En 2026, las credenciales robadas ya no son una preocupación secundaria: son una prioridad estratégica para cualquier equipo de seguridad. Sin embargo, existe una paradoja inquietante: muchas organizaciones reconocen el riesgo, pero siguen confiando en soluciones de “cumplir con lo básico” —controles que marcan casillas— en lugar de desplegar programas dedicados y específicos para enfrentar a los infostealers, esas familias de malware diseñadas para exfiltrar credenciales, cookies y tokens de sesión.
Los números ayudan a entender la magnitud del problema. Una encuesta reciente encargada por Lunar, plataforma de monitoreo del dark web impulsada por Webz.io, indica que la mayoría de las organizaciones considera las credenciales comprometidas como un riesgo alto o muy alto, y para muchas está entre las tres prioridades principales de seguridad. Al mismo tiempo, los datos que recolecta la industria muestran cantidades enormes de credenciales en circulación: solo en 2025 se identificaron miles de millones de registros comprometidos, una cifra que convierte cualquier estimación de coste en algo vertiginoso. Para ponerlo en perspectiva económica, el informe anual sobre el coste de las filtraciones de IBM sitúa el coste medio de una brecha que involucra credenciales comprometidas en varios millones de dólares por incidente (IBM Cost of a Data Breach Report).
Y pese a esa conciencia, muchas defensas siguen siendo ingenuas frente a la realidad técnica de los ataques. Expresiones como “tenemos MFA en todos lados” o “nuestro EDR y arquitectura de zero trust ya nos protegen” suenan tranquilizadoras, pero no bastan. Cuando un empleado inicia sesión en una aplicación crítica desde un dispositivo doméstico no gestionado, las soluciones tradicionales como EDR o políticas de red no detectan que el acceso proviene de un token o cookie robada. En otras palabras, los controles que protegen el perímetro y los endpoints no necesariamente cubren la telemetría y el contexto que permiten detectar y responder a sesiones usurpadas.
El comportamiento de los infostealers explica por qué. Estas familias de malware no se limitan a recopilar nombres de usuario y contraseñas; extraen cookies de sesión, tokens y otros artefactos que permiten a un atacante “entrar sin tocar la puerta”: sin volver a pasar por un formulario de autenticación, sin provocar un reto MFA y, muchas veces, sin dejar huellas evidentes en los logs de autenticación. El resultado es que el actor malicioso puede moverse, explorar y exfiltrar datos con mucha rapidez antes de que los controles tradicionales muestren alertas relevantes. Para comprender la naturaleza del riesgo conviene revisar material técnico sobre cómo funcionan los infostealers y qué información suelen capturar (Kaspersky - InfoStealers).
El ciclo de un ataque típico suele ser implacablemente eficiente. Primero, la víctima se infecta por vectores variados: desde campañas de phishing y extensiones de navegador maliciosas hasta software pirateado o repositorios comprometidos. El infostealer raspa credenciales y cookies del navegador o del sistema, envía esa información a un servidor controlado por el atacante, y esos datos acaban agrupados en “logs” o combolists que se compran y venden en foros, chats privados y mercados clandestinos. Un comprador puede aprovechar inmediatamente esos artefactos legítimos para acceder a servicios corporativos con una ventana temporal sorprendentemente corta. Si las comprobaciones de exposiciones se realizan una vez al mes o con fuentes de datos obsoletas, la organización puede descubrir el incidente cuando ya es demasiado tarde.
Las soluciones genéricas fallan donde hace falta la especialización. Muchas empresas aplican monitoreo de brechas de forma puntual o basan su detección en listados públicos de contraseñas filtradas, sin capacidad forense ni contexto para reconstruir qué cuentas fueron afectadas, qué dispositivos estaban comprometidos o si se robaron cookies y tokens. La carencia de datos triangulados y normalizados convierte cualquier alerta en ruido: no se sabe a quién notificar, qué restablecer o cómo priorizar la respuesta. Además, la latencia en la adquisición de datos de fuentes criminales y la ausencia de integraciones con flujos de trabajo automatizados (SIEM, SOAR, IDP) impide una reacción rápida y coordinada.
