Daorde
cabacas pra todos e lerxes pra ninguén
Idioma
GL ES EN
Tema

La economía de las credenciales

Cómo las credenciales robadas se volvieron mercancía y por qué el coste cae sobre quienes tienen menos protección.

Autoría
Colectivo Daorde
Fecha
Lectura
6 min
Tarjetas de identidad, llaves y credenciales circulan por una cadena de mercado sobre una persona expuesta.

Un vertedero con dieciséis mil millones de filas

En junio de 2025 circuló un titular irresistible: 16.000 millones de credenciales expuestas. La cifra era real en un sentido muy concreto y engañosa en casi todos los demás. No se había abierto de golpe una caja fuerte con dieciséis mil millones de cuentas únicas. Eran colecciones agregadas, con duplicados, datos antiguos y registros obtenidos de muchas campañas distintas. Associated Press pidió cautela por esa razón.

Pero un vertedero no deja de ser un problema porque contenga basura repetida. Entre aquellos registros había direcciones, contraseñas, cookies y sesiones que todavía podían abrir una puerta. La noticia importante no era el récord. Era la existencia de una industria capaz de reunir durante años los restos digitales de millones de personas, ordenarlos y ponerlos a trabajar.

Una brecha grande tiene fecha, empresa y portavoz. El robo mediante infostealers es menos limpio. Ocurre portátil a portátil: en el equipo familiar que también se usa para enviar facturas, en el ordenador personal desde el que alguien entra en la VPN del trabajo, en una máquina sin parches porque sustituirla cuesta dinero. El daño se dispersa. El negocio que vive de él, no.

El ordenador se convierte en un lote

RedLine, Raccoon, Vidar, Lumma o Stealc son marcas de un catálogo que cambia sin alterar demasiado el producto. El programa entra mediante una descarga pirateada, una actualización falsa, publicidad maliciosa o un adjunto. Después registra el equipo y recoge lo que encuentra: contraseñas guardadas, historial, datos de autocompletado, monederos, tokens de aplicaciones y cookies del navegador.

La cookie merece atención porque desmonta parte del consejo habitual. Al iniciar sesión, un servicio entrega al navegador una prueba temporal de que la autenticación ya ocurrió. Así evita pedir contraseña y segundo factor en cada clic. Si el ladrón copia esa prueba y el servidor la acepta, puede heredar una sesión ya autenticada. La víctima tenía MFA. El atacante entra después del MFA.

Los navegadores intentan impedirlo y los desarrolladores de malware responden. Vidar 2.0, por ejemplo, incorporó técnicas contra App-Bound Encryption de Chrome. La secuencia importa: existe una defensa, el robo conserva valor económico y alguien paga por adaptarlo. No estamos ante una colección de travesuras ni ante usuarios que no aprendieron una charla de concienciación. Hay inversión, mantenimiento y demanda.

Al terminar, el operador empaqueta el equipo infectado como un lote. El log incluye ubicación, programas instalados, dominios visitados y accesos disponibles. Otro actor puede buscar dentro de miles de lotes quién ha entrado en un banco, una plataforma de criptomonedas, Microsoft 365 o una red corporativa. La vida digital acaba convertida en un filtro de búsqueda.

Un SaaS para robar sesiones

Parte del mercado se presenta con la misma normalidad administrativa que cualquier software empresarial: licencia mensual, panel, actualizaciones, documentación y soporte. El proveedor desarrolla el stealer. Sus clientes se ocupan de distribuirlo. Otros compran los registros o el acceso inicial y continúan con fraude, espionaje o ransomware. La especialización reduce el conocimiento necesario para entrar y permite hacer más intentos a menor coste.

El precio de cada registro revela lo que busca el comprador. Una contraseña vieja de una web abandonada apenas vale nada. Una cookie reciente de un administrador, acceso a correo con facturas o una VPN corporativa permite atacar a una organización desde una identidad que ya conoce. El mercado no compra caracteres. Compra la capacidad de actuar como otra persona dentro de una relación de confianza.

