La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que proxyan autenticaciones en tiempo real y modelos de trabajo dispersos que multiplican vectores de riesgo. Un nombre de usuario y una contraseña, incluso validados con MFA, ya no garantizan por sí solos que la conexión sea segura.
El problema no es únicamente que falle la autenticación, sino que las señales que validan una sesión rara vez se reevalúan durante su vida útil. Un token de sesión emitido tras superar MFA puede ser interceptado y reutilizado por un atacante; desde la perspectiva del servicio, ese token es indistinguible del legítimo. Por eso el marco de Zero Trust propuesto por instituciones como NIST recomienda evaluar también la postura del dispositivo al tomar decisiones de acceso: NIST SP 800-207.
En la práctica muchas organizaciones se quedan en la validación puntual: identidad verificada, MFA OK y sesión iniciada hasta la expiración del token. Ese enfoque deja una zona ciega post-autenticación donde cambios en el endpoint —desactivación del control antivirus, parches pendientes, hardware no autorizado— pueden convertir una sesión inicialmente legítima en una puerta de entrada para el atacante.
La evidencia empírica refuerza la urgencia: los informes de incidentes siguen señalando a credenciales robadas como factor clave en una proporción significativa de brechas. Verizon, en su informe anual, demuestra cómo el abuso de identidades sigue dominando la superficie de ataque y por qué es necesario complementar la verificación de identidad con controles contextuales en tiempo real: Verizon DBIR.
La solución práctica que va más allá de la verificación puntual pasa por unir identidad y salud del dispositivo en decisiones continuas de acceso. La verificación continua del dispositivo obliga a que el acceso dependa no sólo de quién se autentica, sino desde qué se autentica y en qué estado operativo se encuentra ese dispositivo. Tecnologías como la evaluación continua de acceso (Continuous Access Evaluation) permiten revocar o ajustar privilegios mientras la sesión está activa: más sobre CAE.
Esto tiene implicaciones concretas para los equipos de seguridad: las políticas de acceso deben ser capaces de distinguir entre un endpoint corporativo gestionado y uno personal o comprometido, deben integrar señales de EDR/MDM con el sistema de identidad, y deben aplicar controles proporcionales que eviten bloqueos innecesarios sin renunciar a la seguridad. Atacar este problema exige integración entre identidad y endpoint, así como automatización para reaccionar en tiempo real.
No todo es tecnológico: hay costes y retos operativos. Vigilar continuamente el estado de dispositivos plantea preocupaciones privacy/legales en entornos BYOD y requiere procesos claros de consentimiento y límites de telemetría. Además, muchas aplicaciones legacy no soportan mecanismos modernos de control de sesión, lo que obliga a estrategias híbridas que incluyan segmentación de red, microsegmentación y reducción del uso de protocolos inseguros.
Para los equipos de seguridad que deben priorizar acciones hoy, las recomendaciones prácticas incluyen inventariar aplicaciones críticas y sus vectores de acceso, desplegar pruebas pilotos de verificación continua en un subconjunto controlado de usuarios, exigir autenticadores resistentes al phishing (FIDO2/WebAuthn) cuando sea posible, acortar la vida útil de tokens privilegiados y conectar señales de EDR/MDM al motor de decisiones de acceso para habilitar respuestas automatizadas ante degradación de la postura del endpoint.
En resumen, la identidad sigue siendo necesaria pero ya no suficiente. La defensa moderna requiere que la decisión de permitir o limitar acceso combine quién, cómo y desde qué se conecta el usuario, y que esa decisión sea reevaluable durante toda la sesión. Quienes adopten un modelo que integre identidad y verificación continua del dispositivo reducirán significativamente el valor operativo de credenciales robadas y tokens interceptados, dificultando la vida de los atacantes profesionales.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...