.
Otro patrón del informe suena casi como el guion de un centro de llamadas fraudulento, pero con una conclusión técnica muy clara. El email bombing combinado con soporte falso que se hace pasar por TI creció 14 veces interanual y se convirtió en el tipo de amenaza de más rápido crecimiento. Primero saturan la bandeja de entrada de la víctima con spam, luego escriben o llaman por Teams haciéndose pasar por soporte técnico y, con el pretexto de ayudar, logran acceso remoto. En casos aislados la cadena terminaba con el despliegue del extorsionador Black Basta, y el informe valora la efectividad del vishing como muy alta: el 72% de los casos llegan al acceso real.
La conclusión de los autores del informe es contundente: los ataques modernos se mueven más rápido que las defensas tradicionales, y las empresas que confían en revisar los registros al día siguiente y en horas laborables para responder quedan en una posición inherentemente débil. En este contexto, el foco se desplaza hacia la monitorización continua de identidades y la reacción rápida ante anomalías, porque en un mundo en que «simplemente entraron» ya no deciden tanto los muros del perímetro como la velocidad de detección y el bloqueo de la sesión ajena.