En los últimos años, el panorama de la ciberseguridad ha cambiado drásticamente. La evolución tecnológica ha traído consigo ventajas considerables, pero también ha abierto la puerta a nuevas amenazas que se desarrollan a un ritmo alarmante. Una de las más preocupantes actualmente es el robo de credenciales, que ha experimentado un notable incremento gracias al uso de técnicas más sofisticadas impulsadas por IA.
Según el informe Índice de Inteligencia de Amenazas X-Force 2025, los cibercriminales han optado por estrategias más sigilosas y efectivas que priorizan la exfiltración de datos frente a métodos como el ransomware. Esta tendencia responde a una combinación de factores, entre ellos el perfeccionamiento de las defensas empresariales, la presión de las operaciones de seguridad internacionales y la accesibilidad de herramientas basadas en IA.
Cómo la IA potencia el robo de credenciales
El auge del robo de credenciales no se debe únicamente a un cambio de estrategia por parte de los atacantes. El papel de la inteligencia artificial ha sido decisivo. Gracias a su capacidad para automatizar tareas y generar contenido convincente, los atacantes pueden crear campañas de phishing altamente personalizadas y masivas en cuestión de segundos.
Phishing a escala y evolución de los infostealers
Uno de los mecanismos más utilizados es el phishing, especialmente a través del correo electrónico. En 2024 se produjo un aumento significativo de este tipo de ataques, y los primeros datos de 2025 revelan un crecimiento superior al 180 % respecto a 2023. Esto se traduce en millones de correos diseñados para engañar al destinatario, suplantando a empresas conocidas y conduciendo a sitios que roban nombres de usuario y contraseñas.
Paralelamente, ha crecido la distribución de infostealers, malware especializado en extraer información confidencial como credenciales, cookies o datos bancarios. Estos programas han permitido a los atacantes reducir su tiempo de permanencia en los sistemas comprometidos, disminuyendo así el riesgo de detección. IBM X-Force destaca que solo cinco de los infostealers más populares acumularon más de ocho millones de anuncios en la dark web durante el último año, cada uno con cientos de credenciales robadas.
La dark web como catalizador de ataques
La comercialización de credenciales comprometidas ha generado un mercado extremadamente rentable. Además, la venta de kits de phishing con capacidades para sortear sistemas de autenticación multifactor (MFA) ha facilitado el acceso a datos protegidos sin necesidad de conocimientos técnicos avanzados.
Modelos AITM y servicios personalizados
En los foros de la dark web es común encontrar ofertas de kits de adversario en el medio (AITM), los cuales permiten interceptar las credenciales de usuarios incluso cuando se utiliza MFA. Estos servicios, cada vez más personalizados, están disponibles por precios relativamente bajos, lo que pone de manifiesto la alta demanda y rentabilidad del acceso no autorizado.
Reducción del ransomware y auge de ataques centrados en identidad
Aunque el ransomware sigue representando un porcentaje importante de ataques (28 % de los casos de malware en 2024), IBM X-Force ha observado una disminución general de este tipo de amenazas. Este descenso coincide con un repunte de ataques centrados en la identidad, considerados menos arriesgados y más eficaces.
Grupos de cibercriminales conocidos como ITG23 y ITG26 han abandonado sus operaciones de ransomware o han migrado hacia otras formas de malware, adaptándose a un modelo descentralizado y discreto, más difícil de rastrear por las autoridades internacionales.
Vulnerabilidades sin parche y amenazas persistentes
Otro factor clave en la expansión de las amenazas es la explotación de vulnerabilidades sin parchear. El 70 % de los ataques gestionados por IBM X-Force tuvieron como blanco organizaciones de infraestructura crítica, y más de una cuarta parte fueron posibles gracias a fallos de seguridad no corregidos.
Intercambio de información en la dark web
Las vulnerabilidades más utilizadas fueron identificadas en foros de la dark web y asociadas a grupos sofisticados, incluidos actores de Estado-nación. Esto no solo plantea riesgos de espionaje o sabotaje, sino que también impulsa la necesidad de vigilar de forma activa estos espacios digitales para anticiparse a las amenazas y reforzar las estrategias de parcheo.
La inteligencia artificial también es un objetivo
Paradójicamente, la propia inteligencia artificial se ha convertido en un nuevo foco de riesgo. La infraestructura de IA utilizada por las empresas está cada vez más expuesta a ataques, con vulnerabilidades como la ejecución remota de código al alza.
Linux, una puerta de entrada silenciosa
En colaboración con Red Hat Insights, IBM X-Force descubrió que más del 50 % de los entornos de Red Hat Enterprise Linux tenían al menos una vulnerabilidad crítica sin corregir, y un 18 % enfrentaba cinco o más. Además, muchas de las familias de ransomware más activas ya operan tanto en Windows como en Linux, ampliando su alcance y diversificando sus métodos de ataque.
El robo de credenciales ha evolucionado hasta convertirse en una de las amenazas más rentables y difíciles de detectar. Impulsado por el uso malicioso de la inteligencia artificial, este fenómeno ha desplazado a otras tácticas más arriesgadas como el ransomware.
