Qué aprenderá en este artículo
- La apropiación de cuentas se ha convertido en un riesgo empresarial recurrente, y ya no es un hecho aislado.
- La recopilación de credenciales sigue siendo uno de los principales factores que provocan el compromiso de las cuentas.
- A menudo, un pequeño porcentaje de usuarios genera un riesgo desproporcionado.
- Las consecuencias económicas de la apropiación de cuentas pueden derivar rápidamente en casos de fraude y en perturbaciones.
- Las defensas más sólidas combinan la seguridad del correo electrónico, la autenticación multifactorial (MFA), la supervisión del comportamiento y una corrección más rápida.
La apropiación de cuentas se ha convertido en una amenaza habitual para las empresas, relacionada con el robo de credenciales, el phishing y el uso indebido de herramientas empresariales de confianza. Las estadísticas más relevantes sobre la apropiación de cuentas en 2026 apuntan todas a la misma conclusión: los atacantes, a menudo, ya no necesitan forzar el acceso. Inician sesión, pasan desapercibidos y utilizan una cuenta de que ha sido comprometida para acceder a más personas, datos y sistemas.
La apropiación de cuentas se ha convertido en una amenaza habitual para las empresas
La apropiación de cuentas ya no es un fenómeno tan poco frecuente como para considerarlo un caso especial. Actualmente forma parte del entorno de amenazas cotidiano, especialmente en las organizaciones del sector « », en las que los empleados se encargan de las autorizaciones, los pagos, la comunicación con los clientes y la información confidencial.
Los últimos datos revelan que 71% de las organizaciones sufren entre uno y diez incidentes de exposición de datos provocados por personas internas cada mes. Aunque no todos los incidentes constituyan un ataque clásico de suplantación de identidad en , a menudo se dan los mismos patrones de riesgo humano. Esto hace que la apropiación de cuentas constituya un riesgo empresarial real, y no solo un problema de seguridad en sentido estricto.
Las credenciales comprometidas están impulsando las adquisiciones de empresas en la actualidad
Los atacantes recurren cada vez más a credenciales robadas, correos electrónicos de phishing y usuarios manipulados, en lugar de limitarse únicamente al malwar o o a la explotación directa de los sistemas. Por eso es importante el enfoque de «los hackers acceden al sistema». Esto refleja cómo funcionan, en realidad, muchos de los ataques modernos de tipo « ».
La recopilación de credenciales es, además, el subtipo de phishing más detectado en todos los sectores. Esto constituye una clara señal de que los atacantes están intentando activamente sustraer credenciales de inicio de sesión, ya que el acceso a una cuenta de confianza abre la puerta al fraude, la suplantación de identidad, y el movimiento lateral.
La amenaza también es evidente en todas las regiones
La apropiación de cuentas también se está manifestando de forma cuantificable en distintos mercados. En Sudáfrica, 39% de organizaciones han informado de un aumento de los casos de apropiación de cuentas con éxito. Esto debería considerarse un ejemplo regional, más que un punto de referencia universal , pero, aun así, refuerza la idea general: se trata de una amenaza real y creciente.
Las estadísticas sobre identidad y credenciales que los equipos de seguridad no pueden pasar por alto
El aspecto relacionado con la identidad en la apropiación de cuentas es importante porque los atacantes disponen ahora de más credenciales, más automatización, y más formas de manipular a los usuarios para que les faciliten el acceso. Esto convierte el uso indebido de identidades y credenciales en uno de los indicadores más claros de dónde se está acumulando el riesgo de apropiación de cuentas en toda la empresa.
La filtración de contraseñas sigue aumentando el riesgo de apropiación indebida
La filtración « » de RockYou2024 contenía casi 10 mil millones de contraseñas únicas en texto plano. Esto proporciona a los atacantes un enorme margen de maniobra para llevar a cabo ataques de « stuffing» con credenciales, intentos repetidos de inicio de sesión y la violación de la seguridad de múltiples cuentas. Para los defensores, esto supone un recordatorio de que unas credenciales de poco seguras siguen facilitando la apropiación de cuentas a gran escala.
