Dark
Light

El uso de cuentas válidas se consolida como vector clave en los ciberataques de 2024

Las cuentas comprometidas se disparan como vía de entrada a redes corporativas, situándose como el segundo vector de ataque más frecuente, solo por detrás de las aplicaciones expuestas al público, según el último informe de Kaspersky sobre respuesta a incidentes.
23 de abril, 2025

Durante 2024, el panorama de las amenazas cibernéticas ha mostrado un preocupante viraje hacia el uso de cuentas válidas como punto de entrada para ataques dirigidos. Así lo refleja el Informe de Respuesta a Incidentes 2024 elaborado por Kaspersky, que sitúa esta táctica como la segunda más habitual, presente en el 31,4 % de los incidentes analizados por su equipo de respuesta. Se trata de un incremento considerable respecto a 2023, que indica una evolución en los métodos de los atacantes y un aprovechamiento cada vez más eficaz de las credenciales comprometidas.

Esta tendencia está directamente vinculada al creciente papel de los brokers de acceso inicial (IAB, por sus siglas en inglés) dentro del modelo de Ransomware como Servicio (RaaS). Los IAB se encargan de vender el acceso inicial a los sistemas de organizaciones, obteniendo esas credenciales en mercados clandestinos como la darknet. El uso de este método facilita que los cibercriminales reduzcan tiempos de ataque, accedan a redes con mayor sigilo y optimicen sus operaciones delictivas.

Las aplicaciones públicas siguen siendo el vector más explotado

Pese al avance de las cuentas comprometidas como vía de intrusión, las aplicaciones accesibles desde Internet mantienen su posición como principal vector de ataque, al representar el 39,2 % de los casos analizados. Este dato confirma una tendencia que se ha mantenido constante en los últimos años: las aplicaciones públicas, mal configuradas o desactualizadas, siguen siendo un punto crítico en las estrategias de defensa de las organizaciones.

El estudio también señala que muchas de las víctimas ya habían sido comprometidas con anterioridad, sin que se detectaran los accesos no autorizados hasta fases más avanzadas del ataque. Esto contribuye a la filtración de datos y facilita el posterior uso fraudulento de credenciales activas.

Otros vectores también destacables en 2024 son el phishing, presente en el 9,8 % de los incidentes, y el abuso de las relaciones de confianza —por ejemplo, mediante VPNs compartidas entre socios—, que ascendió hasta el 12,8 %, mejorando su posición respecto al año anterior.

Recomendaciones para reforzar la defensa corporativa

Ante la sofisticación y la persistencia de los ataques, Kaspersky subraya la urgencia de adoptar una cultura de ciberseguridad proactiva. Para ello, recomienda aplicar medidas técnicas y organizativas, como:

  • Establecer una política de contraseñas robusta, complementada con autenticación multifactor (MFA).
  • Eliminar el acceso público a puertos de administración, frecuentemente utilizados como puerta de entrada.
  • Implementar gestión estricta de parches, especialmente en aplicaciones expuestas a Internet, o medidas compensatorias cuando no se puedan actualizar.
  • Concienciar al personal sobre seguridad digital y mantener elevados estándares de higiene cibernética.
  • Apoyarse en servicios especializados como Kaspersky Incident Response o Kaspersky Managed Detection and Response, que permiten detectar amenazas en fases tempranas y evitar que los atacantes logren su objetivo.

El informe pone de manifiesto que la combinación de tecnologías avanzadas, prácticas de ciberseguridad sólidas y una vigilancia continua es esencial para reducir el impacto de las amenazas actuales, especialmente en entornos cada vez más interconectados y expuestos.

Ver más

Relacionados