Credenciales robadas: cómo detectar si las tuyas están expuestas

El ciberataque que paralizó la red global de Stryker —empresa médica presente en más de 75 países— no comenzó con un exploit sofisticado ni con tecnología de vanguardia. Comenzó con contraseñas. Contraseñas robadas hace meses, quizás años, que llevaban todo ese tiempo esperando en bases de datos del mercado negro. Si tienes un negocio o trabajas como autónomo, esto te afecta directamente.

Qué son los infostealers y por qué son tan peligrosos

Un infostealer es un tipo de malware diseñado para una sola cosa: robar credenciales. Una vez que infecta un ordenador —a través de un archivo adjunto, una descarga, un software pirata o incluso un anuncio malicioso— empieza a extraer de forma silenciosa todas las contraseñas guardadas en el navegador, las cookies de sesión activas y las credenciales de aplicaciones instaladas.

Lo recogido se envía automáticamente a los atacantes, que luego venden esos datos en paquetes llamados “logs” en mercados clandestinos. Esos logs pueden incluir acceso a tu correo, a tu panel de hosting, a tu gestor de contraseñas, a tu banca online o a cualquier herramienta cloud que uses para trabajar.

En el caso de Stryker, la investigación forense posterior al ataque encontró credenciales de cuentas administrativas críticas —con acceso a la infraestructura de Microsoft y al sistema de gestión de dispositivos— que llevaban circulando en esos mercados desde 2023. Nadie las había cambiado.

Qué hacer: Busca tu correo corporativo en haveibeenpwned.com. Es gratuito y te dice si tu email ha aparecido en filtraciones conocidas. Si aparece, cambia todas las contraseñas asociadas a ese correo de inmediato.

Los cinco puntos débiles más habituales en pymes y autónomos

1. Contraseñas reutilizadas

Usar la misma contraseña en varios servicios es el error más común y el más peligroso. Si esa contraseña aparece en una filtración, los atacantes la prueban automáticamente en decenas de plataformas. En el sector de la ciberseguridad esto se llama credential stuffing.

2. Contraseñas débiles en cuentas administrativas

Las cuentas con privilegios elevados —administrador de hosting, panel de WordPress, acceso a servidores— son los objetivos prioritarios. Usar contraseñas simples en esas cuentas es equivalente a dejar la llave de tu local bajo el felpudo.

3. Sin autenticación en dos pasos

El 2FA (autenticación en dos factores) es la medida de seguridad más eficaz para proteger cuentas incluso si la contraseña ha sido robada. Sin embargo, muchas empresas no lo tienen activado en sus herramientas más críticas.

4. Empleados con acceso sin restricciones

Cuando un colaborador, gestor o freelance tiene acceso permanente a herramientas críticas sin limitaciones, el riesgo se multiplica. Si su dispositivo se infecta con un infostealer, los datos de tu empresa quedan expuestos.

5. Sin monitorización de accesos

Muchas pymes no revisan los logs de acceso a sus herramientas. Un atacante puede llevar semanas dentro de un sistema sin que nadie lo detecte.

Qué hacer: Revisa quién tiene acceso a cada herramienta crítica de tu negocio. Elimina accesos que ya no sean necesarios y activa alertas de inicio de sesión cuando sea posible.

Guía paso a paso: qué hacer esta semana

Paso 1 — Audita tus correos Comprueba todos los correos corporativos en haveibeenpwned.com. Si alguno aparece en una brecha, trata ese correo como comprometido.

Paso 2 — Cambia las contraseñas críticas Empieza por las cuentas más importantes: hosting, dominio, correo corporativo, herramientas de facturación, banca online. Usa contraseñas largas (mínimo 16 caracteres) generadas aleatoriamente.

Paso 3 — Usa un gestor de contraseñas Herramientas como Bitwarden (gratuita), 1Password o Dashlane te permiten generar y guardar contraseñas únicas para cada servicio sin tener que memorizarlas. Es la forma más práctica de no reutilizar contraseñas.

Paso 4 — Activa el 2FA en todo lo crítico Prioriza: correo corporativo, panel de hosting, acceso a WordPress, herramientas de pago, Google Workspace o Microsoft 365. Usa una app como Google Authenticator o Authy, no SMS si puedes evitarlo.

Paso 5 — Revisa los dispositivos de tu equipo Si tienes empleados o colaboradores, asegúrate de que sus equipos tienen antivirus actualizado. Un solo dispositivo infectado puede comprometer todas las cuentas que ese usuario maneja.

Paso 6 — Activa alertas de acceso La mayoría de plataformas cloud te permiten recibir un aviso cuando alguien accede desde una ubicación o dispositivo nuevo. Actívalo.

Cuánto tiempo tardaron en detectar el problema en Stryker

Según la investigación forense, algunas de las credenciales comprometidas provenían de una infección registrada en 2023. Eso significa que los atacantes tuvieron potencialmente más de dos años de acceso posible antes de actuar. La detección tardía no es un problema exclusivo de las grandes empresas: en las pymes, la falta de monitorización hace que este tipo de brechas pasen completamente desapercibidas.

Qué hacer: Considera contratar un servicio de monitorización de credenciales para tu dominio corporativo. Existen soluciones asequibles que alertan en tiempo real si alguna cuenta de tu empresa aparece en una filtración.

Siguiente paso

Si no sabes por dónde empezar o quieres que alguien revise el estado real de seguridad de tus cuentas y sistemas, en SeguridadWeb ofrecemos auditorías de ciberseguridad para autónomos y pequeñas empresas. Te decimos exactamente qué tienes expuesto y cómo resolverlo, sin tecnicismos y con un plan de acción claro. Pídenos información sin compromiso.