El comportamiento humano sigue siendo fundamental
Casi 60% de las infracciones tienen un componente humano. Esa es una de las razones por las que la apropiación de cuentas no debe considerarse únicamente un problema de autenticación. Los correos electrónicos de phishing, las decisiones precipitadas y los comportamientos de riesgo de los usuarios contribuyen a que los atacantes conviertan el robo de credenciales en un compromiso de la cuenta .
El riesgo se concentra en un grupo más reducido de usuarios
Datos recientes revelan que 8% de los empleados son responsables del 80% de todos los incidentes de seguridad. La exposición no se distribuye de manera uniforme en toda la organización. Un grupo más reducido de usuarios de alto riesgo suele ser responsable de una parte mucho mayor del problema.
Esto cambia la forma en que debería funcionar la prevención. La sensibilización general sigue siendo importante, pero no sustituye a una intervención específica dirigida a las personas con mayor riesgo de sufrir una apropiación de cuenta.
Algunos puestos conllevan una mayor exposición que otros
Los usuarios que corren mayor riesgo no siempre son los mismos que tienen más probabilidades de hacer clic. Por eso, la exposición basada en roles merece una atención especial.
- Los directivos son objeto de ataques 2,5 veces más que los empleados que realizan tareas operativas
- Los directivos, los equipos de ventas y los miembros del consejo de administración se enfrentan a un mayor volumen de ataques de phishing
- Los nuevos empleados y algunos trabajadores de laboratorio parecen ser más propensos a hacer clic
Esos patrones ponen de manifiesto por qué el riesgo de suplantación de identidad debe evaluarse teniendo en cuenta tanto el comportamiento del usuario como la exposición derivada de su función. , los usuarios que se encuentran bajo mayor presión, que tienen mayor acceso o mayor visibilidad pueden generar tipos de riesgo muy distintos para la organización.
El coste empresarial de la suplantación de cuentas no deja de aumentar
La apropiación de una cuenta resulta costosa no solo por el hecho de que se produzca la primera intrusión, sino también por lo que ocurre a continuación. El fraude, los costes de respuesta a un incidente de seguridad ( ), el tiempo de inactividad y el daño a la reputación pueden ser consecuencia de que una sola cuenta haya sido comprometida.
Un solo incidente puede resultar extremadamente costoso
Un solo incidente de exposición, robo, fuga o pérdida de datos provocado por una persona interna cuesta,según, una media de 13,1 millones de dólares. Esa cifra amplía el enfoque que deben adoptar las organizaciones a la hora de abordar el fraude en las adquisiciones. El problema no se limita únicamente al acceso no autorizado. Se trata de la cadena de pérdidas más amplia que puede desencadenar el acceso.
Los incidentes recurrentes generan un riesgo anual considerable
El panorama anual es aún más grave. Teniendo en cuenta una media de seis incidentes provocados por personas con acceso a información privilegiada al mes, las organizaciones se enfrentan a una exposición financiera anual prevista de 943,2 millones de dólares. En ese momento, la violación de la seguridad de las cuentas se convierte en un problema de riesgo empresarial a nivel corporativo.
Las infracciones de seguridad suelen ir seguidas de casos de fraude y de interrupciones en el servicio
Una vez que los atacantes controlan una cuenta de confianza, pueden hacer mucho más que leer mensajes. En muchos casos, el primer indicio visible del fraude por apropiación de cuentas no es la propia violación de seguridad, sino el uso indebido que se produce a continuación. Entre los resultados habituales de la « » se incluyen:
- Fraude en las facturas
- Fraude en las nóminas
- Cambios en la cuenta bancaria
- Transacciones no autorizadas
- Interrupción operativa
- Daños a la reputación
El caso de Change Healthcare pone de manifiesto lo que está en juego
La filtración de datos de Change Healthcare es uno de los ejemplos más claros de cómo una sola credencial comprometida puede derivar en una grave crisis de « ». En ese caso, una sola credencial comprometida en un sistema sin autenticación multifactorial (MFA) supuso un coste de respuesta estimado en entre 2.3 mil millones y 2.45 mil millones de dólares. Esto nos recuerda que la ausencia de un único control puede convertir una cuenta comprometida en un daño operativo y financiero de gran envergadura.
