- El robo de credenciales se ha industrializado con la IA y el modelo de ciberdelincuencia como servicio
- Telegram y la dark web forman un mercado ágil para comprar y vender accesos a cuentas y redes
- La reutilización masiva de contraseñas y el uso descuidado de la IA generan fugas críticas de datos
- La defensa pasa por eliminar la dependencia de contraseñas y vigilar navegadores, IA y canales como Telegram
En pleno auge de la inteligencia artificial, las típicas «contraseñas seguras» con letras, números y símbolos han dejado de ser un escudo fiable. Ni siquiera una clave de 16 caracteres sirve de mucho si un malware la saca directamente del navegador o si un empleado la pega, sin pensárselo demasiado, en un chatbot de IA como parte de su trabajo diario.
Los expertos en ciberseguridad alertan de que la verdadera amenaza ya no es solo que la contraseña sea débil, sino el gigantesco mercado de credenciales robadas. Ese mercado se apoya cada vez más en la IA generativa y se ha desplazado de los viejos foros de la dark web a canales privados y bots de Telegram, donde comprar accesos a cuentas ajenas es cuestión de segundos.
Del mito de la «contraseña fuerte» a la realidad del mercado negro
Con motivo del Día Mundial de la Contraseña, celebrado cada año el 7 de mayo, compañías de ciberseguridad como Check Point Software recuerdan que el consejo clásico de «pon una clave larga y con símbolos» se ha quedado claramente desfasado. La industria del cibercrimen ha dado un salto cualitativo: los atacantes ya no necesitan adivinar ni romper contraseñas, porque las compran hechas y derechas.
Tal y como señalan responsables técnicos de la firma para España y Portugal, las contraseñas han pasado de ser la barrera principal de acceso a convertirse en un punto débil estructural. Hoy forman parte de un engranaje global donde se compran y venden lotes de credenciales robadas, listas para lanzar ataques automatizados o infiltrarse en redes corporativas.
Ese cambio responde a un nuevo modelo económico: la ciberdelincuencia como servicio (Cybercrime-as-a-Service, CaaS). Igual que se contrata un servicio en la nube, cualquier actor malintencionado puede pagar por herramientas, infraestructuras o accesos ya preparados, sin necesidad de grandes conocimientos técnicos. La IA generativa ha reducido todavía más la barrera de entrada, facilitando la automatización de todo el proceso.
En este contexto, una contraseña compleja sirve de poco si un infostealer —malware especializado en robar información— la extrae del navegador o de la caché del sistema y la envía a los servidores del atacante. Lo mismo ocurre cuando la propia víctima introduce credenciales o datos sensibles en herramientas de IA sin controles corporativos adecuados.
Telegram, bots y la nueva cara del submundo de las credenciales
El mercado clandestino de accesos robados ha cambiado de piel. Los foros clásicos de la dark web han quedado relegados a un papel casi «institucional», útiles para que los vendedores se den a conocer y construyan reputación, pero la compraventa rápida de credenciales se ha mudado mayoritariamente a Telegram.
En canales privados y grupos restringidos, operan bots que permiten comprar, vender y filtrar datos en cuestión de segundos. Allí se ofrecen desde cuentas individuales hasta accesos masivos a servicios online, pasando por credenciales de plataformas de IA, VPN corporativas o paneles de administración. La monetización del robo de datos es inmediata: el ciberdelincuente novato solo tiene que pagar por el producto que le interesa.
Los informes sobre precios en la dark web y sus canales asociados dibujan un catálogo bastante claro. En el segmento de redes sociales y servicios de entretenimiento, la sobreoferta ha hecho caer los precios: una cuenta de Facebook comprometida ronda los 45 dólares, mientras que una de Gmail se mueve en una horquilla de unos 60 a 65 dólares.
En el ámbito financiero, la disparidad es mayor. Tarjetas de crédito con CVV se venden entre 10 y 40 dólares, pero los accesos verificados a banca online o a monederos de criptomonedas con saldo elevado pueden superar con facilidad los 1.000 dólares, llegando en algunos casos por encima de los 1.170 dólares según distintos índices de precios.
Donde realmente está el negocio es en el acceso corporativo. Los denominados intermediarios de acceso inicial (Initial Access Brokers, IAB) se especializan en conseguir puertas de entrada a redes empresariales concretas. El precio base medio de un acceso a través de VPN o protocolos de escritorio remoto ronda los 2.700 dólares, pero si se trata de credenciales administrativas con altos privilegios, la cifra puede dispararse por encima de los 113.000 dólares.
Para nutrir ese mercado, los atacantes cuentan con un amplio catálogo de herramientas. Las suscripciones a malware de robo de información de primera línea, como LummaC2 o RedLine, se ofrecen en Telegram y otros canales por importes que van desde poco más de 100 dólares hasta algo más de 1.000 al mes. Con esos precios, robar millones de contraseñas se ha vuelto relativamente barato, incluso para grupos con pocos recursos.
