Las cuentas válidas ya son el segundo vector más usado en ciberataques, según Kaspersky, y su uso crece junto al modelo Ransomware como Servicio.
El uso de cuentas válidas como vector de entrada para ciberataques ha crecido de forma alarmante durante 2024, alcanzando el 31,4 % de los casos analizados, según el último informe de Respuesta a Incidentes de Kaspersky. Este método, que consiste en la utilización de credenciales legítimas robadas, se consolida como el segundo vector más frecuente, solo superado por las aplicaciones expuestas al público, que lideran con un 39,2 %.
El estudio, elaborado por el equipo de Respuesta a Incidentes de la firma de ciberseguridad, analiza los ataques sufridos por organizaciones que solicitaron asistencia técnica a lo largo del año pasado. Sus conclusiones ofrecen una radiografía precisa de cómo evolucionan las técnicas de los atacantes y cuáles son los puntos más vulnerables del ecosistema empresarial.
Auge de los Initial Access Brokers
Kaspersky destaca que este aumento en el uso de cuentas comprometidas está directamente vinculado al auge de los Initial Access Brokers (IAB), actores especializados en vender accesos a redes corporativas desde mercados clandestinos en la darknet. Este fenómeno es clave dentro del modelo Ransomware as a Service (RaaS), donde los accesos vendidos permiten desplegar ataques altamente rentables sin necesidad de que los operadores desarrollen su propia infraestructura de acceso.
El informe también revela que en muchos casos las organizaciones afectadas ya habían sido comprometidas anteriormente, sin que se detectara a tiempo la filtración de credenciales. Además, las relaciones de confianza entre sistemas, a menudo mal configuradas o sin monitorización, representaron el 12,8 % de los vectores de ataque. El phishing continúa como una amenaza persistente, apareciendo en el 9,8 % de los incidentes analizados.
“Las amenazas cibernéticas continúan evolucionando sin descanso, con atacantes que adaptan sus métodos para explotar los puntos más vulnerables en las defensas de las empresas. Esto resalta la necesidad crítica de que las organizaciones no solo fortalezcan sus medidas de seguridad inmediatas, sino que también fomenten una cultura de respuesta a incidentes proactiva y adaptable que pueda anticiparse a estos riesgos emergentes”, apunta Konstantin Sapronov, director del Equipo Global de Respuesta a Emergencias de Kaspersky.
Medidas preventivas clave
Ante este panorama, la firma recomienda a las organizaciones adoptar medidas preventivas clave, como establecer políticas de contraseñas seguras, aplicar autenticación multifactor, restringir el acceso público a puertos de administración y garantizar una actualización constante de parches o, en su defecto, implementar soluciones compensatorias. También destacan la importancia de contar con servicios especializados como Kaspersky Incident Response o Managed Detection and Response para frenar amenazas en etapas tempranas del ataque.
El informe refuerza una conclusión clara: la superficie de ataque sigue expandiéndose y los métodos tradicionales ya no bastan. Para proteger los activos críticos de negocio, la respuesta a incidentes debe estar integrada en el ADN operativo de las organizaciones, con protocolos que permitan anticipar, detectar y responder con agilidad.