Credential Harvesting

1.800 millones. Esa es la cantidad de credenciales robadas por malware infostealer solo en 2025, afectando a 5,8 millones de dispositivos en todo el mundo, un incremento del 800% respecto a anos anteriores segun datos de Deepstrike. En Espana, INCIBE registro 25.133 casos de phishing en 2025, la mayoria con tecnicas de credential harvesting como vector principal. Detras de cada credencial robada hay una cadena de fraude que puede costar a una empresa una media de 4,8 millones de dolares por brecha, segun IBM.

Definicion tecnica

Credential harvesting (cosecha de credenciales) es el conjunto de tecnicas de ciberataque orientadas a la recopilacion masiva de credenciales de acceso (nombres de usuario, contrasenas, tokens de sesion, codigos MFA) mediante metodos enganosos. A diferencia del credential stuffing, que reutiliza credenciales ya robadas en otras plataformas, el credential harvesting se centra en la adquisicion inicial de credenciales nuevas.

Diferencia clave:

Tecnica	Objetivo	Metodo	Fase del ataque
Credential harvesting	Obtener credenciales nuevas	Phishing, paginas falsas, keyloggers	Inicial (recopilacion)
Credential stuffing	Probar credenciales robadas en otros servicios	Bots automatizados con listas de credenciales	Posterior (explotacion)
Password spraying	Probar contrasenas comunes en muchas cuentas	Fuerza bruta distribuida	Posterior (explotacion)

Tecnicas de credential harvesting: como roban tus credenciales

1. Phishing con paginas clonadas

La tecnica mas extendida. El atacante replica una pagina de login legitima (banco, correo, Microsoft 365) y la distribuye por email, SMS o redes sociales.

Flujo tipico de ataque:

1. Atacante clona pagina login     ┌─────────────────┐
   (ej. login.microsoftonline.com) │ Portal O365 REAL│
                                   └────────┬────────┘
                                            │ (clon)
                                   ┌────────▼────────┐
2. Crea dominio similar            │ Portal FALSO     │
   (ej. login-microsoftonline.net) │ microsoftonline  │
                                   │ .net             │
                                   └────────┬────────┘
                                            │
3. Envia email phishing ──────► Victima ────┘
   "Su sesion ha expirado,       introduce
    haga clic para renovar"      credenciales
                                            │
4. Credenciales enviadas    ◄───────────────┘
   al servidor del atacante

5. Redireccion a pagina real ──► Victima no
   (victima no nota nada)        sospecha

Dato clave: El 80% de las campanas de phishing se centran en robar credenciales de servicios cloud como Microsoft 365 y Google Workspace, utilizando paginas falsas realistas y tacticas multicanal (Keepnet Labs, 2026).

2. Keyloggers y malware infostealer

Software malicioso que registra cada pulsacion del teclado y envia los datos al atacante.

Familias infostealer activas en 2025:

Familia	Objetivo principal	Distribucion	Datos robados
RedLine	Credenciales navegador	Malvertising, cracks software	Passwords, cookies, tarjetas
Raccoon Stealer	Credenciales multiples	Telegram, foros dark web	Wallets cripto, VPN, email
Vidar	Datos bancarios	Adjuntos email, SEO poisoning	2FA tokens, sesiones activas
Lumma	Credenciales cloud	Campanas phishing dirigidas	M365, Google Workspace

IBM X-Force reporto un 84% mas de distribucion de infostealers via phishing en 2024 vs 2023, y los datos de principios de 2025 sugieren un incremento de aproximadamente el 180% sobre los niveles de 2023.

3. Ataques man-in-the-middle (MitM)

El atacante intercepta la comunicacion entre la victima y el servidor legitimo, capturando credenciales en transito.

Variantes actuales:

AitM (Adversary-in-the-Middle): Proxies inversos que capturan tokens de sesion incluso con MFA activo
SSL stripping: Degrada conexiones HTTPS a HTTP para interceptar trafico
Evil twin WiFi: Punto de acceso WiFi falso que captura credenciales

Segun Push Security (2025), aproximadamente 1 de cada 3 ataques de phishing detectados se entregaron fuera del correo electronico, incluyendo Slack, Teams, SMS y redes sociales.

