Durante más de tres décadas, los ciberataques eran relativamente simple: un atacante comprometía un dispositivo mediante malware, explotaba una vulnerabilidad del sistema operativo o penetraba una red corporativa para acceder a los datos. Ese modelo, heredado de la era de los virus informáticos y de los exploits clásicos, sigue existiendo, pero ya no es el principal motor del cibercrimen.
En la economía digital actual, la identidad se ha convertido en el nuevo perímetro de seguridad. En lugar de “hackear sistemas”, los atacantes simplemente inician sesión. Acceden a cuentas legítimas utilizando credenciales robadas, tokens de sesión interceptados o identidades reutilizadas de otras filtraciones. No necesitan vulnerar el dispositivo de la víctima ni desplegar malware: basta con poseer la identidad digital correcta.
Este cambio explica por qué millones de usuarios descubren que sus cuentas de correo, redes sociales o servicios financieros han sido comprometidas aun cuando sus dispositivos no muestran señales de infección. En realidad, el ataque ya ocurrió en otro lugar.
La muerte del modelo clásico de intrusión
El modelo tradicional de ciberataque implicaba tres fases:
- explotación de una vulnerabilidad técnica
- instalación de malware
- persistencia dentro del sistema
Ese enfoque era costoso, complejo y arriesgado. Además, generaba indicadores forenses visibles: procesos maliciosos, tráfico anómalo o artefactos en el sistema.
El modelo actual es radicalmente distinto. Los atacantes modernos operan bajo un principio mucho más eficiente: no romper la puerta, usar la llave.
Las credenciales robadas permiten exactamente eso. Desde el punto de vista del sistema, el atacante es el usuario legítimo. Esto hace que la intrusión sea extremadamente difícil de detectar mediante controles tradicionales.
Un análisis global de autenticaciones realizado sobre la red de servicios protegidos por Cloudflare, que cubre aproximadamente el 20 % de Internet, muestra que una proporción significativa de accesos utiliza credenciales previamente filtradas en otras brechas de datos. En otro análisis del mismo ecosistema, cerca del 41 % de los logins exitosos involucran contraseñas comprometidas en filtraciones anteriores (https://cyberinsider.com/cloudflare-41-of-user-logins-involve-compromised-passwords/) .
Esto revela una realidad incómoda: gran parte de los ataques actuales no requieren vulnerar infraestructura alguna, solo requieren reutilizar una contraseña.
Credential Stuffing: la industrialización del ataque
Cuando una base de datos de usuarios y contraseñas es filtrada, los atacantes prueban automáticamente esas credenciales en miles de servicios distintos. Debido a que una enorme cantidad de usuarios reutiliza contraseñas entre múltiples plataformas, una fracción de esos intentos termina funcionando.
Desde el punto de vista económico, este ataque es extraordinariamente eficiente. Un actor malicioso puede adquirir bases de datos filtradas en mercados clandestinos por pocos dólares y luego utilizar redes de bots para ejecutar millones de intentos de autenticación por hora.
Las cifras globales ilustran la magnitud del fenómeno. Diversos estudios del ecosistema de autenticación estiman que los ataques de credential stuffing alcanzan cientos de miles de millones de intentos al año, con crecimientos anuales superiores al 40 % en múltiples sectores digitales (https://mojoauth.com/data-and-research-reports/authentication-security-threat-landscape-2026/) .
El proceso de ataque suele seguir una secuencia automatizada:
- adquisición de bases de datos filtradas (breach dumps)
- normalización de credenciales
- prueba masiva contra APIs de autenticación
- verificación automática de accesos exitosos
- monetización de cuentas comprometidas
El volumen de tráfico generado por estas operaciones es gigantesco. En algunos entornos de autenticación global, la mayoría de los intentos de login proviene de bots automatizados y no de usuarios humanos, lo que refleja el grado de industrialización del ataque.
