Suplantación de credenciales: qué es y cómo evitarla

El phishing de credenciales es un tipo específico de phishing ciberataque cuyo objetivo es conseguir que los usuarios compartan sus credenciales (normalmente nombres de usuario y contraseñas) para que el atacante pueda robarlas y utilizarlas para obtener acceso no autorizado a cuentas de correo electrónico, sistemas empresariales y otros recursos seguros. Este tipo de robo de credenciales es un subconjunto del phishing en general, que más ampliamente intenta robar una variedad de tipos de información sensible, incluyendo detalles de tarjetas de crédito o cuentas bancarias, números de la Seguridad Social e información organizativa valiosa, como datos de clientes o propiedad intelectual.

La suplantación de credenciales es un problema cada vez mayor, por decirlo suavemente: un estudio informó de un 703% aumento del phishing de credenciales en la segunda mitad de 2024, en comparación con un aumento de sólo 202% en las amenazas generales de phishing basadas en el correo electrónico. (Sabes que hay un gran problema cuando un aumento de 202% puede considerarse relativamente bajo). El enorme aumento es atribuible a una combinación de factores:

• Ataques de phishing basados en inteligencia artificial facilitan más que nunca a los ciberdelincuentes la generación de mensajes convincentes diseñados para que los usuarios caigan en falsas solicitudes de credenciales.
• Ingeniería social, que ha sido muy eficaz para engañar a los usuarios para que hagan clic en los enlaces de los mensajes de phishing, está desempeñando un papel cada vez más importante en el phishing de credenciales.
• Multicanal El phishing de credenciales -es decir, el uso no sólo del correo electrónico, sino también de SMS, redes sociales y plataformas de colaboración- aumenta el alcance de los atacantes.

Todo lo anterior ocurre en el contexto de que el robo de credenciales ha sido durante mucho tiempo, y sigue siendo, una poco esfuerzo, mucha recompensa tipo de ataque.

¿La buena noticia? Aunque los ataques de phishing de credenciales están aumentando, también lo están haciendo los esfuerzos de seguridad de las organizaciones para prevenir el phishing, que van desde autenticación sin contraseña y autenticación multifactor (AMF) a herramientas de defensa basadas en inteligencia artificial. Sigue leyendo para saber más sobre cómo ha evolucionado el phishing de credenciales con el tiempo, las tácticas más comunes utilizadas en este tipo de ataques y las herramientas y estrategias disponibles para combatirlo.

Mediados de los noventa: En phishing de credenciales más antiguo parece haber ocurrido a mediados de la década de 1990, cuando unos estafadores se hicieron pasar por empleados de AOL para engañar a los usuarios y hacerles revelar sus credenciales de acceso. Aunque parece que su propósito era simplemente evitar pagar por el acceso a Internet, sus actividades allanaron el camino para estafas más sofisticadas, destructivas y costosas en el futuro.

Principios de la década de 2000: A principios de la década de 2000, el phishing de credenciales seguía siendo relativamente poco sofisticado, y a menudo se basaba en mensajes simplistas y producidos en masa para conseguir que la gente compartiera sus credenciales de inicio de sesión. 2003 marcó el inicio de un cambio en este patrón, cuando los atacantes empezaron a crear versiones casi idénticas de sitios legítimos como eBay y PayPal para engañar a los usuarios y hacerles introducir sus credenciales.

2010-2020: El spear phishing surgió en la década de 2010 para transformar el robo de credenciales, especialmente a nivel organizativo. Funciona dirigiéndose hábilmente a personas específicas con mensajes bien elaborados que a menudo pretenden ser de departamentos críticos como recursos humanos, facturación o soporte de TI. Correo electrónico comercial comprometido (BEC) es un tipo de ataque de ingeniería social que utiliza el phishing en forma de suplantaciones extremadamente sofisticadas de correos electrónicos (como solicitudes falsas de ejecutivos de nivel C) para dirigirse a los destinatarios, a los que se engaña haciéndoles creer que están respondiendo a alguien de su organización.

2020-presente: El phishing de credenciales hoy en día es cada vez más probable que sea Inteligencia artificial, Esto permite a los atacantes generar correos electrónicos de phishing gramaticalmente perfectos, perfectamente contextualizados y que parecen más auténticos que nunca. La IA generativa también está haciendo que sea increíblemente rápido y fácil crear estos mensajes nuevos y más convincentes. IBM, Los estafadores que utilizan IA generativa pueden elaborar mensajes eficaces en sólo cinco minutos (en lugar de las horas que puede llevar hacerlo manualmente).