4. Browser-in-the-Browser (BitB)

Tecnica sofisticada que simula una ventana emergente de login dentro del navegador, imitando perfectamente la interfaz de autenticacion OAuth de Google, Microsoft o Apple.

Pagina del atacante:
┌──────────────────────────────────────────┐
│ www.sitio-malicioso.com                  │
│                                          │
│  ┌────────────────────────────────────┐  │
│  │ accounts.google.com    🔒         │  │ ← Ventana FALSA
│  │                                    │  │    (es HTML/CSS)
│  │  [Google Logo]                     │  │
│  │  Iniciar sesion                    │  │
│  │  Email: [__________________]       │  │
│  │  Password: [_______________]       │  │
│  │  [Siguiente]                       │  │
│  └────────────────────────────────────┘  │
│                                          │
└──────────────────────────────────────────┘

La victima ve lo que parece una ventana emergente con URL legitima, pero es una capa HTML superpuesta. Las credenciales van directamente al atacante.

El mercado de credenciales robadas en la dark web

Las credenciales cosechadas alimentan un mercado multimillonario en la dark web.

Precios actuales (2025)

Tipo de credencial	Precio dark web	Uso tipico
Cuenta email personal	$1 - $15	Spam, phishing secundario
Cuenta Microsoft 365 corporativa	$50 - $500	BEC, espionaje empresarial
Login bancario online	$200 - $1.000+	Fraude financiero directo
Cuenta exchange cripto	$500 - $1.100	Robo criptomonedas
Acceso VPN/RDP corporativo	$200 - $5.000	Ransomware, movimiento lateral
Domain Admin credentials	$5.000 - $50.000+	Control total infraestructura
Fullz (identidad completa)	$20 - $100	Suplantacion identidad

La dark web contiene aproximadamente 15.000 millones de credenciales robadas, segun Deepstrike (2025). El marketplace 2easy vende “logs” (datos de dispositivos infectados con infostealers) desde tan solo $5 por item.

Precio medio acceso corporativo

Segun el informe Rapid7 de 2025, el precio medio de acceso corporativo era de solo $2.700, con aproximadamente el 40% de las transacciones por debajo de $1.000. Sin embargo, el acceso a Domain Admin o administracion cloud puede alcanzar decenas de miles de dolares.

Analisis forense de credential harvesting: metodologia paso a paso

1. Analisis de la pagina de phishing

# Descargar pagina phishing para analisis offline
wget --mirror --page-requisites --convert-links \
     --no-parent https://login-phishing-example.com/

# Buscar destino de formularios (donde van las credenciales)
grep -r "action=" *.html
# Resultado tipico: action="https://evil-server.com/capture.php"

# Extraer URLs sospechosas
grep -rE "(http|https)://" *.html *.js | sort -u

# Verificar certificado SSL (phishing moderno usa Let's Encrypt)
openssl s_client -connect login-phishing.com:443 \
    -servername login-phishing.com 2>/dev/null | \
    openssl x509 -noout -issuer -dates

2. Analisis de cabeceras email

Received: from mail-sender.phishing.com (45.142.xxx.xxx)
  by victim-server.com; Thu, 6 Feb 2026 14:23:15 +0100
From: "Soporte IT" <[email protected]>
Reply-To: [email protected]          ← SOSPECHOSO
X-Mailer: PHPMailer 6.5                    ← Bulk mailer
Authentication-Results: dmarc=fail         ← Sin autenticacion
  dkim=none
  spf=fail

Indicadores forenses clave en cabeceras:

SPF/DKIM/DMARC: fail o none indica email no autenticado
Reply-To vs From: Discrepancia indica phishing
Received headers: IP de origen rastrea servidor del atacante
X-Mailer: Herramientas como PHPMailer o SendGrid en envios masivos

3. Analisis de logs del navegador

# Script: Extraer historial de navegacion para detectar
# paginas de credential harvesting visitadas
import sqlite3
import os
from datetime import datetime, timedelta

def analizar_historial_chrome(perfil_path):
    """
    Extrae URLs visitadas de Chrome History para detectar
    paginas de phishing / credential harvesting.
    """
    db_path = os.path.join(perfil_path, "Default", "History")
    conn = sqlite3.connect(db_path)
    cursor = conn.cursor()

