Según Check Point Research, en marzo de 2026 el 91% de las empresas ya ha sufrido fugas de datos en herramientas de IA, y 1 de cada 28 usos supone un alto riesgo de filtración de información sensible.

El panorama de las amenazas ha evolucionado hacia una economía de Cybercrime-as-a-Service (CaaS).

Con motivo del Día Mundial de la Contraseña, que se celebra este 7 de mayo, Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, asegura que el consejo tradicional de “usar una contraseña compleja con números y símbolos” ha quedado completamente obsoleto. En la actualidad, una contraseña de 16 caracteres resulta inútil si un malware infostealer la extrae directamente del navegador o si un empleado la introduce voluntariamente en una herramienta de inteligencia artificial.

“Durante años, las contraseñas han sido la principal forma de proteger el acceso a sistemas y cuentas. Sin embargo, hoy en día se han convertido en un punto débil, ya que forman parte de un mercado global donde los ciberdelincuentes compran y venden credenciales robadas. Por eso, el futuro de la ciberseguridad no pasa por hacer contraseñas cada vez más complejas, sino por reducir su uso y apostar por sistemas que verifiquen de forma continua si el comportamiento del usuario es legítimo”, afirma Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

El problema ya no es la debilidad de las contraseñas, sino el ecosistema global que comercia con ellas. Impulsado por la inteligencia artificial generativa, este mercado está redefiniendo las reglas del cibercrimen en un entorno donde el modelo Cybercrime-as-a-Service (CaaS) permite a cualquier actor comprar acceso en lugar de vulnerarlo.

El mercado clandestino también ha cambiado de forma: los foros tradicionales de la dark web han dado paso a canales privados de Telegram y bots automatizados que permiten comprar y vender credenciales en segundos, acelerando la monetización del robo de datos. Según el Índice de Precios de la dark web 2025/2026 elaborado por Privacy Affairs y DeepStrike, el mercado funciona según las leyes de la oferta y la demanda:

Redes sociales y entretenimiento: la sobreoferta ha reducido los precios. Una cuenta de Facebook ronda los 45 dólares, mientras que una de Gmail se vende entre 60 y 65 dólares.

Servicios financieros: tarjetas de crédito con CVV cuestan entre 10 y 40 dólares, mientras que accesos a banca online o criptomonedas pueden superar los 1.000 dólares.

Acceso corporativo: es el segmento más lucrativo. El acceso inicial a redes empresariales puede costar unos 2.700 dólares, pero los accesos con privilegios a información sensible superan los 113.000 dólares.

Este modelo funciona porque sigue apoyándose en un fallo humano persistente: el 94% de las contraseñas se reutiliza en múltiples servicios, y solo el 3% cumple con estándares de seguridad recomendados. Esto permite ataques automatizados de credential stuffing, donde una sola filtración abre el acceso a múltiples plataformas.

A este problema se suma un nuevo riesgo crítico: la inteligencia artificial. Según los datos de Check Point Research, en marzo de 2026, una de cada 28 interacciones con herramientas de GenAI en entornos corporativos implica un alto riesgo de fuga de información sensible, y el 91% de las organizaciones ya ha registrado este tipo de incidentes. Además, más de 225.000 credenciales de plataformas de IA han sido puestas a la venta tras ser robadas mediante infostealers.

Ante este escenario, las empresas deben asumir que las contraseñas, por sí solas, ya no son un mecanismo fiable de protección. El primer paso es reducir su protagonismo mediante la adopción de tecnologías sin contraseña, como los sistemas basados en FIDO2, que eliminan el riesgo de robo y reutilización de credenciales. Al mismo tiempo, es clave implantar modelos de seguridad Zero Trust centrados en la identidad, en los que cada acceso se valida de forma continua en función del contexto y el comportamiento del usuario.

Además, las compañías deben abordar el nuevo vector de riesgo que representan los navegadores y las herramientas de inteligencia artificial, incorporando controles que permitan monitorizar y limitar la introducción de datos sensibles en estos entornos. Por último, la monitorización constante de la dark web y de canales como Telegram resulta esencial para detectar credenciales comprometidas antes de que sean explotadas por los atacantes. 

Respuesta de Telegram:

La distribución de datos privados está explícitamente prohibida por los términos de servicio de Telegram, y dicho contenido se elimina en cuanto se descubre. Nuestro equipo de moderadores, apoyados con herramientas personalizadas de IA, monitorea proactivamente las secciones públicas de la plataforma y aceptan reportes para eliminar millones de contenidos dañinos cada día, incluyendo la distribución de datos privados.