Este jueves 7 de mayo se conmemora el Día Mundial de la Contraseña y se convierte en un buen momento, para tener en cuenta que el consejo tradicional de “usar una contraseña compleja con números y símbolos” resulta totalmente obsoleto. Hoy en día, una contraseña de 16 caracteres es inútil si un malware de robo de información la extrae directamente de la caché del navegador o si un empleado la pega voluntariamente en un chatbot de IA sin supervisión.
Bienvenidos al verdadero Día Mundial de la Contraseña 2026. No al que les recordamos que añadan un signo de exclamación a “Contraseña123”. Sino al que revela el funcionamiento del mercado industrial global que se ha construido silenciosamente sobre la base de nuestros fallos colectivos con las contraseñas: una maquinaria que ahora, por primera vez, se ve impulsada por la inteligencia artificial de maneras que están cambiando radicalmente las reglas del juego.
“El panorama de las ciberamenazas ha evolucionado rápidamente hacia una economía industrializada de ciberdelincuencia como servicio (CaaS), impulsada por la IA generativa. Los hackers ya no entran ilegalmente, simplemente inician sesión”, explica Manuel Rodríguez, Gerente de Ingeniería de Seguridad en NOLA de Check Point Software.
Para comprender el ecosistema moderno del robo de identidad, debemos ir más allá de la pantalla de inicio de sesión y adentrarnos en la relación simbiótica entre la dark web, Telegram y la IA.
El fin de la ilusión de la “contraseña segura”: La economía sumergida
El mercado clandestino ha experimentado un cambio radical de plataforma. Los foros tradicionales de la dark web se utilizan ahora principalmente para establecer la credibilidad de los vendedores, mientras que los compradores son rápidamente canalizados a canales privados de Telegram y bots automatizados para transacciones instantáneas. Este cambio ha acelerado la monetización de los datos robados.
Entonces, ¿cuánto vale realmente tu vida digital en 2026?
Según el Índice de Precios de la Dark Web 2025/2026 de Privacy Affairs y DeepStrike, el mercado opera bajo la ley de la oferta y la demanda:
• Entretenimiento y redes sociales: Un exceso de oferta de datos filtrados ha provocado una caída de los precios. Una cuenta de Facebook pirateada se vende por unos 45 dólares, mientras que una cuenta de Gmail tiene un precio promedio de entre 60 y 65 dólares.
• Finanzas: Las tarjetas de crédito estándar con CVV se venden entre 10 y 40 dólares, pero las cuentas bancarias en línea verificadas y los accesos a criptomonedas con saldo elevado alcanzan precios superiores a los 200 dólares, llegando a superar los 1170 dólares.
• Acceso corporativo: El mercado más lucrativo pertenece a los intermediarios de acceso inicial (IAB, por sus siglas en inglés), que ofrecen acceso directo a redes corporativas específicas (VPN o RDP). Según el informe de Rapid7 sobre intermediarios de acceso inicial, el precio base promedio de los IAB rondaba los 2700 dólares, pero el acceso administrativo con altos privilegios ha disparado los precios hasta superar los 113 000 dólares.
Las suscripciones a malware de robo de información de primer nivel, como LummaC2 o RedLine, oscilan entre los 100 y los 1024 dólares mensuales, lo que hace que robar millones de contraseñas sea más barato que nunca para los ciberdelincuentes novatos.
La epidemia de contraseñas: reutilización de credenciales y filtraciones de datos por IA generativa
La efectividad de estas bases de datos robadas depende completamente de la psicología humana. A pesar de años de advertencias, los usuarios reutilizan contraseñas persistentemente. El 94 % de las contraseñas se reutilizan en dos o más cuentas. Los datos del Informe de Investigaciones de Violaciones de Datos de Verizon de 2025 muestran que solo el 3 % de las contraseñas cumplen con los requisitos de complejidad del NIST para las mejores prácticas de contraseñas. Cuando una plataforma se ve comprometida, los ataques automatizados de relleno de credenciales desbloquean instantáneamente los perfiles de usuario en cientos de otros servicios.
Pero la mayor amenaza del factor humano en 2026 no es solo la reutilización de contraseñas, sino la amenaza interna accidental creada por la IA generativa.
• El punto ciego de la IA generativa: según el Informe de Seguridad de Navegadores LayerX 2025, copiar y pegar en navegadores ha superado a las transferencias de archivos como el principal vector de exfiltración de datos corporativos. Un enorme 45 % de los empleados utiliza activamente herramientas de IA, y el 77 % de estos usuarios pegan datos directamente en las solicitudes de IA, lo cual es inseguro. Según Check Point Research, en marzo de 2026, 1 de cada 28 solicitudes de GenAI enviadas desde entornos empresariales presentaba un alto riesgo de fuga de datos confidenciales, afectando al 91 % de las organizaciones que utilizan herramientas de GenAI con regularidad. Un 17 % adicional de las solicitudes contenía información potencialmente confidencial.
• El riesgo de la TI en la sombra: Peor aún, el 82 % de estas acciones de copiar y pegar se realizan a través de cuentas personales no gestionadas, según el informe de LayerX, lo que crea un enorme punto ciego.