Posible elemento visual: un gráfico sobre el impacto en los costes titulado «Cuánto puede costar una cuenta comprometida», en el que se muestren el coste por incidente, la exposición anual, el fraude derivado y el ejemplo de Change Healthcare.
Qué hacen los atacantes una vez que han accedido a una cuenta de confianza
Una cuenta de confianza ofrece a los atacantes algo más que acceso. Les proporciona contexto, legitimidad y una identidad creíble dentro de la empresa.
Van más allá del correo electrónico
Los atacantes suelen pasar del correo electrónico a Microsoft Teams, Slack y Zoom para difundir enlaces maliciosos o continuar conversaciones en entornos en los que los empleados tienden a confiar más. Esto es importante porque, según , muchas organizaciones siguen supervisando el correo electrónico con mayor atención que las plataformas de colaboración.
En primer lugar, recopilan información
Una vez que han logrado acceder al sistema, los atacantes suelen estudiar el funcionamiento de la empresa antes de actuar. Para cuando actúen, es posible que ya conozcan lo suficiente los flujos de trabajo internos y las relaciones de confianza como para que la solicitud parezca legítima.
Entre ellos pueden figurar:
- Revisión de las conversaciones sobre finanzas o cuentas por pagar
- Identificación de las cadenas de aprobación
- Lectura de las comunicaciones con los clientes
- Localización de planes estratégicos, código fuente o datos confidenciales
- Observar cómo los empleados hablan sobre los proveedores, las nóminas o los cambios en las cuentas bancarias
Se aprovechan de la confianza para cometer fraudes
Una vez recopilada suficiente información contextual, el atacante puede actuar de forma que parezca algo habitual. Entre los patrones habituales de abuso se incluyen el fraude en las facturas, el fraude en las nóminas, los cambios en las cuentas bancarias, la suplantación de identidad y el acceso a cuentas de clientes o a información personal que facilite el robo de identidad.
La IA hace que los ataques posteriores resulten más creíbles
Los autores de amenazas también están falsificando cada vez más cadenas completas de correos electrónicos entre proveedores y directivos. Esto significa que una cuenta comprometida de no solo proporciona acceso. Esto sienta las bases para que se produzcan, a gran escala, casos más convincentes de ingeniería social y de suplantación de identidad ( ).
Lo que revelan los datos sobre las prioridades en materia de prevención
Los datos más sólidos en materia de prevención coinciden todos en una misma idea: las medidas de control genéricas no son suficientes por sí solas. Las organizaciones necesitan un sistema de defensa por capas que tenga en cuenta tanto la tecnología como el comportamiento de los usuarios.
Una estrategia de prevención más eficaz consiste en centrar los esfuerzos en lo que más importa.
- Diríjase a los usuarios de alto riesgo. Si el 8% de los empleados es responsable del 80% de los incidentes , entonces la intervención específica debería formar parte de cualquier estrategia seria de prevención de la apropiación de cuentas.
- Reforzar las decisiones en tiempo real. La formación en concienciación sobre seguridad puede reducir las tasas de clics en enlaces de phishing en un 25% , mientras que los recordatorios en tiempo real redujeron las actividades de intercambio de datos de riesgo en un 36% en cuatro meses.
- Conecte las herramientas y las señales. Las organizaciones que integran sus herramientas de seguridad logran una resolución de amenazas un 40% más rápida , lo que puede reducir el tiempo del que disponen los atacantes para actuar tras el ataque.