La epidemia de reutilización y el papel de la IA en las fugas de datos
El éxito de este ecosistema criminal no se explica solo por la sofisticación técnica. La verdadera gasolina del mercado de credenciales robadas es el comportamiento humano. A pesar de años de campañas de concienciación y del uso de gestores de contraseñas, el 94 % de las personas sigue reutilizando la misma contraseña en dos o más servicios, y solo una minoría —en torno al 3 %— utiliza claves que cumplen las recomendaciones de complejidad de organismos como el NIST.
Cuando una única plataforma sufre una brecha, los ciberdelincuentes lanzan ataques automatizados de «credential stuffing»: prueban esos mismos usuarios y contraseñas robados en un sinfín de sitios distintos (correo, redes sociales, banca, servicios corporativos). Si el usuario repite clave, como suele ocurrir, se abre una puerta tras otra sin necesidad de forzar nada.
A este problema estructural se suma ahora un factor mucho más reciente: la inteligencia artificial generativa. Los navegadores, que ya concentraban buena parte de la actividad digital, se han convertido en el puente perfecto entre la empresa y las herramientas de IA, y no siempre con supervisión suficiente.
Según distintos análisis de seguridad en navegadores, la acción de “copiar y pegar” información en servicios de IA ha superado al envío de archivos como vía principal de salida de datos corporativos. En torno a un 45 % de los empleados utiliza de forma activa herramientas de IA, y de ellos, cerca del 77 % pega directamente datos —a menudo sensibles— en las solicitudes que envía al chatbot, muchas veces desde cuentas personales fuera del control de la organización.
Los datos recopilados por equipos de investigación de empresas como Check Point apuntan a que, en marzo de 2026, 1 de cada 28 interacciones con soluciones de IA generativa en entornos empresariales presentaba alto riesgo de filtración de información confidencial. Además, alrededor del 91 % de las organizaciones que usan GenAI de forma habitual ya ha tenido algún incidente de este tipo, y un porcentaje adicional significativo de peticiones contiene datos que, sin ser críticos, tampoco deberían salir sin control.
Esta mezcla de descuido y nuevas tecnologías ha disparado otro fenómeno: el robo masivo de credenciales de plataformas de IA. Firmas especializadas en inteligencia de amenazas han detectado que más de 225.000 combinaciones de usuario y contraseña de servicios como OpenAI/ChatGPT se han puesto a la venta tras ser capturadas en dispositivos infectados. Cuando esos accesos se utilizan con cuentas corporativas, el ciclo de exposición de datos es evidente.
Phishing 2.0, deepfakes y la suplantación de identidad a gran escala
La IA no solo ayuda a gestionar datos; también ha sofisticado de forma brutal las técnicas clásicas de engaño. El phishing, ese correo trampa que lleva décadas circulando, ha entrado en una nueva fase. En canales como Telegram se ofrecen kits completos de «phishing como servicio» impulsados por IA por menos de 100 dólares al mes.
Los cebos más habituales siguen siendo los de siempre —falsas notificaciones de restablecimiento de contraseña, supuestos avisos de Recursos Humanos o portales VPN fraudulentos—, pero con una gran diferencia: ahora llegan redactados con un nivel de calidad casi perfecto, sin errores burdos y adaptados al contexto de la víctima gracias a la IA generativa.
Estudios recientes muestran que los correos de phishing generados por IA logran tasas de clics de hasta el 54 %, frente a aproximadamente un 12 % en campañas tradicionales. El salto en eficacia es evidente y multiplica las probabilidades de que un empleado acabe introduciendo sus credenciales en un formulario controlado por atacantes.
El problema no se queda en el texto. La irrupción de los deepfakes —imágenes, vídeos y voces sintéticas generadas por IA— ha disparado las posibilidades de suplantación de identidad. Informes sobre fraude de identidad apuntan a un aumento cercano al 3.000 % en el uso de deepfakes en los últimos años, lo que ya se traduce en incidentes reales con impacto millonario.
Uno de los vectores que más preocupa es el llamado vishing con deepfake de voz. Hoy basta con unos pocos segundos de audio para clonar la voz de una persona de forma casi indistinguible. Publicaciones especializadas han señalado que la clonación de voz ha alcanzado el punto en el que, para un oyente medio, resulta muy difícil diferenciar la voz falsa de la real, lo que abre la puerta a fraudes telefónicos dirigidos a equipos financieros o responsables de pagos.
