[Nueva investigación] 1,7 mil millones de contraseñas comprometidas: incluso las “fuertes” se filtran en ataques de infostealers
Table of Contents
¿Crees que tu contraseña “fuerte” está segura solo por ser larga y tener símbolos? Piénsalo de nuevo. Una nueva investigación de Specops muestra que incluso contraseñas que cumplen con los estándares de seguridad empresarial terminan en manos de los atacantes.
Entre febrero y marzo de 2026, los investigadores de Specops analizaron más de 1,7 mil millones de credenciales expuestas en filtraciones recientes de infostealers y examinaron un conjunto de datos de más de 100 GB de logs de infostealers, incluidos 100 millones de registros asociados al actor conocido como Alien_Txtbase.
Nos centramos en contraseñas que cumplen los requisitos estándar de “contraseña fuerte” para demostrar que solo cumplir con la política no protege frente a los infostealers. El conjunto de datos consiste principalmente en registros ULP (URL:Usuario:Contraseña), que representan credenciales robadas de almacenes de contraseñas de navegadores, aplicaciones de escritorio y archivos locales en sistemas comprometidos.
Los resultados muestran un patrón claro: las contraseñas que cumplen con las políticas empresariales siguen siendo robadas directamente de dispositivos comprometidos. Ya sean generadas por gestores de contraseñas o creadas por usuarios, estas credenciales aparecen frecuentemente en filtraciones de infostealers y circulan en mercados de la dark web y tiendas de Telegram como parte del creciente mercado de acceso inicial.
Más de 430 millones de contraseñas filtradas añadidas
La actualización de este mes agrega más de 430 milliones de contraseñas comprometidas a la lista utilizada por Specops Password Policy.
También añadimos más de 4.4 millones de registros a Specops Password Auditor, una herramienta gratuita y de solo lectura que escanea Active Directory (AD) en busca de credenciales comprometidas y otras vulnerabilidades relacionadas con contraseñas. Realiza un escaneo hoy y recibe un informe personalizable sobre contraseñas filtradas, credenciales idénticas y cuentas inactivas.
Todas las credenciales recién descubiertas se incorporan inmediatamente en Specops Breached Password Protection, que actualiza continuamente su base de datos utilizando fuentes de inteligencia de amenazas y honeypots operados por Specops y nuestra empresa matriz Outpost24.
19 % de las contraseñas filtradas eran “fuertes”
Los datos muestreados muestran una combinación de contraseñas generadas por humanos y por gestores de contraseñas. Aproximadamente el 19 % de los registros analizados tenían más de 8 caracteres y combinaban letras, números y símbolos. A pesar de su fortaleza, todas las contraseñas siguientes aparecieron en la reciente filtración.
Contraseñas que cumplen con la normativa pero que aún se ven comprometidas
| Contraseñas filtradas | Tipo de contraseña / Observación |
|---|---|
| 4rUyXctf.G!Ek4 | Probablemente generada por gestor |
| ue6WESJOm5rfs1Jpre1v@Y#H | Alta entropía / fuerte |
| PhD@shababclub | Generada por humano / sector específico |
| ThГ©oParet92 | Incluye símbolos especiales / copyright |
| Timeisoftheessence❤&💡 | Incluye emojis |
| 2-nBhF9U6Vdv*6s | Cumple con la mayoría de políticas de contraseñas fuertes |
Tendencias sorprendentes
Un registro destacado, ThГ©oParet92, muestra el uso de símbolos como el signo de copyright. Aunque estos símbolos aumentan la entropía y pueden dificultar algunos intentos de cracking, no protegen en absoluto una vez que la contraseña es exfiltrada por malware.
También estamos viendo un aumento en el uso de emojis, como Timeisoftheessence❤&💡. Aunque pueden añadir “entropía sorpresa” en concursos de cracking, también son un arma de doble filo: muchos sistemas antiguos no los soportan y siguen siendo capturados fácilmente por infostealers que replican la entrada real del usuario.
“Los administradores pueden asegurarse de que su AD esté lleno de contraseñas fuertes y compatibles con NIST. La verdadera pregunta es cómo saber si esas contraseñas se reutilizan en otros lugares o si ya han sido robadas. Si un usuario puede escribir una contraseña en un navegador, el malware puede robarla. Por eso, comprobar credenciales filtradas debe formar parte de tu estrategia de seguridad.”
Darren James, Senior Product Manager, Specops
Por qué las contraseñas débiles son un problema
Las contraseñas problemáticas ponen a tu organización en riesgo de varias formas:
Riesgos de cumplimiento y gobernanza
Las contraseñas que cumplen con la política todavía pueden aparecer en conjuntos de datos de filtraciones. Por ejemplo, 2-nBhF9U6Vdv*6s cumple con muchos requisitos de políticas empresariales, pero apareció en la filtración. Si se reutilizan o se comprometen en ataques como credential stuffing, las organizaciones pueden enfrentarse a consecuencias regulatorias bajo GDPR, HIPAA o PCI DSS.
Exposición al cracking automatizado
Los atacantes usan herramientas automáticas para realizar ataques de fuerza bruta y cracking automatizado probando grandes volúmenes de combinaciones. Patrones humanos predecibles, como capitalizar la primera letra, usar minúsculas en medio y terminar con números o símbolos, pueden ser adivinados rápidamente.
Riesgo de reutilización de contraseñas
Si los usuarios reutilizan contraseñas, una sola filtración puede exponer múltiples sistemas. Por ejemplo, si PhD@shababclub aparece en datos filtrados, los atacantes podrían intentar reutilizarla en servicios corporativos.
Cómo reforzar la seguridad de contraseñas
Bloquea continuamente contraseñas débiles y comprometidas
No esperes a una auditoría anual. Bloquea las contraseñas comprometidas en el momento de creación para que los usuarios no puedan elegir credenciales ya expuestas. Las nuevas filtraciones ocurren a diario, por lo que tu AD debe escanearse continuamente y remediar cuentas cuando aparezcan en registros de infostealers o dumps de la dark web.
Con Specops Password Policy y Breached Password Protection, puedes prevenir contraseñas débiles y bloquear millones de contraseñas comprometidas conocidas, verificando no solo al crear la contraseña, sino durante todo su ciclo de vida en AD. Esto facilita cumplir regulaciones como NIST o NCSC.
Aplica políticas de contraseñas más inteligentes
Las políticas de cumplimiento estándar generan patrones predecibles (como añadir “!” al final). Para fortalecer la seguridad de identidad, evita estos patrones desde la creación y promueve frases de contraseña largas y de alta entropía.
Specops Password Policy permite ir más allá de los requisitos básicos, usando diccionarios personalizados para bloquear términos del sector, patrones estacionales y sustituciones comunes, obligando a los usuarios a crear credenciales únicas y seguras basadas en frases de contraseña.
¿Quieres ver cómo funcionaría en tu organización? Contacta con nosotros o prueba una demo gratuita.
Última actualización el 17/03/2026