Daorde
cabacas pra todos e lerxes pra ninguén
Idioma
GL ES EN
Tema

A economía das credenciais

Como as credenciais roubadas se volveron mercadoría e por que o custo cae sobre quen ten menos protección.

Autoría
Daorde Colectivo
Data
Lectura
6 min
Tarxetas de identidade, chaves e credenciais circulan por unha cadea de mercado sobre unha persoa exposta.

Un vertedoiro con dezaseis mil millóns de filas

En xuño de 2025 espallouse un titular imposíbel de ignorar: 16.000 millóns de credenciais expostas. A cifra era certa nun sentido moi concreto e enganosa en case todos os demais. Ninguén abrira de golpe unha caixa forte con dezaseis mil millóns de contas únicas e vixentes. Eran coleccións agregadas, con duplicados, datos vellos e rexistros procedentes de moitas campañas. Associated Press explicou esa cautela.

Un vertedoiro non deixa de ser perigoso porque conteña lixo repetido. Entre aqueles rexistros había enderezos, contrasinais, cookies e sesións que aínda podían abrir unha porta. O importante non era o récord. Era comprobar que existe unha industria capaz de xuntar durante anos os restos dixitais de millóns de persoas, ordenalos e poñelos de novo a producir cartos.

Unha filtración corporativa ten data, empresa e portavoz. O roubo mediante infostealers é máis desamañado. Ocorre portátil a portátil: no ordenador familiar que tamén serve para enviar facturas, no equipo persoal desde o que alguén entra na VPN do traballo, nunha máquina sen actualizar porque substituíla custa cartos. O dano queda disperso. O negocio construído enriba del, non.

Converter un ordenador nun lote

RedLine, Raccoon, Vidar, Lumma ou Stealc son marcas dun catálogo que cambia sen alterar demasiado o produto. O programa entra cunha descarga pirateada, unha actualización falsa, publicidade maliciosa ou un arquivo adxunto. Logo rexistra o equipo e recolle o que atopa: contrasinais do navegador, datos de autocompletado, carteiras, tokens de aplicacións e cookies.

A cookie merece atención porque amosa o límite do consello habitual. Despois de iniciar sesión, un servizo entrégalle ao navegador unha proba temporal de que a autenticación xa se realizou. Así evita pedir contrasinal e segundo factor en cada clic. Se o ladrón copia esa proba e o servidor a acepta, pode herdar unha sesión xa autenticada. A vítima tiña MFA. O atacante entrou despois do MFA.

Os navegadores tentan dificultar o roubo e os desenvolvedores do malware responden. Vidar 2.0, por exemplo, incorporou técnicas contra App-Bound Encryption de Chrome. A secuencia importa: aparece unha defensa, as sesións roubadas conservan valor e alguén paga por adaptar a ferramenta. Non falamos de trasnadas nin dunha proba moral para usuarios despistados. Hai investimento, mantemento e clientela.

Ao rematar, o operador empaqueta o ordenador infectado como un lote. O log inclúe localización, programas instalados, dominios visitados e accesos dispoñíbeis. Outro actor pode buscar entre milleiros de lotes quen entrou nun banco, nunha plataforma de criptomoedas, en Microsoft 365 ou nunha rede corporativa. A vida dixital remata convertida nun inventario con filtros.

Un SaaS para roubar sesións

Parte deste mercado funciona coa gris normalidade administrativa de calquera software empresarial: licenza mensual, panel, actualizacións, documentación e soporte. Un grupo desenvolve o stealer. Os clientes distribúeno. Outros especialistas mercan os rexistros ou o acceso inicial e continúan con fraude, espionaxe ou ransomware. A división do traballo reduce o coñecemento necesario para entrar no negocio e permite facer máis intentos por menos cartos.

O prezo dun rexistro conta o que busca o comprador. Un contrasinal vello dun foro abandonado vale pouco. Unha cookie recente de administrador, un correo que recibe facturas ou unha VPN corporativa permiten atacar unha organización desde unha identidade que xa coñece. O mercado non compra caracteres nun ficheiro. Compra a capacidade de actuar coma outra persoa dentro dunha relación de confianza.