    # Buscar URLs con patrones de phishing
    patrones_phishing = [
        "%login%", "%signin%", "%verify%",
        "%account%update%", "%security%alert%",
        "%microsoftonline%", "%outlook%login%"
    ]

    resultados = []
    for patron in patrones_phishing:
        cursor.execute("""
            SELECT url, title, visit_count,
                   datetime(last_visit_time/1000000-11644473600,'unixepoch')
            FROM urls
            WHERE url LIKE ?
            ORDER BY last_visit_time DESC
        """, (patron,))
        resultados.extend(cursor.fetchall())

    conn.close()

    # Filtrar dominios sospechosos
    dominios_legitimos = [
        "login.microsoftonline.com",
        "accounts.google.com",
        "signin.aws.amazon.com"
    ]

    for url, titulo, visitas, fecha in resultados:
        es_legitimo = any(d in url for d in dominios_legitimos)
        if not es_legitimo:
            print(f"SOSPECHOSO: {url}")
            print(f"  Titulo: {titulo}")
            print(f"  Visitas: {visitas}")
            print(f"  Fecha: {fecha}")
            print()

# Uso (ruta tipica Chrome en Windows)
analizar_historial_chrome(
    os.path.expanduser("~/.config/google-chrome/")
)

4. Timeline del ataque

Reconstruccion forense tipica:

Timestamp	Evento	Fuente evidencia
14:15:02	Email phishing recibido	Servidor correo (logs SMTP)
14:18:45	Victima abre enlace	Historial navegador Chrome
14:18:47	Pagina phishing cargada	DNS logs, proxy web
14:19:12	Credenciales introducidas	Formulario web (POST request)
14:19:14	Redireccion a pagina real	Historial navegador
14:22:30	Login sospechoso desde IP externa	Logs Azure AD / Google Workspace
14:23:15	Acceso a buzones correo	Logs O365 Unified Audit
14:25:00	Regla reenvio email creada	Logs Exchange admin
14:30:00	Emails internos enviados (BEC)	Logs SMTP salientes

Caso real: campana de credential harvesting contra pymes espanolas

Nota: El siguiente caso esta basado en investigaciones forenses reales realizadas en Espana durante 2024-2025. Los datos especificos han sido anonimizados para proteger la confidencialidad de los afectados, preservando los aspectos tecnicos relevantes.

Campana phishing AEAT/DEHU (febrero 2026)

En febrero 2026, INCIBE alerto de una campana masiva de phishing suplantando a la AEAT (Agencia Tributaria) y al sistema DEHU (Direccion Electronica Habilitada Unica). Los emails informaban de una “notificacion pendiente” y redirigian a una pagina de login clonada.

Analisis tecnico:

Elemento	Detalle
Vector	Email con enlace a pagina clonada AEAT
Dominio falso	aeat-notificaciones[.]es (registrado 48h antes)
Certificado SSL	Let’s Encrypt (valido, pero registrado el mismo dia)
Formulario captura	Usuario, contrasena, DNI, telefono
Servidor destino	IP 185.xxx.xxx.xxx (Paises Bajos)
Exfiltracion	POST a /api/collect.php + Telegram bot backup
Victimas estimadas	2.300+ formularios completados (primera semana)

Analisis forense realizado:

Extraccion cabeceras email (SPF fail, DKIM none, DMARC reject)
Captura pagina phishing con hash SHA256 (cadena custodia)
Analisis codigo fuente: JavaScript ofuscado con exfiltracion dual (servidor + Telegram)
Timeline de accesos no autorizados desde IP atacante a cuentas Microsoft 365 victimas
Identificacion de 47 cuentas comprometidas con reglas de reenvio maliciosas

Resultado:

Denuncia colectiva ante Policia Nacional (Grupo Delitos Tecnologicos)
3 empresas con perdidas BEC derivadas: 12.000, 28.000 y 45.000 euros
Informes periciales acreditaron cadena causal phishing-compromiso-fraude

