La cibercriminalidad dirigida al entorno corporativo no deja de evolucionar, y España se ha convertido en uno de los principales objetivos de estas amenazas. Los datos más recientes revelan un notable incremento en los ciberataques cuyo propósito es el robo de credenciales y la venta de accesos a sistemas empresariales.
Según el informe Intelligence Insights Europa publicado por la empresa de ciberseguridad Group-IB, durante el último año se ha registrado un alarmante aumento en la actividad de los brokers de acceso inicial en España.
Estos actores se dedican a comercializar credenciales sustraídas o accesos a redes empresariales en mercados clandestinos, facilitando así la entrada a grupos de ransomware o de espionaje industrial.
España, objetivo de los ciberataques
El informe indica que España ha sufrido un aumento del 33% en la actividad de estos brokers, lo que la sitúa entre los países más afectados de Europa. Una de las causas principales de este incremento es la alta dependencia de plataformas como Microsoft 365 y GitLab en el ámbito empresarial español.
Ambas herramientas han sido blanco de campañas de robo masivo de credenciales, lo que ha elevado el volumen de datos corporativos disponibles en la dark web.
Uno de los vectores más peligrosos identificados ha sido el malware «acreed», que ha provocado un aumento de 240 veces en el número de credenciales comprometidas en los últimos meses.
Este tipo de software malicioso actúa de forma silenciosa, capturando datos de acceso sin alertar al usuario, y luego los pone a disposición de terceros en mercados clandestinos. Las organizaciones afectadas pueden no ser conscientes de la intrusión hasta que ya se ha producido una explotación del acceso.
El riesgo de los accesos persistentes
Otro aspecto crítico es la actuación de nuevos grupos de amenazas como Devman, especializados en explotar vulnerabilidades conocidas y realizar volcado de credenciales. Esta técnica les permite mantener acceso a los sistemas durante largos periodos, dificultando la detección y mitigación de la amenaza.
La existencia de accesos persistentes supone una amenaza constante para las infraestructuras digitales, que pueden ser utilizadas en cualquier momento para ejecutar ataques más graves como cifrado de datos o robo de información confidencial.
La combinación del trabajo de brokers, malware sofisticado y actores organizados ha convertido el robo de credenciales y la venta de accesos empresariales en una práctica altamente lucrativa. Los ciberdelincuentes no solo venden los accesos iniciales, sino que también los revenden en múltiples ocasiones, aumentando así el número de atacantes potenciales dentro de una misma organización.
Implicaciones de los ciberataques para las empresas y nuevas normativas
La exposición de España a esta ola de ciberataques implica la necesidad urgente de revisar las estrategias de protección. Más allá del uso de herramientas tecnológicas, es vital implementar políticas claras de control de accesos, autenticación multifactor y monitoreo continuo. También es esencial que las empresas refuercen sus planes de respuesta ante incidentes y capaciten a sus empleados sobre buenas prácticas de seguridad.
En este contexto, la Directiva NIS2 y las nuevas obligaciones europeas sobre notificación de incidentes cobran especial relevancia. Las organizaciones deben estar preparadas no solo para prevenir, sino también para reportar adecuadamente cualquier filtración o compromiso de seguridad. La normativa exige una mayor transparencia y capacidad de reacción por parte de las entidades tanto públicas como privadas.
Transformación de los ciberataques
Valentina Drofa, directora de comunicación estratégica en Group-IB, advierte que «la escala y sofisticación de la actividad de los brokers de acceso que estamos observando en España debería ser una llamada de atención. Las credenciales robadas son el punto de partida del ecosistema del ransomware actual, y su venta debe considerarse una señal clara de riesgo inminente para cualquier organización«.
El aumento en los ciberataques para robar credenciales y vender accesos empresariales pone de manifiesto una transformación del cibercrimen hacia esquemas más organizados y técnicos. Lo que antes podía parecer una amenaza lejana ahora se presenta como una realidad cotidiana que afecta a empresas de todos los sectores.
Para hacer frente a esta situación, es imprescindible que las compañías revisen sus políticas de acceso, implementen soluciones de detección temprana y cuenten con una estrategia clara de respuesta.