• Las consecuencias: ¿Qué sucede cuando estas herramientas de IA se ven comprometidas? La empresa de inteligencia de amenazas Group-IB informó que al menos 225 000 conjuntos de credenciales de OpenAI/ChatGPT se pusieron a la venta en la dark web tras ser robadas por ciberdelincuentes. Cuando los empleados utilizan dispositivos personales infectados con los ciberdelincuentes para iniciar sesión en herramientas de IA con credenciales corporativas, el ciclo de datos es devastador.
Phishing 2.0: IA, Deepfakes y la crisis de suplantación de identidad
Con la IA reduciendo las barreras de entrada, el Phishing 2.0 ha llegado. Se venden kits personalizados de “Phishing como servicio” impulsados por IA por menos de 100 dólares al mes en Telegram. El truco más común —y efectivo— sigue siendo la solicitud falsa de restablecimiento de contraseña de TI/RRHH o el portal VPN fraudulento. La IA garantiza que estos señuelos estén perfectamente redactados, sin errores tipográficos y altamente dirigidos.
Gracias a esta sofisticación, los correos electrónicos de phishing generados por IA alcanzan tasas de clics asombrosas de hasta el 54 % (en comparación con aproximadamente el 12 % del phishing tradicional), según un estudio de Brightside AI de 2024.
Pero la amenaza se ha extendido más allá del texto:
• El costo de los Deepfakes: Las suscripciones básicas de clonación de voz con IA cuestan solo unos pocos dólares al mes, impulsadas por la tecnología deepfake. Según el Informe de Fraude de Identidad 2024 de Onfido, se ha producido un aumento del 3000 % en los deepfakes.
• Suplantación de identidad de ejecutivos: La ingeniería social de alto nivel está causando estragos. Es increíblemente común que los ciberdelincuentes se hagan pasar por el jefe de TI o un ejecutivo de la alta dirección para obtener las credenciales de acceso de los empleados. Una sola videollamada deepfake le costó a la empresa de ingeniería Arup 25,6 millones de dólares. El ataque implicó una sofisticada videoconferencia con varias personas que presentaban imágenes deepfake generadas por IA del director financiero y otros altos ejecutivos de la empresa. Este caso demostró que los ataques complejos y multimodales ya no son teóricos: están ocurriendo ahora mismo, con resultados catastróficos.
• Vishing con deepfake: La clonación de voz se puede crear a partir de tan solo 3 segundos de audio, lo que aumenta drásticamente la exposición de los equipos financieros al fraude por suplantación de identidad. Como informó Fortune en diciembre de 2025, la clonación de voz ha superado el umbral de la indistinguibilidad, lo que significa que los oyentes humanos ya no pueden diferenciar con fiabilidad las voces clonadas de las auténticas.
El manual de defensa para 2026
El tiempo que transcurre desde la filtración de una contraseña hasta el despliegue de un ataque de ransomware a gran escala se reduce a un ritmo alarmante. Según Beazley Security (tercer trimestre de 2025), el 48 % de los ataques de ransomware utilizaron credenciales VPN robadas como vector de acceso inicial. Sin embargo, el informe de IBM sobre el coste de una filtración de datos de 2025 reveló que las filtraciones basadas en credenciales tardan, en promedio, 246 días en identificarse y contenerse.
Sugerimos algunos métodos para que las organizaciones se protejan en 2026:
1. Adoptar el acceso sin contraseña y FIDO2: La única defensa real contra el phishing y el robo de información es eliminar por completo la contraseña. La transición a las claves de acceso FIDO2 garantiza que, incluso si un empleado es engañado para que visite una página de inicio de sesión falsa, no habrá credenciales reutilizables que robar.
2. Implementar la confianza cero centrada en la identidad: Los equipos de seguridad deben tratar cada intento de autenticación con escepticismo y combinar la detección y respuesta en los puntos finales (EDR) con la detección y respuesta ante amenazas de identidad (ITDR) para correlacionar las anomalías de comportamiento en ambos entornos.
3. Controlar el vector de navegación de IA: Las herramientas tradicionales de prevención de pérdida de datos (DLP) que monitorean las transferencias de archivos quedan obsoletas si un empleado simplemente copia y pega archivos en ChatGPT. Las empresas deben adoptar navegadores empresariales o extensiones de seguridad para monitorear, controlar y bloquear que se peguen datos confidenciales en chatbots GenAI no autorizados.
4. Monitoreo continuo de la Dark Web y Telegram: Esperar una notificación de brecha de seguridad es demasiado tarde. Las organizaciones necesitan un monitoreo continuo de inteligencia sobre amenazas para detectar credenciales intercambiadas antes de que los intermediarios de acceso inicial puedan venderlas a afiliados de ransomware
Las contraseñas fueron en su momento la clave de la seguridad. Hoy en día, representan un riesgo que se comercializa masivamente en la Dark Web. De cara al futuro, la seguridad empresarial se basa en la verificación del comportamiento, no solo en una cadena de caracteres.