En el phishing de credenciales, el atacante suele hacerse pasar por una fuente de confianza (como la empresa, el banco o el sitio web más utilizado por el usuario) y le envía un correo electrónico, un mensaje de texto u otro tipo de mensaje con el objetivo de que realice una acción que ponga en peligro sus credenciales. Dentro de este marco general, un atacante puede utilizar una serie de tácticas diferentes para llevar a cabo ataques de phishing de credenciales:

Correos electrónicos engañosos

Los correos electrónicos engañosos son el punto de entrada típico de muchos ataques de phishing de credenciales. Este tipo de correos suelen tener éxito como vehículos para el phishing de credenciales porque parecen proceder de fuentes en las que el destinatario confía y, por tanto, no es probable que levanten sospechas. Cuanto más auténtica parezca una comunicación por correo electrónico, más éxito tendrá el remitente en su intento de explotar esa confianza.

Las características de un ataque de phishing de credenciales que utiliza comunicaciones engañosas incluyen:

• Suplantación: La comunicación parece proceder de una fuente legítima ya conocida por el destinatario.
• Persuasión: La línea de asunto y/o las primeras palabras se escriben para provocar una reacción, como urgencia, miedo o incluso simple curiosidad. Los ciberdelincuentes prosperan con la urgencia, ya que tiende a empujar a los usuarios a reaccionar rápidamente en lugar de tomarse el tiempo para considerar si deben actuar en absoluto.
• Engaño: El mensaje hace hincapié en una necesidad inexistente de actuar con extrema urgencia.
• Accionabilidad: Los correos electrónicos de phishing suelen incluir un enlace o un archivo adjunto que facilita dar el siguiente paso.
• Más engaño: La acción del destinatario conduce a una página de inicio de sesión falsa donde se capturan las credenciales.

Páginas de inicio de sesión falsas 

Las páginas de inicio de sesión falsas son una de las herramientas más utilizadas en los ataques de phishing de credenciales en entornos organizativos. Son extremadamente eficaces en organizaciones que carecen de MFA resistente al phishing.

Los ataques que utilizan páginas de inicio de sesión falsas comienzan con el reconocimiento del atacante para averiguar qué servicios o plataformas utiliza habitualmente una organización (Microsoft 365 o Google Workspace, por ejemplo) y cómo son los formatos de correo electrónico y la marca de la organización. A partir de ahí, el agresor puede crear un correo electrónico de phishing de credenciales que parezca provenir de un departamento interno o de un proveedor conocido y que incluya una línea de asunto destinada a evocar una sensación de urgencia ("La contraseña caduca: se requiere una acción inmediata" o "Su factura está lista: véala de forma segura"), así como un enlace destacado a una página de inicio de sesión falsa.

Una vez que un empleado hace clic en el enlace e introduce sus credenciales en la supuesta página de inicio de sesión, las credenciales se reenvían al atacante, que puede utilizarlas para iniciar sesión en los sistemas de la organización y moverse lateralmente por la red, filtrando datos, plantando malware, lanzando más ataques BEC o suplantando la identidad desde una cuenta comprometida.

Tácticas multicanal

El correo electrónico no es la única forma de suplantar credenciales, y a medida que los usuarios se vuelven más conscientes y expertos en la defensa contra el phishing de credenciales basado en el correo electrónico, los atacantes se están ramificando hacia otras vías de ataque, incluyendo:

• Smishing (suplantación de identidad por SMS) se pueden utilizar para enviar falsas alertas de inicio de sesión, avisos de seguimiento de paquetes o solicitudes de autenticación de dos factores para inducir a los usuarios a hacer clic en un enlace.
• Vishing (suplantación de identidad por voz) consiste en llamadas que simulan ser del servicio de asistencia o del equipo de soporte informático y que dirigen a los usuarios a un sitio web de phishing.
• Phishing desde plataformas de colaboración utiliza mensajes en Slack, Teams, LinkedIn u otras plataformas para que los usuarios hagan clic en enlaces falsos o descarguen archivos adjuntos que parecen ser contenido relacionado con el trabajo.
• Suplantación de identidad mediante código QR consiste en enviar correos electrónicos de phishing de credenciales que incluyen códigos QR que enlazan con sitios de recogida de credenciales; el uso de códigos QR elude los filtros tradicionales de escaneado de enlaces.

Relleno de credenciales

El relleno de credenciales, en el que los ciberdelincuentes utilizan un gran número de credenciales robadas para intentar iniciar sesión en varios sitios, es una táctica que funciona junto con el phishing de credenciales para maximizar el daño del phishing de credenciales. Ambos pueden utilizarse juntos en ataques por capas en los que las credenciales se recopilan a través del phishing de credenciales y luego se aplican a los objetivos.

