Tipos de Amenazas y Fuentes (Infostealer, Breach, Paste, etc.)
Tipos de Amenazas y Fuentes (Infostealer, Breach, Paste, etc.)
Selki clasifica las threats según la fuente y la forma en que las credenciales fueron expuestas.
Cada tipo de exposición implica riesgos distintos, niveles de explotación diferentes y prioridades específicas de remediación.
Este artículo detalla los principales tipos de amenazas que Selki detecta y cómo interpretarlas.
1. Infostealer Malware
Los infostealers son malware diseñados para robar datos directamente del dispositivo infectado.
Capturan:
- correos electrónicos
- contraseñas en plaintext
- cookies y tokens de sesión
- credenciales guardadas en navegadores
- datos de autofill
- historial
- nombre del dispositivo (hostname)
Los datos robados son enviados a servidores criminales y luego vendidos o distribuidos.
¿Por qué es la amenaza más crítica?
- datos recientes y extremadamente precisos
- contraseñas en plaintext
- exposición directa del dispositivo
- posibles múltiples identidades comprometidas en el mismo host
- indicio de infección activa del usuario
Threats con infostealer suelen clasificarse como High o Critical.
2. Breach Dumps (Bases Filtradas)
Conjuntos de datos robados tras comprometer plataformas o servicios externos.
Pueden contener:
- correos
- contraseñas (hash o plaintext)
- nombres de usuario
- información personal
- metadatos diversos
El nivel de riesgo depende de:
- recencia de la brecha
- tipo de contraseña expuesta
- sensibilidad del servicio comprometido
- patrones de reutilización de contraseña
Brechas recientes con contraseñas plaintext → Alto riesgo.
3. Paste Sites y Repositorios Públicos
Credenciales expuestas en:
- pastebins
- foros
- repositorios de texto
- commits públicos
- datasets abiertos
Motivos frecuentes:
- errores de configuración
- filtraciones accidentales
- publicaciones internas divulgadas por error
- leaks intencionales
El riesgo depende del contenido expuesto y su recencia.
4. Colecciones Agregadas (Aggregated Dumps)
Bases masivas que reúnen credenciales de múltiples brechas y filtraciones.
Características típicas:
- alto volumen
- calidad variable
- contraseñas antiguas mezcladas con nuevas
- comúnmente utilizadas en ataques automatizados
El riesgo suele ser Medium, salvo cuando hay contraseñas reutilizadas.
5. Exposiciones Multifuente (Cross-Source)
Ocurren cuando la misma identidad aparece en múltiples fuentes, como:
- infostealer + breach
- breach + paste
- múltiples infostealers
- exposiciones repetidas en el tiempo
¿Por qué esto aumenta el riesgo?
- indica reutilización de contraseña
- sugiere compromiso persistente
- aumenta la probabilidad de explotación
- puede señalar varias infecciones del usuario
Estas amenazas a menudo se clasifican como High o Critical.
6. Qué muestra Selki en la Threat
Cada threat contiene metadatos clave:
- tipo de exposición
- hostname (si lo hay)
- disponibilidad de contraseña
- número de ocurrencias
- First Seen / Last Seen
- información adicional según la fuente
Esto permite comprender la naturaleza y urgencia de la amenaza.
7. Relación entre el tipo de amenaza y el workflow
Tipo de Exposición | Severidad típica | Acción recomendada |
|---|---|---|
Infostealer | High–Critical | Reset inmediato + revisar dispositivo |
Breach reciente | Medium–High | Reset + notificar al usuario |
Breach antiguo | Low–Medium | Verificar reutilización de contraseña |
Paste público | Variable | Analizar contexto |
Exposición multifuente | Critical | Remediación completa |
Resumen
Los tipos de amenazas revelan el origen y el riesgo asociado a cada exposición.
Selki clasifica infostealers, brechas, pastes, colecciones agregadas y exposiciones multifuente para facilitar triage, priorización y remediación eficaz.
Actualizado el: 02/12/2025
¡Gracias!