En los últimos años la forma de ataque ha cambiado: ya no se trata tanto de «forzar puertas» en servidores como de aprovechar credenciales válidas para entrar y moverse con aparente normalidad. Las cuentas comprometidas y las amenazas internas son hoy el vector más frecuente y efectivo, porque permiten a los atacantes operar bajo la apariencia de usuarios legítimos. Organizaciones que dependen únicamente de medidas preventivas están empezando a entender que necesitan una visibilidad mucho más profunda de los eventos de TI para detectar actividad maliciosa antes de que cause daños irreparables.
Las técnicas sencillas pero eficaces —phishing, reutilización de contraseñas, passwords spraying o ingeniería social— se pueden automatizar y ejecutar a gran escala, lo que genera un flujo constante de intentos que puede colapsar los mejores filtros. Informes como el DBIR de Verizon muestran que el robo de credenciales sigue siendo una causa recurrente de brechas. Por eso, más allá de bloquear correos maliciosos y exigir autenticación de múltiples factores, las organizaciones necesitan saber qué ocurre en sus entornos en tiempo real.
Ahí es donde entra el concepto de detección y respuesta centrada en identidades, conocido como Identity Threat Detection & Response (ITDR). ITDR no sustituye a las medidas preventivas; las complementa proporcionando el contexto necesario para detectar movimientos sospechosos y activar una respuesta rápida. Al registrar y analizar sucesos de inicio de sesión, cambios en permisos, creación de cuentas y modificación de políticas, un sistema de ITDR ayuda a discernir entre actividad legítima y señales de alarma.
Muchos marcos de referencia de seguridad, incluido el enfoque de Zero Trust promovido por organismos como NIST, recomiendan asumir que cualquier identidad puede ser un punto de compromiso y aplicar controles continuos. Dentro de ese paradigma, la gobernanza de identidades y el registro exhaustivo de eventos son piezas clave para reducir el tiempo entre compromiso y detección, lo que limita el daño que un atacante puede causar.
Detectar anomalías implica conocer primero la «normalidad» de cada usuario: horarios habituales de trabajo, aplicaciones y recursos que consulta habitualmente, volúmenes de acceso razonables. Con ese modelo de referencia, se pueden identificar patrones atípicos, como accesos en horarios no habituales, picos de intentos de autenticación fallidos, inicios de sesión desde ubicaciones inesperadas o la aparición de cuentas administrativas fuera de procesos de alta establecidos. La técnica de usar cuentas válidas para moverse lateralmente está documentada en el marco MITRE ATT&CK como "Valid Accounts", y subraya por qué la telemetría de identidad es crucial.
La respuesta efectiva no solo requiere alertas, sino también una interfaz que permita investigar y actuar: poder filtrar eventos por sistema, tipo de suceso o usuario; trazas que muestren qué recursos fueron accedidos; y acceso sencillo a información contextual para decidir si desconectar una sesión, resetear credenciales o bloquear privilegios temporalmente. Contar con registros consolidados y herramientas de análisis acelera la investigación y reduce el tiempo de exposición.
Medidas clásicas como filtros de correo, autenticación multifactor y control de acceso por el principio de mínimo privilegio (PoLP) siguen siendo imprescindibles y deben formar la base de cualquier estrategia. Sin embargo, ninguna de estas es infalible. Organizaciones maduras combinan prevención con detección basada en identidad y gobernanza continua, de modo que no dependan únicamente de que un mecanismo evite una intrusión, sino que puedan identificar rápidamente si alguno falla.
Para equipos de TI y seguridad esto significa invertir en plataformas que integren gobernanza de identidades (gestión de roles, automatización de altas y bajas, revisiones de accesos) con auditoría de eventos y capacidades de análisis sin coste adicional por módulo o característica. Una solución unificada reduce fricciones operativas y facilita que los responsables de seguridad lleguen a conclusiones rápidas sobre la salud del entorno de identidades.
La adopción de este tipo de soluciones también tiene un beneficio cultural: obliga a las organizaciones a documentar procesos, estandarizar altas y cambios de permisos, y crear flujos de trabajo claros para responder cuando algo se considera sospechoso. Además, facilita auditorías y comprobaciones de cumplimiento al mantener un historial consultable de quién hizo qué, cuándo y desde dónde.
Si quieres profundizar en cómo articular una defensa centrada en la identidad, hay recursos útiles elaborados por la industria que pueden ayudar a diseñar la hoja de ruta: las guías sobre autenticación multifactor de CISA, los artículos y consejos de seguridad sobre identidad en el blog de Microsoft Security, y los análisis de TTPs en MITRE ATT&CK.
Si buscas una opción práctica para empezar a reunir gobernanza de identidades y auditoría de eventos en una sola plataforma, existen proveedores que ofrecen demos y recorridos personalizados para mostrar cómo se traducen estos conceptos en operaciones diarias. La clave es dejar de reaccionar y empezar a ver, correlacionar y responder antes de que el atacante complete su objetivo. Si te interesa ver un ejemplo de plataforma que integra estas capacidades, puedes consultar a Tenfold y solicitar una demostración personalizada en tenfold.software.
Artículo patrocinado y elaborado por Tenfold Software.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...