El robo de credenciales se mantiene como una amenaza con más de una década de presencia y, en Latinoamérica, crece al ritmo de la digitalización y del aumento del fraude online. Durante el último año se reportaron más de 2,6 millones de credenciales comprometidas en la región, de acuerdo con un informe de SOCRadar en 2025.
El acceso a una cuenta de correo habilita a los atacantes a llegar a servicios bancarios, plataformas corporativas, información financiera e historiales médicos. En ese marco, Eset organiza los mecanismos de obtención de contraseñas en tres metodologías: abusos de técnicas de ingeniería social, uso de malware y robos derivados de ataques a organizaciones que debían proteger esos datos.
En la ingeniería social, el método más utilizado es el phishing. Los atacantes suelen suplantar el nombre de entidades públicas o compañías reconocidas para reducir la desconfianza. El envío de correos o mensajes simula notificaciones que requieren acción inmediata —por ejemplo, inconvenientes con una cuenta, un pago rechazado o problemas con una reserva— e incluye un enlace malicioso hacia sitios que imitan a los legítimos para capturar usuario y contraseña.
Otra variante se apoya en sitios falsos que aparecen en buscadores como anuncios patrocinados. En esos casos, el atacante paga por visibilidad para suplantar páginas reales y puede engañar incluso a usuarios precavidos, al replicar la identidad visual de bancos, plataformas de correo, servicios en la nube o empresas.
La segunda vía es la distribución de malware específico que actúa cuando el dispositivo ya fue comprometido. El robo ocurre en segundo plano, muchas veces sin que la víctima lo perciba. Infostealers, keyloggers y spyware recolectan información sensible de forma continua, como contraseñas almacenadas en navegadores, datos de autocompletado, credenciales de aplicaciones y sesiones activas. Dentro de este ecosistema, los troyanos bancarios superaron las 650 mil detecciones únicas durante 2025; 110 mil correspondieron a una misma familia: Guildma.
La tercera fuente son los ataques a organizaciones, cuando una base de datos queda expuesta por una debilidad o falla en los sistemas. En los escenarios más críticos se filtran credenciales completas; aun sin contraseñas, correos electrónicos y nombres de usuario se usan luego para ataques de relleno de credenciales o fuerza bruta. “También existen amenazas que usan fuerza bruta”, dijo Martina López, investigadora de seguridad informática de Eset Latinoamérica.
Para reducir riesgos, se recomiendan contraseñas únicas y robustas por servicio, habilitar autenticación multifactor, desconfiar de mensajes inesperados, usar gestores de contraseñas, mantener sistemas y aplicaciones actualizadas y revisar accesos o actividad inusual. Si una contraseña ya fue robada, la respuesta incluye cambiar claves reutilizadas, cerrar sesiones activas, verificar cambios no autorizados y usar una herramienta de seguridad en los dispositivos potencialmente afectados.
“Mantenerse informado es vital para adelantarnos a las últimas tendencias de seguridad informática”, dijo López.
