X-Force Threat Intelligence Index 2026

Durante los últimos 2 años, X-Force informó sobre el abuso de credenciales válidas como uno de los principales vectores de acceso inicial utilizado por adversarios en todas las industrias y regiones.

El atractivo de usar credenciales legítimas para obtener acceso a las infraestructuras ha atraído a los atacantes por su relativa simplicidad y alta tasa de éxito. Sin embargo, en 2025, X-Force observó un cambio drástico en esta tendencia. Fuimos testigos de un aumento del 44 % en los incidentes causados por la explotación de aplicaciones orientadas al público. Este aumento representó el 40 % de los casos, mientras que el uso de credenciales válidas representó solo el 32 % de los casos. Las aplicaciones de cara al público están sujetas a la explotación a través de vulnerabilidades o configuraciones erróneas asociadas con el despliegue, la configuración o ambos.

Esta tendencia se vio agravada por un aumento de los ataques a la cadena de suministro dirigidos cada vez más a los ecosistemas de desarrollo y la infraestructura confiable, lo que significa que las vulnerabilidades se estaban explotando más temprano en el ciclo de vida del software y a una escala mucho mayor. Este cambio también puede estar conectado a las debilidades en los entornos de clientes observados por X-Force Red (descritos más adelante en este informe), donde las configuraciones erróneas, la autenticación débil y el código inseguro (identificados por CAPEC-180, CAPEC-49 y CAPEC-242 de Common Attack Pattern Enumeration and Classification) proporcionaron constantemente puntos de entrada fáciles. En conjunto, la fragilidad sistémica de los ecosistemas de la cadena de suministro y la prevalencia de estas debilidades fundamentales del CAPEC aceleraron significativamente la explotación de vulnerabilidades a lo largo de 2025.

Además, observamos mayores esfuerzos de descubrimiento e informes en 2025. X-Force mantiene una base de datos que rastrea las vulnerabilidades a lo largo del tiempo, y nuestros datos indicaron una notable tendencia al alza, año tras año, para las nuevas vulnerabilidades. Esta tendencia marca la creciente complejidad de los ecosistemas de software y la superficie de ataque disponible para incluir sistemas de IA. También es plausible que este aumento en los informes de vulnerabilidades se deba en parte a que tanto los investigadores como los atacantes utilizan herramientas de IA y machine learning para identificar vulnerabilidades.

Además, las vulnerabilidades rastreadas se pueden colocar en dos categorías determinadas por si se requería autenticación para la explotación. Los datos revelan que la mayoría de las vulnerabilidades (56 %) podría explotarse sin autenticación, lo que aumenta significativamente la superficie de ataque potencial. Esta tendencia subraya una preocupación crítica de seguridad. Los sistemas que carecen de controles de autenticación son más susceptibles al acceso y la explotación no autorizados, por lo que es esencial que las organizaciones implementen mecanismos de autenticación sólidos y apliquen políticas de acceso estrictas.

Aunque ya no es el principal vector de acceso inicial, el uso indebido de cuentas válidas representó casi un tercio de los casos, lo que indica una dependencia continua de las credenciales legítimas. Las credenciales legítimas siguen siendo uno de los puntos de entrada preferidos para los atacantes porque eliminan la necesidad de exploits y permiten que los adversarios se integren perfectamente en el proceso normal de autenticación. Este tema es evidente en múltiples investigaciones de IBM X-Force.

Las campañas basadas en el robo de credenciales como paso previo siguen el mismo patrón:

• La operación 2025 de Hive0145 contra organizaciones alemanas entregó Strela Stealer específicamente para cosechar los inicios de sesión de Microsoft Outlook y Mozilla Thunderbird. Una vez obtenidas, esas credenciales reales permitieron a los atacantes acceder a los buzones de correo y suplantar a los usuarios.
  
  
• De manera similar, la ola de phishing focalizado centrada en Francia utilizó datos filtrados de clientes de ISP para atraer a las víctimas a ingresar sus credenciales de Amazon en una página de inicio de sesión falsa, lo que permitió la toma inmediata de la cuenta sin ninguna explotación.

