La organización británica sin ánimo de lucro dedicada a la lucha contra el fraude, Cifas, acaba de publicar un estudio que debería preocupar a cualquiera que dirija una empresa o compre en una: uno de cada ocho trabajadores de las grandes empresas ha vendido las credenciales de acceso de su empresa o conoce a alguien que lo haya hecho.
Internet está plagado de credenciales robadas que los empleados utilizan para acceder a los sistemas de la empresa. La empresa de inteligencia sobre amenazas KELA registró casi 2.900 millones de credenciales robadas en todo el mundo en 2025. La mayoría de ellas proceden de ataques de phishing y de programas de robo de información. Pero, gracias a que hay empleados dispuestos a ganar dinero fácil, los ciberdelincuentes solo tienen que hacerles una oferta.
Los que están dentro y a los que nadie presta atención
Cifas encuestó a 2.000 empleados de empresas con al menos 1.000 trabajadores. De ellos, el 13 % admitió haber vendido sus credenciales de acceso corporativo en los últimos 12 meses, o conocer a alguien que lo hubiera hecho. Sorprendentemente, tal y como señala el informe, los vendedores lo hicieron «a menudo pensando que era inofensivo».
Noticia de última hora: vender las credenciales de tu cuenta no es inofensivo. Los delincuentes las quieren para hacerse con el control de la cuenta y cometer actos ilícitos con ella. Según Verizon, los casos de apropiación de cuentas en EE. UU. aumentaron un 6 % hasta superar los 78 000 el año pasado.
Muchas de las cuentas secuestradas son cuentas personales de servicios que van desde las redes sociales hasta las plataformas de streaming en línea y, por supuesto, cuentas bancarias. Sin embargo, muchas otras son cuentas de sistemas empresariales como Microsoft 365, Salesforce y otras plataformas que contienen datos confidenciales de la empresa. Esa información confidencial es un bien muy valioso para los delincuentes, que luego pueden venderla en el mercado negro.
Es más probable que tu jefe venda mejor que tú
Lo ideal sería que aquí entrara en juego una técnica habitual denominada «acceso con privilegios mínimos».
La idea es que una cuenta corporativa en línea solo tenga acceso a lo que necesita. Así, Jim, el de la cantina, debería tener acceso al sistema de pedidos de comida, pero no a toda la base de datos de clientes. De ese modo, aunque la cuenta de Jim se viera comprometida, lo peor que podrían hacer los atacantes es privarte de salchichas mañana.
El problema es que, según el informe, los altos cargos se sienten aún más cómodos vendiendo las credenciales de sus cuentas que los empleados de rangos inferiores. El 32 % de los altos directivos lo considera justificable, al igual que el 36 % de los directores, el 43 % de los ejecutivos de alta dirección y, sorprendentemente, cuatro de cada cinco propietarios de empresas. Sus funciones implican que, incluso con un acceso de privilegios mínimos, sus cuentas pueden seguir dando acceso a funciones y datos confidenciales del sistema.
Esto no es solo un problema del Reino Unido
El estudio de Cifas se centra específicamente en el Reino Unido, pero es probable que la cuestión no se quede ahí. Hemos visto cómo empleados de varias empresas han vendido acceso a cuentas o registros de la empresa. Por ejemplo, la empresa de criptomonedas Coinbase reveló el año pasado que empleados de una empresa de subcontratación con sede en Bangladés vendieron registros de clientes a hackers.
Las filtraciones de credenciales son muy frecuentes. Nuestra propia investigación reveló que, en un solo periodo de 30 días, se filtraron las credenciales de empleados de 111 empresas de la lista Fortune 500. A largo plazo, 363 de esas empresas (es decir, el 73 %) han perdido el control de al menos una credencial de sus empleados.
Que los empleados vendan sus credenciales de acceso no solo es perjudicial para las empresas que los contratan. También es perjudicial para los clientes.
Cuando la contraseña de un directivo sale a la venta, es probable que el archivo de clientes no tarde en aparecer, aunque seguramente no sea el propio directivo quien lo venda. Malwarebytes que el 91 % de las empresas de la lista Fortune 500 han sufrido filtraciones de las credenciales de sus clientes, y las cuentas pirateadas son una forma excelente de acceder a ellas.
Por lo tanto, el riesgo interno no es solo un problema de las empresas. También afecta a los consumidores. Esto hace que seamos menos propensos a facilitar nuestra información personal a las grandes empresas sin preguntarnos por qué la necesitan.
Probablemente tu nombre, dirección y número de teléfono ya estén a la venta.
Las empresas de venta de datos recopilan y venden tus datos personales a cualquiera que esté dispuesto a pagar por ellos. Malwarebytes Personal Data Remover losPersonal Data Remover y elimina tu información, y luego se encarga de vigilar que todo siga así.