O DBIR 2025 de Verizon atopou credenciais corporativas en dispositivos comprometidos, tamén en equipos non xestionados. Moitas empresas toleran ou esixen que o persoal use móbiles, ordenadores e conexións propias para traballar. A empresa aforra en equipamento e soporte, pero sitúa a súa fronteira de seguridade nunha máquina que non mantén. Cando esa fronteira rompe, o aforro privado regresa convertido en risco compartido.

O consello individual ten un límite

Cómpre usar un xestor de contrasinais, activar MFA e preferir passkeys cando estean ben implementadas. Tamén convén desconfiar de executábeis dubidosos e manter o sistema actualizado. Nada diso sobra. O que sobra é presentalo coma unha explicación completa.

Unha persoa pode actuar con sentidiño e perder unha sesión. Talvez usa o único ordenador dispoñíbel porque a empresa non lle deu outro. Despois dunha quenda de dez horas, unha actualización falsa ben construída parece unha tarefa corrente. A seguridade que esixe atención perfecta e indefinida xa vén rota de fábrica.

As plataformas deciden canto dura unha sesión, que sinais obrigan a autenticarse de novo e como se recupera unha conta comprometida. Os empregadores deciden se entregan equipos xestionados, separan os accesos privilexiados ou investigan actividade anómala. Os fabricantes deciden durante cantos anos actualizan un dispositivo. Reducir todo iso a «non repitas contrasinais» borra a quen deseña o contorno e cobra por el.

A protección tamén ten clase

Unha gran compañía pode instalar EDR, revogar tokens de xeito centralizado, limitar privilexios, rexistrar accesos, xestionar dispositivos e manter un equipo de resposta. Tamén sufrirá incidentes, pero paga persoas para atopalos e ten cartos para recuperarse.

Unha pequena xestoría garda nóminas, impostos e datos da clientela nos mesmos servizos, cun orzamento completamente distinto. Quizais dependa dunha soa persoa que amaña impresoras, renova certificados e responde cando «o correo fai cousas raras». Nun fogar, toda a defensa pode ser o antivirus incluído, as actualizacións automáticas e o tempo que quede despois do traballo e dos coidados. A exposición dixital é semellante; a capacidade para contela non.

Aí aparece a división do traballo que agocha a palabra ciberseguridade. Unhas organizacións mercan prevención, vixilancia e resposta. Outras mercan unha póliza. Á maioría das persoas asígnaselles responsabilidade sen darlles control sobre os sistemas dos que dependen. Se algo falla, tamén lles asignan o sermón.

A mercadoría é unha relación

Unha credencial importa porque representa algo social: permiso para pagar unha factura, ler un buzón, aprobar un cambio, consultar un historial ou entrar nunha rede. O ladrón monetiza a confianza que unha institución depositou noutra persoa. Por iso o produto máis valioso pode ser unha sesión aburrida que ninguén revogará durante varios días.

Unha resposta seria debe seguir esa cadea. As sesións poden ser máis curtas e quedar mellor vinculadas aos dispositivos; a revogación pode ser máis rápida; os accesos laborais poden separarse; hai que financiar equipos mantidos e comprobar actividade incompatíbel co comportamento habitual. Provedores e empresas deben cargar tamén co custo das decisións que controlan. A formación axuda. Botarlle toda a culpa ao último usuario axúdalle, sobre todo, ao departamento xurídico.

Os dezaseis mil millóns de rexistros chamaron a atención polo seu tamaño. O mecanismo que os produciu di bastante máis: ordenadores persoais convertidos en minas, accesos empaquetados en lotes e confianza transformada en mercadoría. Mentres dixitalizar signifique impoñer dependencia e racionar a protección segundo quen poida pagala, este mercado seguirá atopando material. Estamos a entregarlle o inventario.