Más allá de las campañas de phishing para robar credenciales, los atacantes también se dirigen a los sistemas que almacenan o gestionan credenciales de gran valor. Nuestro equipo de X-Force Red Adversary Services publicó una investigación sobre el descifrado de credenciales SCCM (System Center Configuration Manager de Microsoft). Los analistas demostraron que una vez que un atacante se afianza en un servidor de sitio de Configuration Manager, puede extraer y descifrar las contraseñas de cuentas de servicio almacenadas en la base de datos de SCCM. Luego, puede usar esas credenciales válidas para adentrarse en todo el entorno con la misma confianza y alcance que la propia infraestructura de gestión de la organización. El atacante no necesita explotar en esa etapa: simplemente "iniciar sesión" con cuentas SCCM que automatizan la implementación de software y tienen amplios permisos de red, convirtiendo un único servidor comprometido en acceso para toda la empresa.

El uso de credenciales legítimas, ya sean suplantadas de identidad o robadas, puede permitir a los atacantes pasar de usuarios externos a usuarios autorizados, eludiendo los controles y obteniendo acceso persistente y de baja visibilidad.

Al comprender lo valiosas que son las credenciales para los atacantes, no es sorprendente que estos sean algunos de los artículos más buscados dentro de los mercados de delincuentes cibernéticos. Nuestro análisis encontró que la recolección de credenciales encabezó la lista de impactos experimentados por las organizaciones víctimas en 2025.

La proliferación de los chatbots de IA en las operaciones comerciales creó un nuevo vector de ataque para los delincuentes cibernéticos que utilizan malware infostealer. A medida que las organizaciones integran cada vez más las tecnologías de chatbot de IA en sus flujos de trabajo, ha surgido el riesgo de que se infecten los sistemas que almacenan las credenciales para estas plataformas. Además, el robo de credenciales de chatbot de IA que permiten el acceso a otros sistemas, ilustrado por el incidente Salesloft/Drift, donde los atacantes robaron tokens OAuth de Drift y los usaron para entrar en múltiples entornos de Salesforce, muestra que el acceso basado en tokens de chatbot a otros sistemas ya está ocurriendo y puede suceder de manera más generalizada.

Las 5 plataformas principales —ChatGPT (OpenAI), Microsoft Copilot, Google Gemini, Perplexity y Claude AI (Anthropic)— se revisaron en busca de cuentas a la venta en la dark web que contenían credenciales para las plataformas.  La visibilidad varía significativamente de una plataforma a otra incluida en el conjunto de datos. Las que utilizan proveedores externos, como SSO, Apple, Google o Microsoft, no tienen almacenadas credenciales específicas de la plataforma y no se pueden identificar en los datos de credenciales. En 2025, se observaron a la venta más de 300 000 credenciales de ChatGPT.

Además, en febrero de 2025, un actor de amenazas publicó ejemplos de credenciales de ChatGPT en BreachForums y afirmó haber robado más de 20 millones de cuentas.  Si bien ninguna de las credenciales de ejemplo publicadas seguía siendo válida, las credenciales correspondían constantemente a infecciones de infostealer y colecciones de credenciales filtradas observadas en 2024 y antes. Esto ilustra cómo el robo a gran escala de credenciales por actividades pasadas de robos de información puede resurgir como un nuevo apalancamiento criminal, transformando datos previamente comprometidos en nuevas oportunidades de explotación.

Si bien en 2025 se produjeron desmantelamientos considerables de la infraestructura de malware infostealer, como con Lumma y Rhadamanthys, el uso de malware infostealer sigue siendo un método fácil para que los actores de amenazas obtengan acceso.

Al igual que con la adopción de otras nuevas tecnologías, las empresas primero deben evaluar las políticas y la adopción de chatbots de IA dentro de su organización.  A continuación, deben priorizar la educación sobre la concientización sobre ciberseguridad y las mejoras a la protección de credenciales, como el uso de autenticación multifactor y claves de paso, la detección de patrones de inicio de sesión anormales y el monitoreo de la exposición de credenciales.