El rol crítico de la reutilización de contraseñas
El credential stuffing solo funciona porque los usuarios reutilizan credenciales.
El password reuse es una práctica extremadamente extendida. Investigaciones basadas en datasets de cientos de millones de cuentas comprometidas muestran patrones estructurales de reutilización entre sitios web, lo que permite modelar la probabilidad de reutilización como una red de relaciones entre plataformas (https://arxiv.org/abs/2510.16083) .
Este fenómeno tiene consecuencias profundas.
Cuando una sola plataforma sufre una filtración, el impacto potencial se expande inmediatamente a:
- cuentas de correo electrónico
- redes sociales
- servicios financieros
- plataformas de comercio electrónico
- servicios SaaS empresariales
Una sola brecha puede desencadenar compromisos de identidad en múltiples ecosistemas digitales.
Secuestro de sesión: cuando ni siquiera se necesita la contraseña
El robo de credenciales no es la única técnica utilizada en ataques basados en identidad. Otra estrategia creciente es el session hijacking, es decir, el robo de tokens de sesión.
Cuando un usuario inicia sesión en un servicio web, el sistema emite un token de autenticación que evita tener que introducir la contraseña en cada solicitud. Este token, generalmente almacenado en cookies o en memoria del navegador, se convierte en el verdadero artefacto de autenticación.
Si un atacante obtiene ese token, puede asumir inmediatamente la sesión del usuario, incluso sin conocer su contraseña ni su mecanismo de autenticación multifactor.
Los métodos más comunes para robar tokens incluyen:
- malware especializado en robo de cookies
- phishing avanzado con proxy inverso
- ataques a extensiones de navegador
- interceptación en dispositivos comprometidos
- extracción de memoria de navegadores
En todos estos escenarios, el resultado es el mismo: el atacante se autentica como el usuario legítimo sin necesidad de realizar un login tradicional.
OAuth y el secuestro de identidad federada
El crecimiento del Single Sign-On (SSO) y de los sistemas de identidad federada introdujo otro vector de ataque: el compromiso de flujos OAuth.
Protocolos como OAuth 2.0 permiten que una aplicación acceda a recursos de otra plataforma en nombre del usuario mediante tokens delegados. Esto simplifica la experiencia de autenticación, pero también introduce nuevas superficies de ataque.
Entre las técnicas observadas se encuentran:
- registro de aplicaciones OAuth maliciosas
- phishing dirigido a consentimientos OAuth
- manipulación de redirecciones de autorización
- abuso de tokens de refresh
Cuando un atacante logra obtener un OAuth access token, puede acceder a APIs del servicio afectado con los privilegios del usuario.
En ecosistemas SaaS complejos, como entornos empresariales en la nube, esto puede implicar acceso a correos, archivos, repositorios o bases de datos corporativas.
El bypass de MFA mediante ingeniería social
La autenticación multifactor (MFA) representa una defensa extremadamente efectiva contra el robo de credenciales. Estudios en entornos empresariales muestran que la implementación de MFA puede reducir el riesgo de compromiso de cuentas en más del 99 % (https://arxiv.org/abs/2305.00945) . Sin embargo, los atacantes han desarrollado métodos para evadirla. Entre los más comunes se encuentran:
- MFA fatigue attacks
El atacante envía repetidas solicitudes de autenticación push hasta que el usuario acepta por error. - Phishing con proxy inverso
El atacante intercepta en tiempo real el código MFA. - Ingeniería social contra soporte técnico
Se solicita el restablecimiento de factores de autenticación. - SIM swapping
Se transfiere el número telefónico de la víctima a una SIM controlada por el atacante.
En estos casos, el objetivo ya no es romper el mecanismo criptográfico del MFA, sino manipular al usuario o al sistema de soporte.