Por ejemplo, un atacante puede suplantar las credenciales de inicio de sesión de una cuenta de Microsoft 365 y, a continuación, utilizar el relleno de credenciales para probar las credenciales de Microsoft en una variedad de otros sitios o servicios, por ejemplo, Salesforce, Google (correo, documentos, gestor de contraseñas). Básicamente, el atacante está apostando a que alguien utiliza las mismas credenciales en varios sitios.

Pulverización de contraseñas 

Al igual que el relleno de credenciales, el rociado de contraseñas se utiliza junto con el phishing de credenciales para maximizar el alcance y el éxito del ataque de phishing, especialmente en entornos organizativos. En este tipo de esquema, el atacante:

1. Recoge una lista de nombres de usuario mediante phishing de credenciales
2. Combina un nombre de usuario con una contraseña fácil de adivinar (como password123 o welcome123) para intentar acceder a varias cuentas.

La razón más obvia por la que el espionaje de contraseñas funciona es que se aprovecha de la falta de higiene de las contraseñas; si la gente no utilizara contraseñas fáciles de adivinar, la táctica no llegaría muy lejos. También es difícil de detectar a gran escala sin herramientas de supervisión avanzadas.

Validación precisa del phishing

El phishing de precisión surgió en 2025 como una forma de que los atacantes estén seguros de que las credenciales que roban a través del phishing están realmente asociadas a cuentas en línea válidas. Utiliza una API integrada o JavaScript para confirmar la dirección de correo electrónico en tiempo real, antes de que se produzca el intento de phishing. El phishing validado por Prevision puede hacer que el phishing de credenciales sea mucho más eficiente y preciso, con poco esfuerzo o energía desperdiciada tratando de utilizar credenciales inexactas.

El phishing de credenciales puede infligir mucho daño a una organización. El sitio Informe de IBM sobre el coste de una filtración de datos descubrió que el phishing era una de las causas más frecuentes y costosas de las filtraciones de datos, con un coste medio de $4,88 millones y una duración media de 261 días.

Pero la prevención del phishing de credenciales puede ayudar a garantizar que los intentos de phishing de credenciales nunca lleguen lejos. RSA ofrece una amplia gama de productos y servicios en áreas clave relacionadas con la prevención del phishing de credenciales.

Autenticación sin contraseña

Puede parecer obvio, pero no está de más recordarlo: La ciberdelincuencia que se basa en el robo de credenciales no funcionará si no hay credenciales que robar. Eso es lo que hace que autenticación sin contraseña tan valioso para detener el phishing de credenciales.

Como miembro de la Alianza FIDO, RSA se dedica a ayudar a construir un mundo con menos contraseñas y menos problemas de seguridad relacionados con ellas. La autenticación sin contraseña de RSA protege el acceso donde más importa: en los puntos del ciclo de vida de la identidad que son especialmente vulnerables a los ataques basados en credenciales. RSA ofrece la autenticación sin contraseña con una disponibilidad del 99,99%, incluido un conmutación por error híbrida que permite la autenticación incluso sin conexión a la red, y proporciona una amplia gama de opciones sin contraseña:

• contraseñas de un solo uso (OTP)
• llaves de paso, incluidas las llaves de paso para móviles
• opciones basadas en la aplicación, como push to approve
• biometría

MFA resistente al phishing

Al igual que la autenticación sin contraseña elimina las credenciales que el phishing de credenciales intenta robar, la AMF resistente al phishing elimina el mecanismo por el que se roban: el phishing.

La serie de autenticadores RSA iShield Key 2 está diseñado específicamente para proteger contra ataques basados en credenciales, ofreciendo MFA resistente al phishing y basado en hardware e incorporando un módulo criptográfico certificado FIPS 140-3 nivel 3 y autenticación de hardware AAL3. Entre las ventajas de la serie RSA iShield se incluyen:

• Cumplimiento de las últimas normas federales de seguridad criptográfica
• Capacidades de seguridad de la identidad que impulsan la Arquitectura de Confianza Cero
• Certificación FIDO2 para un viaje seguro y sin fricciones sin contraseña
• Despliegue y gestión flexibles de las claves de acceso

Inicio de sesión único con proveedores de identidad

Utilizar el servicio de autenticación centralizado de un proveedor de identidades para iniciar sesión en varios sitios y servicios significa que los posibles puntos de entrada de los atacantes se reducen drásticamente de cientos a uno solo, y un punto de entrada es mucho más fácil de proteger y supervisar que docenas de inicios de sesión diferentes.

