Este jueves 7 de mayo se conmemora el Día Mundial de la Contraseña, una fecha que en 2026 marca el fin de una era. Los expertos en ciberseguridad señalan que una clave de 16 caracteres es inútil si un malware la extrae directamente de la caché del navegador o si un empleado la filtra involuntariamente en un chatbot de Inteligencia Artificial (IA) sin supervisión.
El panorama ha evolucionado hacia una economía industrializada de Ciberdelincuencia como Servicio (CaaS), donde el robo de identidad se ha desplazado de los foros tradicionales de la dark web hacia canales automatizados de Telegram, acelerando la venta de datos robados.
Por lo anterior Telegram ha declarado que:
La distribución de datos privados está explícitamente prohibida por los términos de servicio de Telegram, y dicho contenido se elimina en cuanto se descubre. Nuestro equipo de moderadores, apoyados con herramientas personalizadas de IA, monitorea proactivamente las secciones públicas de la plataforma y aceptan reportes para eliminar millones de contenidos dañinos cada día, incluyendo la distribución de datos privados.
¿Cuánto vale su vida digital en el mercado negro?
Según el Índice de Precios de la Dark Web 2025/2026, el acceso a la privacidad tiene un precio definido por la oferta y la demanda:
- Redes sociales: Una cuenta de Facebook pirateada se vende por 45 dólares, mientras que una de Gmail oscila entre los 60 y 65 dólares.
- Finanzas: Las tarjetas de crédito estándar se consiguen desde los 10 dólares, pero los accesos a criptomonedas con saldos elevados pueden superar los 1.170 dólares.
- Acceso corporativo: Es el mercado más lucrativo. Los intermediarios de acceso inicial (IAB) venden entradas a redes empresariales (VPN) por un promedio de 2.700 dólares, alcanzando los 113.000 dólares si el acceso tiene privilegios administrativos.
El factor IA: El nuevo punto ciego de las empresas
La mayor amenaza de 2026 no es solo la reutilización de contraseñas (que aún practica el 94 % de los usuarios), sino la exfiltración de datos mediante IA generativa.
Un informe de LayerX revela que el 77 % de los empleados que usan herramientas de IA pegan datos directamente en las solicitudes del chatbot. Para marzo de 2026, 1 de cada 28 solicitudes de IA generativa en entornos corporativos presentaba un alto riesgo de fuga de datos confidenciales. Además, el robo de credenciales de plataformas como ChatGPT ha crecido: al menos 225.000 conjuntos de datos de OpenAI se han puesto a la venta tras ser extraídos de dispositivos infectados.
Phishing 2.0 y Deepfakes
La IA ha reducido las barreras para el fraude. Los correos de phishing generados por IA ya no tienen errores ortográficos y logran tasas de clics del 54 %. A esto se suma el auge de los Deepfakes, con un incremento del 3.000 % en su uso para suplantación de identidad.
- Vishing con clonación de voz: Hoy basta con 3 segundos de audio para clonar una voz de forma indistinguible, permitiendo estafas telefónicas a equipos financieros.
- Videollamadas falsas: Casos como el de la empresa Arup, que perdió 25,6 millones de dólares en una videoconferencia deepfake donde se suplantó al director financiero, demuestran que estos ataques ya son una realidad catastrófica.
“Los hackers ya no entran ilegalmente, simplemente inician sesión”, explica Manuel Rodríguez, Gerente de Ingeniería de Seguridad de Check Point Software.
Manual de defensa para 2026
Para las organizaciones, esperar una notificación de brecha es demasiado tarde, ya que las filtraciones basadas en credenciales tardan, en promedio, 246 días en ser detectadas. Los expertos recomiendan:
- Acceso sin contraseña (FIDO2): Eliminar la contraseña física por claves de acceso que no pueden ser robadas mediante phishing.
- Control de navegación de IA: Implementar navegadores empresariales que bloqueen la acción de «copiar y pegar» información sensible en chatbots no autorizados.
- Monitoreo de Telegram y Dark Web: Detectar credenciales antes de que sean vendidas a grupos de ransomware.
- Confianza Cero: Verificar el comportamiento del usuario constantemente, no solo su cadena de caracteres.
















Discussion about this post