Durante años, las estrategias de seguridad cibernética se construyeron en torno a un concepto de perímetro estricto: mantener alejados a los atacantes y los sistemas seguros. Ese modelo ya está obsoleto. En el entorno actual impulsado por SaaS y basado en la nube, la identidad se ha convertido en el nuevo plano de control y, cada vez más, en el principal vector de ataque.
Responsable de Cyber de Red Helix.
Este cambio refleja el éxito de la tecnología de detección y respuesta de endpoints (EDR), que ha hecho que los ataques basados en malware sean más ruidosos y vulnerables, y la creciente complejidad del ecosistema de identidad.
Las empresas modernas ahora administran miles (a veces decenas de miles) de identidades que abarcan empleados, contratistas, aplicaciones, API y cargas de trabajo automatizadas. Cada uno representa un posible punto de entrada. Y a diferencia de las infracciones tradicionales, los ataques basados en la identidad suelen dejar pocos rastros.
Estrategia de penetración redefinida
Los atacantes han evolucionado rápidamente sus métodos para explotar directamente los sistemas de autenticación. Entre las técnicas más destacadas se encuentran el secuestro de tokens y sesiones. En lugar de robar contraseñas, los adversarios capturan tokens de autenticación activos o cookies de sesión, por lo que evitan por completo la autenticación multifactor (MFA).
Los ataques de adversario en el medio (AiTM) también han aumentado, especialmente en entornos SaaS como Microsoft 365. Estos ataques utilizan marcos de phishing que actúan como servidores proxy entre los usuarios y los servicios de inicio de sesión legítimos, interceptando credenciales, respuestas de MFA y datos de sesión en tiempo real.
El auge de las plataformas de phishing como servicio ha industrializado este enfoque, permitiendo que incluso los actores poco calificados ejecuten campañas altamente efectivas a escala.
Los ataques de phishing como servicio de Tycoon 2FA de este año, como por ejemplo AiTM, supuestamente comprometieron a 100.000 organizaciones. Muchas de las cuales pueden ser PYMES con recursos limitados de ciberseguridad.
Igualmente preocupante es el creciente interés en las identidades no humanas. Las cuentas de servicio, las API y las identidades de las máquinas son comunes en la infraestructura moderna, especialmente en DevOps y entornos nativos de la nube. Estas identidades suelen tener credenciales persistentes, amplios privilegios y supervisión limitada, lo que las convierte en objetivos ideales.
Una vez comprometidos, brindan a los atacantes un acceso sostenido y de baja visibilidad a los sistemas críticos.
Un panorama de amenazas diverso y decidido
Los actores detrás de los ataques basados en la identidad son tan diversos como sus métodos. Los grupos de ciberdelincuentes con motivación financiera dominan el panorama, y a menudo utilizan kits de phishing y compran credenciales robadas a intermediarios de acceso primario.
Estos corredores se especializan en recopilar y vender acceso a entornos comprometidos, reduciendo efectivamente las barreras de entrada para los operadores de ransomware y otros actores de amenazas.
Los grupos de ransomware se han alejado cada vez más de las técnicas de explotación tradicionales. Al utilizar credenciales válidas, reducen su huella operativa y evitan muchas formas de detección al moverse lateralmente a través de las redes con una resistencia mínima.
En el extremo más sofisticado del espectro, los actores-Estado-nación están adoptando el compromiso de identidad como medio de espionaje a largo plazo. Estos grupos dan prioridad a la privacidad y la persistencia, y a menudo se dirigen a proveedores de servicios u organizaciones con amplias redes de socios para lograr el máximo alcance.
Al comprometer la identidad en lugar de implementar malware, pueden mantener el acceso durante largos períodos de tiempo sin ser detectados.
Algunos sectores son particularmente abiertos, incluidos los servicios financieros, la atención sanitaria, el gobierno y la tecnología. Los MSP que tienen acceso privilegiado a los sistemas de muchos clientes también ejercen una atracción magnética para los atacantes porque ofrecen oportunidades lucrativas para los compromisos clásicos de la cadena de suministro.
Midnight Blizzard Group, por ejemplo, llevó a cabo un ataque importante en 2024 que comprometió identidades de nube que no eran de producción y sin MFA. El grupo está vinculado al Estado ruso y realiza espionaje a través de proveedores de servicios.
Sin embargo, el denominador común es la complejidad, no la industria. Las organizaciones con grandes huellas de SaaS, fuerzas laborales híbridas y relaciones de identidad complejas presentan una superficie de ataque significativamente ampliada.
¿Por qué se acelera la exposición?
La rápida adopción de tecnologías en la nube y arquitecturas centradas en la identidad ha remodelado fundamentalmente el riesgo organizacional. Plataformas como los servicios de directorio y los proveedores de identidades ahora se encuentran en el corazón de las operaciones empresariales, gestionando el acceso a sistemas y datos críticos.
Al mismo tiempo, el número de identidades se ha disparado. Una organización de tamaño mediano ahora puede confiar en cientos de aplicaciones SaaS y miles de identidades humanas y de máquinas.
Esta tendencia crece rápidamente a nivel empresarial, donde las organizaciones pueden utilizar más de 1000 aplicaciones y cada empleado gestiona aproximadamente 35 identidades distintas. Cada integración introduce nuevas dependencias y vulnerabilidades potenciales, a menudo sin una mejora correspondiente en la visibilidad o el control.
La identidad de la máquina, en particular, se ha convertido en un importante punto ciego. A diferencia de los usuarios humanos, rara vez están sujetos a una gestión estricta del ciclo de vida o a controles de autenticación estrictos. Las credenciales pueden estar codificadas, rara vez rotadas o compartidas entre sistemas, creando vulnerabilidades persistentes que los atacantes pueden explotar.
Los turnos de trabajo remotos e híbridos han agravado el problema, aumentando la dependencia de los sistemas de autenticación y al mismo tiempo ampliando las oportunidades de phishing y robo de credenciales.
El papel de la IA en el aumento del riesgo
La inteligencia artificial está dando forma a la siguiente fase de los ataques basados en la identidad. La IA ya está permitiendo campañas de phishing más creíbles y altamente personalizadas utilizando datos relevantes para aumentar las tasas de éxito. Las herramientas de recuperación automatizadas permiten a los atacantes mapear relaciones de identidad y estructuras de privilegios a una velocidad sin precedentes.
La aparición de técnicas de medios sintéticos y deepfake es aún más preocupante. La clonación de voz y los vídeos generados por IA se pueden utilizar para hacerse pasar por ejecutivos o contactos de confianza, lo que aumenta significativamente los ataques de ingeniería social.
Estas capacidades reducen la fricción tradicionalmente asociada con el fraude, permitiendo a los atacantes operar con escala y sofisticación.
Repensar las defensas: la identidad como superficie de control continuo
Abordar las amenazas basadas en la identidad requiere más que mejoras incrementales. Esto exige un cambio fundamental en la forma en que las organizaciones abordan la seguridad.
La autenticación resistente al phishing es un primer paso importante. Las claves de seguridad de hardware, los métodos sin contraseña basados en FIDO2 y la autenticación basada en certificados pueden reducir significativamente el riesgo de robo de certificados y ataques AiTM.
Sin embargo, la autenticación por sí sola no es suficiente. Un modelo de confianza cero basado en una verificación continua es esencial.
Las decisiones de acceso deben basarse no sólo en la identidad, sino también en la postura del dispositivo, el comportamiento del usuario y las señales de riesgo relevantes. Las políticas de privilegios mínimos deben aplicarse estrictamente, limitando la ventana de oportunidad para los atacantes con acceso por tiempo limitado.
La visibilidad es igualmente importante. Las organizaciones necesitan una visión integral de todas las identidades de personas y máquinas y sus instalaciones asociadas. Las capacidades de detección y respuesta a amenazas de identidad (ITDR) pueden ayudar a detectar anomalías como el uso indebido de tokens, patrones de acceso inusuales o intentos de escalada de privilegios.
Por último, la seguridad de la identidad debe ponerse a prueba constantemente. Las pruebas de penetración periódicas, los equipos rojos y el análisis de la ruta de ataque son esenciales para descubrir vulnerabilidades ocultas. La identidad de la máquina, en particular, requiere una gestión continua, incluida la rotación de credenciales y la aplicación de políticas.
A medida que se acelera la transformación digital, la identidad será cada vez más central para la seguridad organizacional y más atractiva para los atacantes. El cambio de “irrumpir” a “iniciar sesión” no es una tendencia temporal sino un cambio estructural en el panorama de amenazas.
Para los líderes de seguridad, la implicación es clara: la identidad ya no puede ser tratada como una función de apoyo. Es la primera línea. Aquellos que no logran protegerlo corren el riesgo de brindar a los atacantes exactamente el acceso legítimo que necesitan con una resistencia mínima.
Hemos destacado los mejores proveedores de correo electrónico seguros.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
