Ciberseguridad bajo presión: el mundo enfrenta una ola récord de contraseñas comprometidas
Un informe de KELA detectó 2.860 millones de claves expuestas y advierte que los infostealers ya roban cookies de sesión, incluso en macOS, para esquivar la doble autenticación.

Davey Winder

Un informe reciente con datos de ciberdelito de 2025 mostró que las víctimas de ransomware crecieron 45% contra el año previo. Sin embargo, ese número no es el que más debería preocupar. El punto importante es otro: el uso de contraseñas robadas como puerta de entrada principal. Sea cual sea la plataforma o la cuenta a proteger, ya pasó el tiempo de tomar a la ligera la seguridad de las claves de acceso.

El informe State of Cybercrime 2026, de KELA, identificó no menos de 2860 millones de claves comprometidas, entre ellas contraseñas y cookies de sesión que permiten eludir la autenticación de dos factores. En un dato alarmante, los servicios de nube empresarial y autenticación concentraron más del 30% de esa información expuesta en 2025. 

Además, el análisis mostró que el malware infostealer, responsable del robo de credenciales, no respeta las suposiciones sobre el sistema operativo: "las infecciones en dispositivos macOS pasaron de menos de 1000 casos en 2024 a más de 70.000 en 2025, un aumento del 7000%", confirmó el informe.

Seguridad de las contraseñas: de los clics a las credenciales

Durante años, les advertí a los lectores sobre el peligro que plantea el malware infostealer. Eso abarca desde millones de contraseñas de Gmail incluidas en registros filtrados de malware infostealers hasta operativos del FBI destinados a desarticular a las bandas de ciberdelito detrás de las bases de datos de contraseñas robadas. Sin embargo, tal como mostró el análisis de KELA, la amenaza sigue vigente. De hecho, avanza año tras año. @@FIGURE@@

KELA explicó que el malware infostealer está "diseñado para exfiltrar datos sensibles de máquinas comprometidas, incluidas credenciales de inicio de sesión, tokens de autenticación y otra información crítica de cuentas". Además, con la disponibilidad casi universal de operaciones de malware como servicio para el universo delictivo de los malware infostealers, la barrera de entrada ya no bajó: quedó directamente por el piso.

Entre el 1° de enero y el 31 de diciembre de 2025, KELA dijo que "observó aproximadamente 3,9 millones de máquinas únicas infectadas con malware infostealer en todo el mundo, que en conjunto dejaron 347,5 millones de credenciales comprometidas". En total, de todos modos, KELA rastreó 2860 millones de credenciales comprometidas en todas las fuentes, incluidas bases de datos de registros de malware infostealers y otros materiales similares disponibles en mercados delictivos.

Los métodos más comunes que usaron los malware infostealers el año pasado, de acuerdo con el informe de KELA, fueron los siguientes:

  • Correos electrónicos, apps de mensajería y estafas personalizadas generadas con IA, que muchas veces eluden la MFA mediante Phishing-as-a-Service.
  • Usuarios engañados para ejecutar scripts de manera manual y esquivar las herramientas de seguridad tradicionales, en los llamados ataques para hackear tu propia contraseña.
  • Anuncios maliciosos y resultados de búsqueda que promueven software alterado con troyanos, lo que elevó las tasas de infección.
  • Paquetes contaminados y suplantación de DevTools para apuntar a credenciales con privilegios altos en ataques a la cadena de suministro.
  • Actualizaciones comprometidas de extensiones de navegador que permiten capturar formularios y robar cookies.
  • Las apps piratas y las falsas actualizaciones de software también mantuvieron su efectividad.

Para reducir el riesgo de convertirte en una estadística más en el próximo informe de ciberdelito, conviene que mantengas actualizados todos los software y sistemas operativos, siempre desde canales oficiales, y que no sigas enlaces incluidos en correos electrónicos o mensajes no solicitados, por más reales que parezcan. 

Usá un gestor de contraseñas para evitar que una misma clave se repita en varias cuentas; así, el impacto de una eventual filtración queda más limitado. También asegurate de activar la autenticación de dos factores, o 2FA, en todas las cuentas donde esté disponible, ya que suma una capa extra de protección contra el robo de contraseñas.  @@FIGURE@@

Dicho esto, los infostealers que comprometen cookies de sesión para eludir la 2FA ya son cada vez más comunes. Por eso, el consejo final es adoptar passkeys en lugar de contraseñas siempre que puedas: aportan fortaleza por defecto, resistencia al phishing y, sobre todo, como se generan de manera aleatoria, nunca se comparten durante el inicio de sesión y las claves privadas no salen de tu dispositivo, resultan prácticamente imposibles de comprometer por intercepción o mediante el tipo de malware infostealer que cubre esta nota.

*Este artículo fue publicado originalmente por Forbes.com