También se han documentado casos de videollamadas deepfake extremadamente sofisticadas. En uno de los más conocidos, una empresa de ingeniería transfirió alrededor de 25,6 millones de dólares tras una videoconferencia en la que varios supuestos directivos, incluido el director financiero, eran en realidad recreaciones sintéticas generadas por IA. Situaciones así demuestran que los ataques multimodales —texto, voz y vídeo— no son ya un escenario hipotético, sino una realidad operativa.
La respuesta de las plataformas y el papel de la moderación
Ante la creciente visibilidad del uso de Telegram como infraestructura para la compraventa de datos, la propia plataforma insiste en que la distribución de información privada está expresamente prohibida en sus términos de servicio. Desde la compañía señalan que cualquier contenido de este tipo se elimina en cuanto es detectado.
Sin embargo, buena parte de la actividad vinculada al comercio de contraseñas robadas y accesos corporativos se produce en canales privados y grupos cerrados de difícil supervisión. Ahí es donde la combinación de cifrado, volumen de tráfico y uso intensivo de bots complica seriamente la tarea de moderación, y donde los ciberdelincuentes se sienten más cómodos para operar.
Para organizaciones y usuarios, esto implica que no basta con confiar en la moderación de la plataforma. Es necesario asumir que buena parte de ese submundo va a seguir existiendo y que, por tanto, el foco debe ponerse en reducir la superficie de ataque: limitar el valor de las contraseñas como único factor de autenticación y reforzar el control sobre la exposición de datos sensibles.
Hacia un modelo sin contraseñas: FIDO2, Zero Trust y vigilancia continua
Ante este panorama, los especialistas coinciden en que las contraseñas, por sí solas, ya no pueden considerarse un pilar fiable de seguridad. El objetivo a medio plazo pasa por ir reduciendo su protagonismo y avanzar hacia modelos de autenticación que no generen credenciales reutilizables ni fácilmente comerciables.
Una de las vías más mencionadas es la adopción generalizada de tecnologías sin contraseña basadas en el estándar FIDO2. Este enfoque se apoya en claves criptográficas vinculadas al dispositivo del usuario (llaves físicas, módulos seguros de móviles y ordenadores, etc.), de forma que, aunque se intente engañar a alguien con una página falsa, no haya una contraseña que pueda ser robada y explotada en otros servicios.
En paralelo, gana peso el concepto de seguridad Zero Trust centrada en la identidad y el comportamiento. En lugar de conceder acceso con una sola validación de usuario y contraseña, la idea es evaluar de forma continua el contexto: desde dónde se conecta la persona, qué dispositivo utiliza, qué acciones realiza y si ese comportamiento encaja con su patrón habitual.
Para ello, muchas empresas están combinando soluciones de detección y respuesta en el endpoint (EDR) con herramientas de detección y respuesta ante amenazas de identidad (ITDR). La correlación de señales de ambos mundos permite identificar mejor cuándo un conjunto de credenciales legítimas está siendo utilizado de forma anómala, por ejemplo, desde una localización inesperada o con un volumen de acciones que no se corresponde con el uso normal.
Otro frente clave es el control del vector de navegación y del uso de herramientas de IA. Las soluciones tradicionales de prevención de pérdida de datos (DLP), centradas en vigilar transferencias de archivos, se quedan cortas cuando el problema principal es que alguien copia y pega información confidencial en un chatbot externo.
De ahí que cada vez más organizaciones exploren navegadores corporativos reforzados o extensiones de seguridad específicas, capaces de monitorizar qué se pega en determinados sitios, bloquear el envío de ciertos tipos de información a servicios de IA no autorizados o canalizar el uso de estas herramientas a través de instancias controladas por la propia empresa.
Por último, se vuelve imprescindible un monitoreo constante de la dark web y de canales como Telegram. Esperar a recibir una notificación oficial de brecha puede ser demasiado tarde: informes recientes indican que las filtraciones basadas en credenciales tardan, de media, unos 246 días en detectarse y contenerse, mientras que casi la mitad de los ataques de ransomware aprovechan accesos VPN robados como vía inicial.
Las empresas que vigilan de forma activa estos mercados pueden identificar antes si sus credenciales aparecen en listas a la venta, invalidarlas con rapidez y reaccionar antes de que acaben en manos de grupos de ransomware u otros actores especialmente dañinos.
En un escenario en el que la IA acelera tanto la defensa como el ataque y donde canales como Telegram se han consolidado como columna vertebral del submundo de las credenciales, seguir confiando únicamente en contraseñas «seguras» es poco menos que un acto de fe. El foco se está desplazando hacia modelos de autenticación sin clave tradicional, la verificación continua del comportamiento del usuario y una vigilancia proactiva de los espacios donde se compran y venden accesos; solo así se puede aspirar a que, aunque una contraseña acabe filtrada, su valor en el mercado negro sea prácticamente nulo.