Marco legal espanol

Delitos tipificados

Codigo Penal espanol aplicable al credential harvesting:

Articulo	Delito	Pena	Aplicacion
Art. 197.1 CP	Descubrimiento y revelacion de secretos	1-4 anos prision	Interceptacion de credenciales
Art. 197.2 CP	Acceso a datos reservados	1-4 anos prision	Acceso no autorizado a cuentas
Art. 197.3 CP	Difusion de datos secretos	2-5 anos prision	Venta de credenciales en dark web
Art. 248 CP	Estafa	6 meses - 3 anos	Uso de credenciales para fraude
Art. 264 CP	Danos informaticos	6 meses - 3 anos	Instalacion de keyloggers/malware
Art. 264 ter CP	Facilitacion de herramientas	6 meses - 2 anos	Creacion/venta de kits phishing

Agravantes

Art. 197.4 bis CP: Si las credenciales robadas afectan a datos especialmente protegidos (salud, ideologia, vida sexual), pena en su mitad superior
Art. 250.1.5 CP: Estafa agravada si el valor defraudado supera 50.000 euros
Art. 250.1.6 CP: Estafa agravada si afecta a gran numero de personas

RGPD

Las empresas victimas de credential harvesting que resulte en brecha de datos personales estan obligadas a:

Notificar a la AEPD en un maximo de 72 horas (Art. 33 RGPD)
Notificar a los afectados si existe alto riesgo para sus derechos (Art. 34 RGPD)
Documentar el incidente en el registro de actividades de tratamiento

El incumplimiento puede resultar en multas de hasta 20 millones de euros o 4% de la facturacion global.

Prevencion y deteccion

Indicadores de compromiso (IoCs)

En el correo:

Remitente con dominio similar al legitimo (typosquatting)
Enlaces acortados o con redireccion multiple
Urgencia artificial (“Su cuenta sera bloqueada en 24h”)
Archivos adjuntos HTML (pagina phishing offline)

En los sistemas:

Logins desde IPs o geolocalizaciones inusuales
Creacion de reglas de reenvio email no autorizadas
Acceso simultaneo desde multiples paises
Cambios de contrasena no solicitados

En la red:

Conexiones a dominios recien registrados (menor de 30 dias)
Trafico DNS a dominios con alta entropia (DGA)
Exfiltracion de datos via HTTPS a IPs desconocidas

Medidas de proteccion

MFA resistente a phishing: Llaves FIDO2/WebAuthn (no SMS, no TOTP)
Filtrado email avanzado: DMARC enforcement, sandbox de adjuntos
Concienciacion: Simulacros de phishing periodicos para empleados
Monitoreo accesos: Alertas por logins anomalos (SIEM)
Gestion contrasenas: Password manager corporativo + politica de contrasenas unicas

Herramientas forenses

Analisis email y phishing

Herramienta	Funcion	Licencia
PhishTool	Analisis automatizado emails phishing	Freemium
URLScan.io	Escaneo y captura de paginas sospechosas	Gratuita
VirusTotal	Analisis multimotor de URLs y archivos	Gratuita/API
WHOIS Lookup	Investigacion registro dominios	Gratuita

Analisis de logs y accesos

Herramienta	Funcion	Licencia
Azure AD Sign-in Logs	Rastreo accesos Microsoft 365	Incluido M365
Google Workspace Admin	Logs de acceso Google	Incluido Workspace
Splunk	Correlacion de eventos SIEM	Comercial
ELK Stack	Analisis de logs open source	Gratuita

Analisis de credenciales comprometidas

Herramienta	Funcion	Licencia
Have I Been Pwned	Verificar si credenciales fueron filtradas	Gratuita
SpyCloud	Monitoreo dark web credenciales corporativas	Comercial
Flare	Inteligencia amenazas dark web	Comercial

FAQ

P: Como se si mis credenciales han sido robadas por credential harvesting? R: Revisa si tu email aparece en Have I Been Pwned (haveibeenpwned.com). Vigila logins sospechosos en tus cuentas (la mayoria de servicios cloud muestran “actividad reciente”). Activa alertas de inicio de sesion. Si recibes codigos MFA que no solicitaste, es indicativo de que alguien esta intentando acceder con tus credenciales.