RSA Mi página es la solución SSO alojada en la nube que permite a los usuarios gestionar de forma rápida y segura el acceso a aplicaciones críticas y otros recursos a través de un único y cómodo portal para:

• Acceso rápido de los usuarios a varias aplicaciones con un solo conjunto de credenciales
• Cómodo autorregistro de autenticadores y autogestión de credenciales
• Reducción de la carga y minimización de los costes para el personal del servicio de asistencia y los administradores de TI.
• Tiempos de espera más cortos cuando hay una necesidad legítima de asistencia en el servicio de ayuda.

Passkeys

Las claves de acceso permiten a los usuarios iniciar sesión en sitios web y aplicaciones sin tener que introducir nunca una contraseña, lo que hace que el proceso de inicio de sesión sea más seguro (no hay contraseñas que robar) y más cómodo (no hay contraseñas que recordar). Las claves de acceso son mucho más seguras que las contraseñas porque nunca se reutilizan como éstas y porque son resistentes al phishing (ya que eliminan cualquier posibilidad de que alguien sea engañado para iniciar sesión en un sitio web falso).

Claves de acceso en la aplicación RSA Authenticator proporcionan autenticación sin contraseña y a prueba de suplantación de identidad, directamente en los dispositivos móviles de los usuarios. Esta capacidad de clave de acceso:

• Apoya la confianza cero abordando la ingeniería social y el phishing de credenciales
• Ayuda a las organizaciones a cumplir los requisitos reglamentarios para MFA resistente al phishing
• Se integra fácilmente en cualquier entorno informático existente
• Está vinculada al dispositivo, por lo que nunca sale de él, garantizando la máxima seguridad posible.

Confianza cero 

Zero Trust lucha contra el phishing porque crea un entorno en el que las organizaciones siempre están verificando la fiabilidad de quienes intentan acceder a los recursos de una organización. Las organizaciones que funcionan de acuerdo con la principios de Confianza Cero hacen que sea mucho más difícil para los malos actores que quieren suplantar credenciales encontrar una manera de entrar, o moverse lateralmente más allá de esas credenciales y elevar sus privilegios.

RSA apoya la confianza cero proporcionando los componentes de gestión de identidades y accesos (IAM) que son fundamentales para trabajar dentro del marco NIST Zero Trust. Estos incluyen:

• AMF
• Gobierno y administración de la identidad (IGA)
• Análisis de riesgos
• Acceso basado en funciones
• Acceso basado en atributos

AI

Aunque la IA ha sido una gran ayuda para los ciberdelincuentes que llevan a cabo ataques de suplantación de credenciales, también es muy valiosa para los que luchan por detenerla. Según la 2025 Informe RSA ID IQ, El 78% de las organizaciones encuestadas declaró tener planes inmediatos para implementar la automatización, el aprendizaje automático o alguna otra forma de IA en su pila de ciberseguridad.

RSA ha desarrollado capacidades basadas en IA en autenticación y gestión de acceso para ayudar a las organizaciones a detectar, responder y prevenir ataques de phishing de credenciales:

• RSA Risk AI emplea análisis de comportamiento y aprendizaje automático para detectar intentos de suplantación de identidad basados en phishing, de modo que los equipos de TI puedan abordarlos antes de que causen daños.

Gobernanza y ciclo de vida de RSA utiliza la IA para detectar anomalías en las solicitudes de acceso, proporcionando a los administradores la información que necesitan para evitar que se concedan accesos potencialmente peligrosos.

El phishing de credenciales en el futuro probablemente implique IA, tecnología deepfake e ingeniería social avanzada, según un informe reciente. No es de extrañar, dado el éxito que han cosechado los ciberdelincuentes utilizando estas y otras tácticas basadas en tecnologías avanzadas y emergentes.

Pero la buena noticia es que cada vez se enfrentarán más a organizaciones igualmente dedicadas a aplicar la IA y otras tecnologías en sus esfuerzos por repeler los ataques.

Hoy en día, las víctimas potenciales del phishing de credenciales están contraatacando adoptando soluciones MFA y sin contraseña resistentes al phishing, trabajando hacia la confianza cero, combatiendo la IA con IA y tomando otras medidas para defenderse. En 2025 Informe RSA ID IQ descubrió que el 80% de los encuestados creía que la IA ayudaría a las organizaciones en materia de ciberseguridad en los próximos cinco años, mientras que sólo una quinta parte pensaba que la IA haría más por permitir a los actores de amenazas en ese tiempo.

Mientras su organización sigue luchando contra el phishing de credenciales, cuente con la ayuda de RSA, con funciones como autenticación sin contraseña (incluidas las claves de acceso) y MFA resistente al phishing con ayuda de IA, todo ello desplegado en un entorno de usuario que da prioridad a la seguridad e incluye SSO, y todo ello integrado en un compromiso general con los principios de confianza cero que son esenciales para la ciberdefensa hoy en día y seguirán siendo fundamentales en el futuro.