Pasar de un enfoque reactivo a un programa maduro de monitoreo de brechas implica, entre otras cosas, continuidad en la recolección de señales y capacidad para enriquecerlas con contexto útil. Eso significa incorporar datos de fuentes diversas —registros de infostealers, combolists, mercados y canales de mensajería donde se comercian credenciales— y normalizar esa información para que no se repita ni se pierda en ruido irrelevante. El objetivo es tener una visión única y depurada de las exposiciones que verdaderamente afectan a la organización.
La automatización es clave para transformar alertas en acciones. No basta con saber que un dominio empresarial aparece en una lista filtrada; hay que traducir esa evidencia en playbooks que automaticen pasos concretos: invalidar sesiones, forzar restablecimiento de credenciales, bloquear accesos en el IDP y orquestar las tareas en el SIEM o SOAR para que los analistas no pierdan tiempo en rutinas repetitivas. Cuando estas piezas están conectadas, la ventana que aprovecha el atacante se acorta dramáticamente.
Otro hándicap frecuente es la falsa sensación de seguridad por plataforma. Muchos equipos creen que macOS ofrece inmunidad frente a estos ataques, y sin embargo han emergido familias específicas para Apple que roban cookies y credenciales. Informes de distintos actores del sector dan cuenta de cómo los infostealers se han sofisticado y diversificado para afectar múltiples sistemas operativos y ecosistemas de aplicaciones.
Implementar una estrategia de monitoreo eficaz exige cambio de mentalidad. El monitoreo de credenciales debe dejar de ser un “producto puntual” y verse como un programa continuo con responsabilidades claras, métricas y procedimientos definidos. Esto implica asignar un responsable del dominio de infostealers, establecer la cadencia de verificación basada en el riesgo real y diseñar playbooks que se ejecuten automáticamente cuando aparece una evidencia confirmada. También requiere invertir en soluciones que aporten la telemetría forense que a menudo falta en los enfoques de “cumplir las normas”.
La buena noticia es que existen herramientas y modelos operativos que permiten ese salto. Plataformas que agregan y enriquecen datos del underground y que se integran con la pila de seguridad empresarial permiten transformar exposiciones en respuestas automáticas y medibles. La interoperabilidad con identidades, sistemas de orquestación y plataformas de gestión de incidentes es lo que cierra el círculo entre detección y remediación.
No es una exageración decir que el coste de no adaptarse puede ser enorme. Desde pérdidas económicas directas hasta daño reputacional y regulatorios, una sesión tomada por un actor malicioso puede implicar accesos no autorizados a información crítica. Por eso es recomendable que los equipos de seguridad revisen sus prácticas actuales, prioricen la detección de tokens y cookies robadas, y no se conformen con controles que solo mitiguen parcialmente el riesgo. Para profundizar en las buenas prácticas de gestión de sesiones y seguridad, las guías de OWASP resultan un buen recurso técnico (OWASP Session Management).
Si quiere revisar qué credenciales relacionadas con su organización ya circulan en los ecosistemas criminales, hay iniciativas que ofrecen monitoreo accesible para organizaciones de todos los tamaños, combinando cobertura y capacidad de integración. Con visibilidad continua y mecanismos automáticos de respuesta es posible cerrar muchas de las ventanas de exposición que hoy permiten a los atacantes actuar con impunidad. Como referencia sobre iniciativas del sector, puede consultarse el trabajo de Webz.io, que agrupa inteligencia de señales abiertas y del underground para distintos usos empresariales (Webz.io).
En definitiva, la solución no es añadir más herramientas inconexas ni confiar únicamente en MFA o EDR. Se trata de construir un programa de monitoreo de credenciales y sesiones que sea continuo, contextual y automatizado, que integre fuentes especializadas y que empodere a los equipos para tomar decisiones rápidas y precisas. El coste de la complacencia es hoy demasiado alto para seguir funcionando con aproximaciones de hace unos años.
Para quienes quieran profundizar en el tema y en cómo adaptar sus procesos, recomiendo comenzar por revisar los informes de coste de brechas, estudiar la naturaleza técnica de los infostealers y evaluar soluciones que ofrezcan integración con sus flujos de seguridad existentes. Los recursos de la industria y las guías de buenas prácticas son abundantes y pueden servir como punto de partida para diseñar un programa que realmente reduzca el riesgo.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...