El Instituto Nacional de Ciberseguridad (INCIBE) registró 122.223 incidentes de ciberseguridad en España durante 2025, un 26% más que el año anterior. El phishing fue la técnica más frecuente con 25.133 casos, y el 28% de las consultas al servicio de ayuda 017 correspondieron a intentos de phishing, vishing o smishing (INCIBE, febrero 2026). En el Día Mundial de la Contraseña, Zepo Intelligence recuerda que la credencial robada no es el punto de partida del ataque. Es un paso intermedio: una llamada o un correo electrónico, nos «engaña en primera instancia y nos lleva a revelar nosotros mismos nuestra contraseña».
El atacante no adivina la contraseña, pide que se la den
Las técnicas más extendidas que comprometen credenciales en entornos empresariales no dependen de la complejidad de la clave. Dependen de la capacidad del atacante para crear una situación en la que la víctima actúe sin cuestionarla. Para ello, siempre hay que tener en cuenta que la fortaleza de la contraseña es muy importante, pero no es la única amenaza.
El vishing de helpdesk es un ejemplo representativo. El atacante llama haciéndose pasar por soporte técnico interno, informa de una supuesta brecha de seguridad y guía al empleado para que cambie su contraseña a través de un portal falso. La urgencia del contexto, la autoridad percibida de quien llama y la familiaridad del proceso hacen que la persona actúe sin dudar. Así, el ataque funciona, explican los expertos de Zepo.
La autenticación multifactorial es una capa de protección necesaria. Pero el MFA fatigue demuestra que ningún control técnico es inmune al factor humano. En este tipo de ataque, el atacante envía decenas de solicitudes de verificación al dispositivo del empleado hasta que, por agotamiento o confusión, este aprueba una. En algunos casos documentados, los atacantes combinan esta táctica con una llamada telefónica en tiempo real, presentándose como soporte de IT para convencer al usuario de que la aprobación es legítima.
La contraseña en estos casos es irrelevante, aunque para Zepo que sea una contraseña segura es esencial en el proceso de defensa. El control que falló fue el criterio de la persona en un momento de presión.
IA al servicio de la manipulación
Los atacantes utilizan herramientas de inteligencia artificial para personalizar los mensajes de phishing a escala. Correos sin errores ortográficos, con referencias al nombre del empleado, su cargo y su empresa, generados automáticamente a partir de datos disponibles en fuentes públicas. El resultado es un mensaje que no activa los patrones de alerta que el empleado ha aprendido a identificar en la formación de concienciación estándar.
El problema no es que el empleado no sepa que existe el phishing. Es que el mensaje que recibe no se parece al que le enseñaron a evitar.
El informe de INCIBE 2025 identifica las contraseñas por defecto como la principal vulnerabilidad de las pymes españolas. «123456», «admin» y «password» siguen siendo las credenciales más comprometidas. No porque los usuarios no conozcan el riesgo, sino porque los procesos de onboarding, la falta de políticas aplicadas y la ausencia de supervisión hacen que el cambio de credenciales predeterminadas no ocurra de forma sistemática. Es importante, que no perdamos de vista que la fortaleza de la contraseña es nuestra responsabilidad y que debemos personalizarla con criterios de seguridad.
La defensa que funciona actúa antes de que ocurra el ataque
Zepo Intelligence trabaja con organizaciones para cerrar la brecha entre la detección técnica y la respuesta humana. Cuando un empleado recibe una solicitud de cambio de contraseña por un canal inesperado, el sistema debe estar preparado para que esa persona sepa cuándo dudar, a quién reportarlo y qué hacer en los segundos siguientes.
Esa capacidad no se construye con un módulo de formación anual. Se construye con simulaciones adaptadas a los patrones de ataque reales, métricas de comportamiento que identifican dónde están los puntos ciegos y una arquitectura de aprendizaje que ajusta la intervención en función de la respuesta de cada persona.
Antonio Muñoz, CEO de ZEPO: «El Día Mundial de la Contraseña nos recuerda un problema real. Pero la solución no está solo en la complejidad de la clave. Está en la capacidad de las personas para identificar y resistir la manipulación que lleva a entregarla. Eso es lo que Zepo construye en las organizaciones.»
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