La lección es clara: la prevención mejora cuando las organizaciones van más allá de las campañas de concienciación genéricas y comienzan a aplicar un enfoque « », que combina el conocimiento del usuario, el apoyo al comportamiento y las operaciones de seguridad conectadas.
¿Qué medidas de seguridad merecen mayor atención en 2026?
En la práctica, la defensa más eficaz no consiste en un único control, sino en un conjunto de controles interrelacionados que reducen el riesgo de apropiación de cuentas en múltiples puntos. Cada capa contribuye a subsanar una deficiencia diferente, desde el bloqueo de los correos electrónicos de phishing hasta la limitación de las acciones que los atacantes pueden llevar a cabo tras haber comprometido un inicio de sesión.
La protección del correo electrónico sigue siendo lo más importante en la fase inicial
La recopilación de credenciales sigue siendo el subtipo de phishing más detectado, y aproximadamente 12% de todos los correos electrónicos , incluidos los de phishing, muestran indicios de haber sido generados por IA. Esto aumenta la importancia de detectar los intentos de robo de credenciales, cada vez más sofisticados y convincentes, antes de que tengan éxito.
El MFA debería considerarse obligatorio
La autenticación multifactorial sigue siendo una de las barreras más importantes entre el robo de credenciales y la apropiación exitosa de una cuenta de . El ejemplo de « » de Change Healthcare lo deja dolorosamente claro. La ausencia de la autenticación de dos factores (MFA) en un sistema expuesto contribuyó a que una credencial comprometida se convirtiera en una crisis de « » que supuso pérdidas de varios miles de millones de dólares.
La supervisión basada en el comportamiento es ahora imprescindible
Dado que los atacantes acceden cada vez más con credenciales válidas, las organizaciones necesitan tener una visión clara de lo que ocurre una vez que se ha obtenido el acceso a . Esto implica estar atento a actividades sospechosas, comportamientos anómalos de los usuarios, el intercambio de información de riesgo y actividades inusuales de en todas las herramientas de colaboración, y no solo a los fallos de autenticación o a un único intento de inicio de sesión.
La pila de control más potente está estructurada en capas
En la práctica, la defensa más eficaz no consiste en un único control, sino en un conjunto de controles interrelacionados que reducen el riesgo de apropiación de cuentas en múltiples puntos. Cada capa contribuye a subsanar una deficiencia diferente, desde el bloqueo de los correos electrónicos de phishing hasta la limitación de las acciones que pueden llevar a cabo los atacantes tras haber comprometido un inicio de sesión. El objetivo es frustrar el ataque en varias fases, en lugar de confiar en que una sola medida de seguridad se encargue de todo.
Para la mayoría de las organizaciones, los controles que merecen mayor atención en 2026 son, entre otros:
- Seguridad avanzada del correo electrónico
- Autenticación multifactorial
- Supervisión basada en el comportamiento
- Visibilidad de las herramientas de colaboración
- Una resolución más rápida de los incidentes en todas las herramientas de seguridad conectadas
Por qué son importantes estas estadísticas sobre la apropiación de cuentas en 2026
Estas estadísticas son importantes porque ponen de manifiesto que la apropiación de cuentas es un fenómeno generalizado, cada vez más perpetrado por personas, que conlleva un elevado coste tras el ataque y que resulta difícil de reducir sin medidas de prevención en varias capas. Las cifras más contundentes no se limitan a describir una amenaza cada vez mayor . Describen un riesgo empresarial habitual relacionado con el uso indebido de credenciales, el phishing, el compromiso de cuentas de confianza, el « » y el fraude derivado.
Para los equipos de seguridad, la conclusión es de carácter práctico. Una mayor protección en 2026 implica reducir el robo de credenciales en una fase más temprana, prestar mayor atención a los usuarios de alto riesgo, reforzar la autenticación y mejorar la visibilidad de lo que ocurre tras el inicio de sesión. Mimecast responde a esa necesidad ayudando a las organizaciones a reforzar la detección, reducir el riesgo de vulnerabilidades y mejorar la protección frente a los ataques dirigidos contra personas.