P: MFA protege contra credential harvesting? R: Parcialmente. MFA basado en SMS o TOTP protege contra credential stuffing pero no contra ataques AitM (Adversary-in-the-Middle) que capturan tokens de sesion en tiempo real. Solo las llaves de seguridad FIDO2/WebAuthn ofrecen proteccion robusta contra phishing avanzado, ya que estan vinculadas al dominio legitimo y no funcionan en dominios falsos.

P: Cuanto cuesta un analisis forense de credential harvesting? R: Depende del alcance. Analisis de un email phishing con cadena de custodia: 300-600 euros. Investigacion completa de compromiso de cuentas (email + accesos + timeline): 1.200-2.500 euros. Analisis de campana completa con multiples victimas + informe para denuncia: 3.000-6.000 euros. La ratificacion judicial tiene un coste adicional de 300-600 euros.

P: Es legal el credential harvesting para pruebas de seguridad? R: Si, cuando se realiza con autorizacion escrita del propietario del sistema (pentesting / red team). Sin autorizacion, constituye delito tipificado en el Art. 197 CP con penas de 1-4 anos de prision. Las auditorias de seguridad deben contar con contrato de alcance definido y autorizacion expresa antes de cualquier prueba de phishing simulado.

Conceptos relacionados

Phishing: analisis forense: Metodologia completa de analisis forense de campanas phishing
BEC (Business Email Compromise): Fraude empresarial que frecuentemente comienza con credential harvesting
Keylogger: Herramienta de captura de pulsaciones utilizada en credential harvesting via malware
Cabeceras email: Analisis forense de headers para rastrear origen de emails de phishing

Referencias y fuentes

IBM X-Force. (2025). “2025 Threat Intelligence Index”. ibm.com
- 30% de ciberataques en 2024 basados en credenciales robadas; +84% distribucion infostealers via phishing
Deepstrike. (2025). “Compromised Credential Statistics 2025”. deepstrike.io
- 1.800 millones de credenciales robadas por infostealers en 2025, afectando 5,8M dispositivos
Deepstrike. (2025). “Dark Web Statistics 2025”. deepstrike.io
- 15.000 millones de credenciales robadas en la dark web
Deepstrike. (2025). “Dark Web Data Pricing 2025”. deepstrike.io
- Precios: login bancario $200-$1K+, cuentas cripto ~$1.1K, Fullz $20-$100
INCIBE. (2026). “Balance ciberseguridad 2025”. incibe.es
- 25.133 casos de phishing en Espana en 2025
Keepnet Labs. (2026). “2025 Phishing Statistics”. keepnetlabs.com
- 80% campanas phishing dirigidas a credenciales cloud (M365, Google Workspace)
Push Security. (2025). “Analysing 2025’s Top Phishing Trends”. pushsecurity.com
- 1 de cada 3 ataques phishing entregados fuera del email (Slack, Teams, SMS)
Rapid7. (2025). “2025 Annual Report on Dark Web Access Markets”. rapid7.com
- Precio medio acceso corporativo: $2.700; 40% transacciones bajo $1.000
Secureframe. (2026). “60+ Phishing Attack Statistics for 2026”. secureframe.com
- Coste medio brecha por phishing: $4,8M
StationX. (2026). “What Is Credential Harvesting? 2026’s Must-Know Facts”. stationx.net
- 80% campanas credential harvesting usan paginas login clonadas
Codigo Penal Espanol: Arts. 197 (descubrimiento secretos), 248 (estafa), 264 (danos informaticos), 264 ter (facilitacion herramientas)
RGPD (Reglamento General de Proteccion de Datos): Arts. 33-34 (notificacion brechas), Art. 83 (sanciones)

Ultima actualizacion: 12 Febrero 2026 Categoria: Ciberataques (ATK-012) Nivel tecnico: Intermedio-Avanzado Relevancia forense: MUY ALTA (vector principal de acceso no autorizado 2026)