El informe DBIR 2025 de Verizon encontró credenciales corporativas en dispositivos comprometidos, incluidos equipos no gestionados. Muchas empresas toleran o directamente exigen que el trabajador use su móvil, su portátil o su conexión para acceder a recursos laborales. Ahorran en equipos y soporte, pero la frontera de seguridad queda instalada en una máquina que la empresa no administra. Cuando falla, el ahorro privado reaparece como riesgo para todos.

El consejo individual llega hasta donde llega

Conviene usar un gestor de contraseñas, activar MFA y preferir passkeys cuando estén bien implementadas. También conviene desconfiar de ejecutables dudosos y mantener el sistema actualizado. Nada de eso sobra. Lo que sobra es presentar esas medidas como si agotasen la explicación.

Una persona puede hacer las cosas razonablemente bien y perder una sesión. Quizá usa el único ordenador que tiene porque su empleador no le proporciona otro. Después de una jornada de diez horas, una falsa actualización bien construida parece una tarea rutinaria. La seguridad que exige atención perfecta de forma indefinida ya viene rota de fábrica.

Las plataformas deciden cuánto dura una sesión, qué señales fuerzan una nueva autenticación y qué controles ofrece una cuenta comprometida. Los empleadores deciden si entregan equipos gestionados, separan accesos privilegiados o detectan comportamientos anómalos. Los fabricantes deciden durante cuánto tiempo actualizan un dispositivo. Reducir todo eso a «no reutilices contraseñas» borra a quienes diseñan el entorno y luego cobran por él.

La protección también tiene clase

Una gran compañía puede desplegar EDR, retirar tokens de forma centralizada, limitar privilegios, registrar accesos, gestionar dispositivos y mantener un equipo de respuesta. Seguirá sufriendo incidentes, pero tiene personas contratadas para encontrarlos y dinero para recuperarse.

Una pequeña asesoría guarda nóminas, impuestos y datos de clientes en los mismos servicios, con un presupuesto completamente distinto. Quizá dependa de una sola persona que arregla impresoras, renueva certificados y responde cuando «el correo hace algo raro». En un hogar, la defensa puede ser el antivirus incluido, las actualizaciones automáticas y el tiempo que quede después de trabajar y cuidar. La superficie digital se parece; la capacidad para protegerla no.

Ahí aparece la división del trabajo que suele ocultar la palabra ciberseguridad. Unas organizaciones compran prevención, vigilancia y respuesta. Otras compran una póliza. A la mayoría de personas se les asigna responsabilidad sin darles control sobre los sistemas de los que dependen. Si algo sale mal, además reciben el sermón.

Se comercia con relaciones, no con contraseñas

Una credencial interesa porque representa algo social: permiso para cobrar una factura, leer un buzón, aprobar un cambio, consultar un historial o entrar en una red. El ladrón monetiza la confianza que una institución había depositado en otra persona. Por eso el producto más valioso puede ser una sesión anodina que nadie revocará hasta dentro de días.

La respuesta seria debe seguir esa cadena. Hay que acortar y vincular mejor las sesiones, facilitar la revocación, separar los accesos de trabajo, financiar equipos mantenidos y detectar usos incompatibles con la actividad normal. También hay que exigir a proveedores y empleadores que carguen con el coste de las decisiones que controlan. La formación ayuda; trasladar toda la culpa al último usuario ayuda sobre todo al departamento jurídico.

Los dieciséis mil millones de registros llamaron la atención por su tamaño. El mecanismo que los produjo resulta bastante más revelador: máquinas personales convertidas en minas, accesos convertidos en lotes y confianza convertida en mercancía. Mientras digitalizar signifique imponer dependencia y privatizar la protección, este mercado seguirá encontrando material. Le estamos entregando el inventario.