Robo de credenciales representa el 40 % de los datos expuestos durante ciberataques
Written by Jose de Jesus Prieto on 28/01/2026
Knowbe4 comparte recomendaciones prácticas para crear contraseñas más
fuertes y proteger sus accesos
Bogotá. Enero 2026. “El fin de las contraseñas está cerca”, esta es una predicción
recurrente en la industria de la ciberseguridad, pero en la práctica está lejos de
hacerse realidad. Aunque sean consideradas débiles y susceptibles de ataques,
las contraseñas se mantienen como el método primario de identificación usado
por individuos y organizaciones. A consecuencia de esto, el robo de credenciales
sigue siendo uno de los principales objetivos de los ciberdelincuentes.
De acuerdo con KnowBe4, una plataforma global de ciberseguridad enfocada en
el manejo del riesgo humano y el creciente impacto de las amenazas generadas
con IA, el robo de credenciales ya representa el principal porcentaje de datos
comprometidos en sectores críticos, siendo responsable de aproximadamente el
38 % de la información expuesta en incidentes de seguridad analizados. Aunque
hay un amplio consenso sobre la importancia de las autenticaciones complejas
(MFA), esta campaña extra de protección no elimina completamente el riesgo, ya
que las contraseñas siguen siendo el primer punto de acceso criminal,
especialmente en entornos en los que aún no se han implementado
ampliamente enfoques más avanzados, como las arquitecturas de seguridad
basadas en Zero Trust.
Para Rafael Peruch, asesor técnico para CISO en KnowBe4, “con el avance de la
inteligencia artificial y las contraseñas aún constituyendo la base de
prácticamente todos los sistemas digitales, la concienciación es un pilar esencial
de la ciberprotección. Es indispensable combinar políticas sólidas, autenticación
multifactorial y formación continua”.
Cómo se roban las contraseñas
Existen diferentes maneras a través de las cuales una contraseña puede verse
comprometida, que terminan siempre en robo de credenciales y acceso no
autorizado a sistemas e información. Entre los métodos más comunes está el
robo directo de credenciales, explotación de procesos de restablecimiento de
contraseñas débiles, y el abuso de vulnerabilidades técnicas y errores de
configuración en ecosistemas corporativos.
Sin embargo, la ingeniería social es, con diferencia, el método más común y
eficaz. Los ataques de phishing son cada vez más convincentes, y los mensajes
falsos y las páginas fraudulentas engañan a los usuarios para que revelen sus
propias credenciales, independientemente de lo largas o complejas que sean sus
contraseñas.
Los datos de KnowBe4 muestran que, en entornos corporativos, las simulaciones
de ataques de suplantación de identidad que utilizan temas internos encabezan
la lista de plantillas de correo electrónico más cliqueadas. Aproximadamente el
98,4 % de estos mensajes tratan temas como la remuneración, los cambios en las
políticas internas y las comunicaciones corporativas, y el 45,2 % hace referencia
directa al departamento de Recursos Humanos.
Además, las credenciales pueden verse comprometidas cuando terceros
observan la introducción de contraseñas en entornos públicos, a través de
dispositivos infectados con malware o como resultado del robo de bases de datos
de credenciales.
Consejos prácticos para crear contraseñas más seguras
Ante este panorama, KnowBe4 hace hincapié en que la protección comienza con
hábitos cotidianos más seguros. A continuación se ofrecen algunas
recomendaciones clave:
● Usa Autenticación Multifactor (MFA): siempre que sea posible, añada una
capa adicional de protección más allá de las contraseñas, reduciendo así el
impacto del robo de credenciales.
● Utilice contraseñas largas: Al menos 12 caracteres; para cuentas críticas o
corporativas, lo ideal es que tengan 20 caracteres o más.
● Evite la información personal y los patrones predecibles: Los nombres,
fechas, aficiones o secuencias numéricas simples son fácilmente explotables
en ataques automatizados.
● Prefiera frases de contraseña: combinar palabras aleatorias que solo tengan
sentido para el usuario, lo que las hace más difíciles de adivinar.
● No reutilices contraseñas: Cada servicio debe tener una contraseña única,
especialmente cuando se separan las cuentas personales y profesionales.
● Tenga cuidado: incluso cuando los enlaces, mensajes o solicitudes parezcan
legítimos o internos.
Mientras las contraseñas sigan siendo una parte fundamental del ecosistema
digital, comprender cómo las aprovechan los atacantes y adoptar prácticas más
seguras, junto con tecnologías como la autenticación multifactorial (MFA) y
modelos de seguridad más robustos como Zero Trust, son pasos esenciales para
reducir el riesgo y proteger la información personal y corporativa.
Sobre KnowBe4
KnowBe4 ayuda a las organizaciones a tomar decisiones más inteligentes en materia de seguridad
todos los días. Con la confianza de más de 70,000 organizaciones en todo el mundo, KnowBe4
fortalece la cultura de seguridad y gestiona el riesgo humano mediante una plataforma integral
impulsada por IA para la gestión del riesgo humano (Human Risk Management).
La plataforma HRM+ ofrece módulos de capacitación en concientización y cumplimiento, seguridad
de correo electrónico en la nube, entrenamiento en tiempo real, anti-phishing colaborativo, agentes
de defensa con IA y más. Como la única plataforma global de seguridad de su tipo, KnowBe4 utiliza
contenido, herramientas y técnicas personalizadas y relevantes para transformar a la fuerza laboral
de la mayor superficie de ataque en el activo más valioso de una organización. Más información en
knowbe4.com.
Sigue a KnowBe4 en LinkedIn y X.
Garrapatudo Radio