En los últimos años la conversación pública sobre ciberseguridad se ha centrado en amenazas llamativas: vulnerabilidades de día cero, compromisos en la cadena de suministro y exploits alimentados por inteligencia artificial. Sin embargo, la puerta de entrada que sigue siendo la más fiable para los atacantes no ha cambiado: credenciales robadas. Un nombre de usuario y una contraseña válidos, obtenidos de bases de datos previas, mediante ataques de relleno de credenciales o con campañas de phishing bien diseñadas, permiten a un atacante entrar sin necesidad de explotar un fallo técnico.
Lo que hace que este vector sea tan difícil de detectar es lo poco espectacular que resulta el acceso inicial. Un inicio de sesión exitoso con credenciales legítimas no dispara las mismas alarmas que un escaneo de puertos o una comunicación de malware. A ojos de muchos sistemas de detección, el intruso parece un empleado más. Con ese disfraz, el atacante puede recopilar más contraseñas, reutilizarlas para moverse lateralmente y expandir su control dentro del entorno.
El impacto de ese patrón es claro: equipos de ransomware pueden cifrar y extorsionar en cuestión de horas; actores con apoyo estatal convierten el acceso en persistencia a largo plazo y en recolección de inteligencia. Las fases fundamentales del ataque —acceso, escalada, movimiento lateral y persistencia— siguen siendo las mismas, pero lo que sí ha cambiado es la velocidad y la sofisticación con la que se ejecutan.
La inteligencia artificial ha acelerado y pulido el trabajo de los atacantes. Automatiza la comprobación masiva de credenciales, genera herramientas a medida con rapidez y produce correos de phishing que, hoy, son mucho más difíciles de distinguir de comunicaciones legítimas. Esa aceleración obliga a defensores con recursos limitados a reaccionar en un ritmo que muchas organizaciones no están equipadas para sostener.
Frente a incidentes que se desarrollan a mayor velocidad y afectan a más capas —identidades, nubes, endpoints— los equipos de respuesta no pueden confiar únicamente en procesos lineales y rígidos. La vieja receta de preparar, identificar, contener, erradicar, recuperar y revisar funciona como teoría, pero la práctica en campo rara vez es tan ordenada. Por eso cobra sentido un enfoque iterativo que reconozca la naturaleza cambiante y caótica de una investigación real.
El modelo DAIR —Dynamic Approach to Incident Response— propone precisamente eso: después de detectar y verificar un incidente, el equipo entra en un ciclo continuo de scoping (definir alcance), contención, erradicación y recuperación. Cada pasada del ciclo incorpora nueva evidencia que puede ampliar el perímetro del compromiso y redefinir las acciones necesarias. Ese bucle se repite hasta que responsables técnicos y ejecutivos acuerdan que la situación está bajo control.
Imaginemos un caso provocado por credenciales comprometidas: al principio el alcance parece limitado a un equipo de trabajo. Durante las acciones de contención aparece un mecanismo de persistencia en registro que no se detectó inicialmente. Esa pista empuja de nuevo al equipo a escanear toda la organización buscando la misma huella. Si durante ese rastreo aparece una IP de comando y control confirmada, se vuelve a entrar en contención y erradicación. Cada iteración refina la inteligencia y mejora las decisiones tácticas del siguiente ciclo.
Este enfoque incorpora la incertidumbre como parte del proceso, no como una desviación. Pero para que funcione no basta con un buen método: la comunicación entre equipos es decisiva. Cuando convergen analistas de SOC, ingenieros de nube, líderes de respuesta y administradores de sistemas, las acciones deben estar sincronizadas. Una comunicación clara y puntual es el factor que determina si las acciones de contención se coordinan o se contradicen, y si los tomadores de decisión reciben información útil para priorizar.
Más allá de la comunicación, la práctica repetida es imprescindible. No se trata solo de documentar procedimientos, sino de ensayar con ejercicios realistas que pongan a prueba la coordinación, las herramientas y los tiempos de respuesta. Y aunque la IA se incorpora cada vez más a las herramientas defensivas, siguen siendo necesarios profesionales afilados que sepan configurar esos sistemas, interpretar sus salidas y dirigirlos en un contexto operativo.
Las organizaciones que mejor resisten los ataques basados en identidad son las que invirtieron en su gente antes de que llegara la crisis. Equipos entrenados en las técnicas reales de los atacantes —no únicamente en teoría, sino practicando con las mismas herramientas y tácticas que usan los ofensores— responden mejor. Ejecutar eficazmente el ciclo DAIR exige expertos que comprendan ambos lados del juego: cómo se gana el acceso y cómo investigar las evidencias que se producen en cada etapa.
Si quieres profundizar en todo este ciclo de vida de ataque y respuesta —desde la obtención inicial de credenciales hasta el movimiento lateral, la persistencia y las técnicas de investigación— hay cursos que combinan la perspectiva ofensiva con habilidades prácticas de defensa. Para quienes buscan mejorar tanto su comprensión de los atacantes como su capacidad de respuesta, una opción reconocida es SEC504: Hacker Tools, Techniques, and Incident Handling. Este junio estaré impartiendo esa formación en SANS Chicago 2026, donde abordamos el modelo DAIR aplicado a incidentes reales.
Si quieres basar tus decisiones en datos y marcos de referencia, informes como el Verizon Data Breach Investigations Report o las recomendaciones de entidades como CISA son lecturas útiles para entender tendencias y tácticas actuales. Para marcos técnicos sobre identidad, NIST SP 800-63 ofrece criterios y buenas prácticas que ayudan a diseñar controles más robustos.
La lección clave es doble y sencilla: las amenazas evolucionan, y la respuesta también debe hacerlo. No basta con mejores herramientas; hacen falta procesos adaptativos, comunicación efectiva y profesionales entrenados para aplicar el modelo dinámico de respuesta ante incidentes. Si refuerzas esos pilares, reduces la ventaja que hoy ofrece la velocidad y escala de los atacantes.
Nota: Este artículo ha sido escrito y contribuido por Jon Gorenflo, instructor de SANS en SEC504: Hacker Tools, Techniques, and Incident Handling.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...