El mercado clandestino de identidades digitales
La economía criminal que sostiene estos ataques es enorme. Las credenciales robadas se comercializan en mercados clandestinos donde las cuentas tienen valor según su potencial de monetización. Por ejemplo:
- cuentas bancarias
- cuentas de comercio electrónico
- cuentas de correo corporativo
- cuentas de redes sociales verificadas
- cuentas de servicios de pago
En muchos casos, estas identidades se venden en paquetes de acceso que incluyen:
- credenciales
- cookies de sesión
- fingerprints de navegador
- direcciones IP asociadas
Esto permite a los compradores replicar el entorno de autenticación de la víctima y evitar mecanismos de detección basados en anomalías.
Por qué estos ataques son tan difíciles de detectar
Los sistemas de seguridad tradicionales están diseñados para detectar comportamientos anómalos:
- malware
- exploits
- tráfico sospechoso
- movimientos laterales
Pero en los ataques basados en identidad ocurre algo diferente.
Desde el punto de vista del sistema:
- la contraseña es válida
- la autenticación es legítima
- la sesión es válida
- los permisos son correctos
El atacante no está rompiendo el sistema. Está utilizando el sistema exactamente como fue diseñado. Esto convierte la detección en un problema de análisis de comportamiento, no de detección de intrusión técnica.
La transición hacia seguridad centrada en identidad
Este cambio estructural obliga a repensar completamente la arquitectura de seguridad.
El modelo de seguridad tradicional, basado en redes y perímetros, ya no es suficiente para proteger sistemas distribuidos, plataformas SaaS y aplicaciones cloud.
La nueva aproximación se basa en tres principios fundamentales:
- Zero Trust
El modelo Zero Trust asume que ninguna identidad es confiable por defecto, incluso si ya está autenticada.
Cada acceso debe ser evaluado continuamente en función de:
- contexto
- dispositivo
- comportamiento
- ubicación
- riesgo
- Autenticación resistente al phishing
Tecnologías como WebAuthn y FIDO2 eliminan el uso de contraseñas y utilizan claves criptográficas ligadas al dispositivo, lo que impide ataques de phishing y credential stuffing.
- Detección basada en comportamiento
Los sistemas modernos de seguridad de identidad utilizan machine learning para detectar anomalías de comportamiento:
- horarios de acceso inusuales
- patrones de navegación atípicos
- cambios de ubicación geográfica
- velocidad de interacción no humana
Este enfoque permite detectar cuando una identidad legítima está siendo utilizada por un actor malicioso.
La paradoja de la identidad digital
La identidad digital es simultáneamente el activo más valioso y el punto más débil de la seguridad moderna.
A medida que las organizaciones migran hacia servicios cloud, APIs y plataformas SaaS, el número de identidades digitales crece exponencialmente. Cada usuario, cada aplicación y cada servicio automatizado se convierte en una entidad autenticada dentro del sistema. Para los atacantes, esto representa una oportunidad extraordinaria. No necesitan explotar vulnerabilidades complejas ni desarrollar malware sofisticado. Solo necesitan acceso a una identidad válida.
Y en la economía actual de filtraciones masivas de datos, esas identidades están disponibles en cantidades prácticamente ilimitadas.
Conclusión
El futuro de la ciberseguridad no se definirá únicamente por la protección de sistemas, sino por la protección de identidades.
Los ataques basados en identidad representan una evolución lógica del cibercrimen: son silenciosos, escalables y extremadamente rentables. En lugar de atacar dispositivos, los criminales atacan el concepto mismo de autenticación.
La consecuencia es una transformación profunda del modelo de defensa.
En el nuevo paradigma, la pregunta fundamental ya no es:
“¿Está mi sistema comprometido?”
La pregunta correcta es otra:
“¿Quién está realmente detrás de esta identidad?”
Leer más
- Ataques financieros en alza en Latinoamérica
- El 88% de los ataques de phishing roban credenciales de acceso a cuentas
- Ataques a Agentes Autónomos de IA: el nuevo riesgo de la IA
