Pantalla de computadora mostrando una alerta de seguridad con código en verde sobre fondo oscuro
PYMEs UruguayTecnología empresarial6 min de lectura

2.860 millones de contraseñas filtradas: qué hacer ahora

KELA: 2.860 millones de credenciales filtradas en 2025 y ransomware creció 45%. Qué medidas concretas debe tomar tu PYME para no ser parte de la próxima estadística.

E
Equipo Conly

Ciberseguridad global — KELA State of Cybercrime 2026

2.860M
Credenciales expuestas a nivel global durante 2025
Fuente: KELA State of Cybercrime 2026
+45%
Aumento en víctimas de ransomware respecto a 2024
Fuente: KELA State of Cybercrime 2026
347,5M
Credenciales robadas por malware infostealer
Fuente: KELA State of Cybercrime 2026
+7.000%
Aumento de infecciones en macOS entre 2024 y 2025
Fuente: KELA State of Cybercrime 2026

En 2025 se expusieron 2.860 millones de credenciales a nivel global. No es una proyección — es lo que midió Forbes Uruguay basándose en el informe State of Cybercrime 2026 de KELA, una firma especializada en inteligencia de amenazas.

El número es difícil de procesar. Lo que importa entender es el mecanismo: la mayoría de esas credenciales no se robaron por un ataque sofisticado a un servidor bancario. Se robaron porque alguien descargó algo que no debía, o porque una contraseña se reutilizó en varios servicios y uno de ellos fue comprometido.

Qué es un infostealer y por qué importa

Un infostealer (software que roba información) es un tipo de malware que, una vez instalado en una máquina, extrae todas las contraseñas guardadas en el navegador, sesiones activas, datos de tarjetas y cualquier credencial almacenada localmente.

En 2025, este tipo de malware robó 347,5 millones de credenciales de 3,9 millones de máquinas únicas a nivel global. Las infecciones en macOS — un sistema que muchas PYMEs asumen seguro por defecto — pasaron de menos de 1.000 casos en 2024 a más de 70.000 en 2025. Un aumento del 7.000%.

Para una empresa, el riesgo concreto es este: si alguien del equipo descarga un archivo ejecutable sin verificar la fuente (un instalador, un plugin, un adjunto de correo), y ese archivo es un infostealer, todas las contraseñas guardadas en ese equipo quedan expuestas. Incluyendo accesos a sistemas contables, plataformas de e-commerce, correo corporativo o cuentas de clientes.

El problema del ransomware no cedió

Las víctimas de ransomware — el tipo de ataque donde te bloquean los datos y te piden dinero para devolvértelos — aumentaron un 45% en 2025 respecto al año anterior.

El patrón habitual sigue siendo el mismo: acceso inicial por credenciales comprometidas, movimiento lateral por la red interna, cifrado de archivos. El elemento nuevo es la velocidad y la escala de los grupos que operan este modelo de negocio criminal.

Más del 30% de las credenciales expuestas en 2025 correspondieron a servicios en la nube y sistemas de autenticación. Para una PYME que usa Google Workspace, Microsoft 365, plataformas de facturación online o herramientas de gestión en la nube, ese dato es directo: esos servicios son el objetivo.

En Uruguay, la situación local complementa este panorama global: según datos ya publicados en este blog, los incidentes de ciberseguridad en Uruguay se triplicaron en 2025, con ataques a infraestructuras críticas y empresas de todos los tamaños.

Lo que podés hacer esta semana

El informe de KELA y AGESIC — el organismo del gobierno uruguayo que coordina la ciberseguridad del sector público y da orientación al sector privado — coinciden en los mismos puntos básicos.

Activar la doble autenticación (2FA) en todas las cuentas que lo permitan. La doble autenticación — donde además de la contraseña necesitás un código adicional por SMS o aplicación — es el freno más efectivo contra el uso de credenciales robadas. Si alguien tiene tu contraseña pero no tiene el código, no entra.

Usar un gestor de contraseñas. El problema de la reutilización de contraseñas es estructural: si usás la misma clave en cinco servicios y uno de ellos es comprometido, los cinco quedan expuestos. Un gestor de contraseñas genera claves únicas y largas para cada cuenta y las almacena encriptadas.

Mantener actualizado el software de todos los equipos. Los infostealers explotan vulnerabilidades en versiones antiguas de software. Actualizar no es solo agregar funcionalidades — es cerrar las puertas que el malware usa.

Avanzar hacia passkeys donde sea posible. Las passkeys reemplazan la contraseña por un mecanismo de autenticación vinculado al dispositivo, que no se puede filtrar de la misma forma que una contraseña de texto. Los principales servicios (Google, Microsoft, Apple) ya las soportan.

El umbral mínimo para una PYME sin equipo IT

Si tu empresa no tiene un equipo de tecnología interno, el objetivo no es volverse inmune — es no ser el blanco más fácil.

Las empresas que tienen 2FA activo en sus cuentas principales, no reutilizan contraseñas y mantienen sus sistemas actualizados ya están por encima del umbral donde la mayoría de los ataques automatizados se detienen.

Para un diagnóstico práctico de los cinco puntos críticos de una PYME sin equipo IT — contraseñas compartidas, cuentas de ex-empleados activas, backups, software desactualizado y accesos remotos — podés ver el análisis completo en cómo proteger tu empresa en 30 minutos.

Preguntas frecuentes

¿Qué es un malware infostealer y cómo infecta un equipo?
Es un software malicioso que, al instalarse, extrae todas las contraseñas guardadas en el navegador, sesiones activas y datos de acceso. Suele llegar por archivos descargados de fuentes no confiables, adjuntos de correo maliciosos o plugins falsos.
¿Por qué la doble autenticación es tan importante?
Porque incluso si un atacante tiene tu contraseña, sin el segundo factor de autenticación no puede entrar. El 2FA rompe el modelo de ataque más común: usar credenciales robadas para acceder a cuentas. Es la medida de mayor impacto con el menor costo de implementación.
¿Mac es más seguro que Windows para una empresa?
Históricamente sí, pero la brecha se cerró. En 2025 las infecciones de infostealer en macOS aumentaron 7.000% en términos absolutos. Ningún sistema operativo es inmune. La protección viene de las prácticas — actualizaciones, 2FA, gestores de contraseñas — no del sistema operativo.
¿Qué es ransomware y cómo afecta a las PYMEs?
Es un tipo de ataque que cifra los archivos de tu empresa y te pide un pago para devolverte el acceso. Para una PYME, puede paralizar operaciones durante días o semanas. La entrada suele ser por credenciales comprometidas o correos de phishing que alguien del equipo abre.
¿Dónde puedo reportar un incidente de ciberseguridad en Uruguay?
AGESIC (Agencia de Gobierno Electrónico y Sociedad de la Información) tiene el CERTuy, el equipo de respuesta a incidentes de seguridad informática. Podés encontrar canales de contacto en agesic.gub.uy. Para incidentes graves también podés contactar a la Unidad de Ciberdefensa del Ejército.

Última actualización: