.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
La autenticación multifactorial (MFA) sigue siendo una piedra angular de la ciberseguridad, pero los atacantes han aprendido a encontrar soluciones alternativas.
A medida que los ataques basados en la identidad siguen aumentando, las organizaciones deben ir más allá de la MFA para desarrollar resiliencia. Los expertos de Sophos y una reciente investigación de Gartner coinciden: es hora de adoptar una estrategia de seguridad centrada en la identidad y respaldada por una detección y respuesta continuas. Para muchas organizaciones, mantenerse al día con las amenazas a la identidad resulta abrumador, especialmente a medida que se expanden los entornos híbridos. Pero hay un camino claro a seguir.
La identidad es ahora la principal superficie de ataque
Chris Yule, director de inteligencia de amenazas de la unidad Sophos X-Ops Counter Threat Unit, señala que más del 60 % de los incidentes que investiga su equipo se deben a debilidades relacionadas con la identidad. El phishing, el robo de credenciales y la ingeniería social son puntos de entrada habituales, métodos que permiten a los atacantes infiltrarse sin necesidad de desplegar el malware tradicional.
«La principal amenaza a la que se enfrentan nuestros clientes hoy en día sigue siendo el ransomware, tanto en términos del número de incidentes que vemos como del impacto que puede tener», explicó Yule durante un webinar reciente. «Los casos clásicos de ransomware muestran que el compromiso de la identidad es el primer paso crítico».
A medida que las organizaciones se expanden a entornos híbridos y en la nube, cada nueva integración, desde aplicaciones de software como servicio (SaaS) hasta cuentas de servicio, se convierte en otro punto de entrada. Sin embargo, como señaló Yule, a menudo se producen ciberataques en los que «se utiliza muy poco código malicioso». Más bien, utilizan principalmente «privilegios y confianza para acceder al entorno y causar el mayor daño posible con esa confianza».
Por qué la MFA por sí sola no es suficiente
La MFA es esencial, pero no es suficiente. Los atacantes han evolucionado y las amenazas basadas en la identidad ahora eluden incluso la autenticación fuerte. Las organizaciones necesitan una detección y respuesta continuas para mantenerse a la vanguardia. En múltiples casos de compromiso del correo electrónico empresarial (BEC), los adversarios eludieron la MFA utilizando kits de phishing de tipo Adversary-in-the-Middle (AiTM).
Un ataque AiTM va más allá del phishing tradicional. En lugar de limitarse a robar las credenciales, el atacante intercepta y retransmite la sesión de inicio de la víctima en tiempo real. Cuando un usuario hace clic en un enlace de phishing e introduce sus credenciales en un sitio falso, el atacante reenvía esos datos al servicio legítimo y captura todo el flujo de autenticación, incluidas las respuestas de MFA, lo que le permite secuestrar la sesión.
Esta realidad coincide con las conclusiones que Gartner expone en su informe «Los CISO deben integrar la IAM para reforzar la estrategia de ciberseguridad». Este informe señala que el compromiso de las credenciales sigue siendo la principal causa de las violaciones y que «los atacantes sofisticados ahora se centran en la propia infraestructura de IAM [gestión de acceso a la identidad]».
Gartner advierte además que, si bien la prevención es esencial, «no existe una prevención a prueba de fallos». Los equipos de seguridad deben estar preparados para detectar y responder cuando se eluden las defensas de identidad.
Seguridad basada en la identidad: la próxima evolución
Según Gartner, los líderes en ciberseguridad deben «adoptar la detección y respuesta a amenazas de identidad (ITDR) y la seguridad basada en la identidad para habilitar el modelo de confianza cero y optimizar la postura de ciberseguridad de la organización».
La seguridad basada en la identidad replantea la protección en torno a quién y qué se conecta, en lugar de desde dónde se conecta. En lugar de controles perimetrales estáticos, se centra en la evaluación continua de la confianza y el acceso adaptativo. En la práctica, esto significa:
- Supervisar continuamente la postura de identidad, no solo aplicar controles de inicio de sesión.
- Detectar y responder a comportamientos anormales, como la escalada de privilegios o el movimiento lateral.
- Reducir la superficie de ataque abordando las configuraciones incorrectas y las cuentas con privilegios excesivos.
Detección para la capa de identidad
Yule destacó que Sophos creó el servicio Identity Threat Detection and Response (ITDR) precisamente para llenar este vacío.
«Históricamente, la gestión de identidades y accesos y las operaciones de seguridad siempre han sido cosas muy separadas», dijo Yule. «Por eso, lo que hemos intentado hacer con ITDR es examinar el solapamiento entre ambas».
Mediante la evaluación continua de la postura de identidad, Sophos ITDR supervisa:
- Credenciales robadas o expuestas en la web oscura.
- Cuentas con permisos excesivos o inusuales.
- Configuraciones erróneas de aplicaciones que permiten el abuso de privilegios.
Este enfoque proactivo complementa a Sophos Managed Detection and Response (MDR) y Extended Detection and Response (XDR), lo que garantiza que las organizaciones puedan detectar las amenazas en acción y, al mismo tiempo, reducir el riesgo de explotación de identidades antes de que comiencen los ataques.
La identidad se ha convertido en la piedra angular de la ciberseguridad moderna. Fomentar la resiliencia comienza por tratarla como una disciplina fundamental. Juntos, ITDR, MDR y XDR crean una estructura de seguridad continua, adaptable y resistente.
«A medida que aumentamos la confianza en diferentes cosas, estas se vuelven más complicadas, más opacas y más difíciles de conocer e identificar, lo que podría ser explotado por alguien lo suficientemente inteligente como para descubrirlo», afirma Yule.
Las organizaciones que adoptan estrategias de seguridad basadas en la identidad ganan agilidad para detectar y neutralizar las amenazas antes de que se intensifiquen.
Descubre cómo Sophos Identity Threat Detection and Response (ITDR) ayuda a las organizaciones a prevenir y neutralizar las amenazas basadas en la identidad antes de que se conviertan en brechas de seguridad.