STI 2020 ®

Initial Access Brokers

Cibercrimen: el rol de los Initial Access Brokers (IAB)

by

STI 2020®
in , , , ,

Los Initial Access Brokers obtienen y comercializan accesos a redes corporativas, mediante credenciales comprometidas, malware y la explotación de vulnerabilidades. Estos «brokers», tienen la habilidad de infiltrarse en sistemas de forma estratégica, utilizando técnicas avanzadas que, les permiten eludir las medidas de seguridad vigentes. Además, muchos de ellos forman parte de redes más amplias de cibercriminales que colaboran para maximizar su impacto. Pero, vamos a conocer cómo operan y por qué representan una amenaza creciente para las empresas, ya que su capacidad para acceder a datos sensibles y causar daños significativos, ha llevado a un aumento en la preocupación de los profesionales en el ámbito de la ciberseguridad.

En los últimos años, el cibercrimen ha evolucionado hacia un ecosistema organizado y lucrativo, donde actores colaboran en mercados clandestinos, compartiendo recursos para realizar ciberataques. Esta tendencia, conocida como Cybercrime-as-a-Service (CaaS), permite una división del trabajo similar a la de organizaciones legítimas, con especialización en distintas fases del ciclo de ataque.

Entre estos actores se encuentran desarrolladores de malware, afiliados de ransomware y los Initial Access Brokers, que se centran en comprometer las redes corporativas. Por ello, es crucial comprender cómo operan y cómo enfrentar estas amenazas, como el ransomware.

¿Qué es un Initial Access Broker?

El término Initial Access Broker (IAB) se refiere a actores maliciosos que obtienen accesos iniciales a sistemas o redes corporativas y los venden a otros atacantes. Este fenómeno, emergió entre 2019 y 2020 con reportes de inteligencia de amenazas que, destacaban la venta de accesos iniciales no explotados. Con el tiempo, se ha convertido en un mercado especializado en la economía del cibercrimen, con vendedores establecidos y catálogos de accesos.

Los IAB se centran en la fase de intrusión inicial, operando con discreción, para luego vender el acceso a grupos de ransomware, extorsión, infostealers u otros actores maliciosos.

¿Qué técnicas usan los IAB’s?

Para obtener estos accesos, dichos actores utilizan diferentes técnicas. Podemos clasificarlas como: el robo directo de credenciales, recolección mediante malware y la explotación de vulnerabilidades.

Robo directo de credenciales

Nos encontramos con uno de los métodos más populares para la recolección masiva de credenciales: el phishing. Los IAB envían correos fraudulentos redirigiendo a la víctima a sitios falsos que imitan portales corporativos.

Otro método es el stuffing de credenciales, que consiste en probar de manera automatizada combinaciones de usuario y contraseña obtenidas de filtraciones anteriores.

También tenemos la fuerza bruta, donde los atacantes intentan autenticarse automáticamente en servicios expuestos, hasta encontrar las credenciales válidas.

Recolección mediante malware

El uso de infostealers para el robo de información se realiza a través de credenciales almacenadas, cookies de sesión y tokens de autenticación. Los métodos de distribución incluyen campañas de phishing, descargas de software pirata y malvertising.

Estos ataques son eficientes, con paquetes completos llamados Stealer logs disponibles para comprometer múltiples equipos en poco tiempo. Según un informe de Vectra, la cantidad de credenciales afectadas por infostealers alcanzó los 1800 millones, en 2025.

Explotación de vulnerabilidades

Otra técnica para obtener accesos iniciales es la explotación de vulnerabilidades en servicios expuestos a internet. Este método, aunque requiere mayor conocimiento, permite comprometer sistemas sin credenciales válidas. Según la base de datos de vulnerabilidades del NIST, en 2025 se detectaron un 22% más de fallos que en 2024.

Entre las aplicaciones corporativas más explotadas por los IAB se encuentran:

  • VPNs y gateways: Fallas en dispositivos como firewalls o proxies, permiten a los atacantes obtener ejecución remota de código (RCE) o bypass de autenticación.
  • Servicios web: Errores como inyecciones o fallas en autenticación, permiten a los IAB acceder a portales internos.
  • Servicios RDP, SSH u otros: Ciertas vulnerabilidades, permiten acceder directamente a estos servicios sin necesidad de contraseñas válidas.

Este vector, aunque resulte más complejo, no siempre requiere alta sofisticación. En entornos corporativos con bajos niveles de gestión de parches y el uso de software desactualizado, los atacantes explotan vulnerabilidades conocidas, para obtener el acceso inicial. Una vez dentro, documentan el acceso, verifican su persistencia y lo venden en los mercados clandestinos.

Los Initial Access Brokers, cada vez más demandados, aportan una especialización muy cotizada al mundo del ciberdelito, para conseguir el acceso ilícito a las redes corporativas.

Un nuevo modelo de negocio

Los IAB son proveedores especializados en el cibercrimen que, operan en foros clandestinos y la Deep web. En sus publicaciones, incluyen información detallada para conseguir atraer y generar confianza entre compradores potenciales, como el país de la organización, el tipo de acceso, la relación con entidades gubernamentales y los ingresos estimados. El nombre de la organización, se oculta para preservar el valor del acceso.

El punto de mayor interés en sus publicaciones, es la accesibilidad. Según reporta el 2025 Access Brokers Report, el precio medio de venta de un acceso es de 2700 dólares, y un 40% de los accesos publicados están valorados entre 500 y 1000 dólares.

El papel de la seguridad corporativa

Convertir el acceso inicial a una red corporativa en un producto comercializable en la economía cibercriminal, tiene implicaciones significativas para las organizaciones como posibles víctimas.

Hemos visto la reducción de la barrera de entrada: un atacante sin demasiadas capacidades para obtener acceso inicial, puede simplemente comprarlo, mientras que un actor más sofisticado puede adquirir acceso para enfocarse en etapas más avanzadas, como la persistencia o la exfiltración de datos.

Por ello, es importante destacar que, muchos accesos vendidos por los IAB son credenciales válidas o mecanismos legítimos, como VPN corporativas, que pueden evadir ciertos sistemas de seguridad al ser considerados ingresos confiables. Se puede conocer más sobre dicha técnica, en el siguiente enlace del MITRE.

Consejo

El ecosistema criminal se complejiza cada año, convirtiéndose en una industria altamente rentable sin señales de disminuir. Se recomiendan las siguientes medidas que, las organizaciones pueden adoptar para reducir la probabilidad de compromiso y comercialización de sus accesos:

  • Auditar y restringir aquellos servicios expuestos a Internet.
  • Utilizar la gestión de identidades y privilegios, para aquellos accesos sensibles.
  • Monitorizar y revocar toda credencial comprometida.
  • Aplicar políticas de contraseñas robustas, evitando su reutilización y usar la autenticación multifactor.
  • Monitorizar los accesos remotos y otras anomalías posibles.
  • Mantener constantemente actualizados los sistemas y aplicaciones.
  • Contar con soluciones de seguridad integrales, como un EDR, para poder detectar y detener infecciones.
  • Utilizar la segmentación de la red, para limitar el impacto de accesos comprometidos.

Invertir en ciberseguridad, es hoy una decisión estratégica que protege activos, reduce riesgos operativos y mejora la competitividad.

Descubre más desde STI 2020 ®

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Comentarios

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.