Las credenciales robadas siguen siendo una de las puertas más utilizadas por los atacantes para entrar en redes corporativas: según el último informe de Verizon, representan una proporción significativa de los vectores de acceso inicial conocidos (ver datos en el DBIR). Esa realidad no es sorpresa para nadie que trabaje en seguridad: el verdadero problema no es sólo que las credenciales se pierdan, sino que, una vez dentro, la arquitectura tradicional suele entregar permisos demasiado amplios y una visibilidad fragmentada, lo que permite a los intrusos moverse y escalar privilegios con relativa libertad.
En teoría, la filosofía Zero Trust —que parte de la premisa de no otorgar confianza implícita a ninguna identidad o dispositivo— debería cortar de raíz este tipo de ataques. En la práctica, sin embargo, muchas organizaciones confunden adoptar “controles Zero Trust” con implantar una estrategia de identidad coherente. Cuando las medidas se despliegan como elementos aislados —un MFA aquí, un firewall allá— aparecen huecos entre ellas que los adversarios explotan. Para que Zero Trust funcione de forma real y sostenible, la identidad debe ser el eje central: gobernada con rigor, validada de forma continuada y visible en toda la pila tecnológica.
Aplicar Zero Trust con la identidad en el centro implica transformar cómo se conciben los accesos, no sólo sumar nuevas herramientas. En lugar de asumir que una sesión autenticada equivale a permiso para moverse libremente, hay que descomponer cada petición de acceso en comprobaciones sobre quién solicita, desde qué dispositivo, en qué contexto y durante cuánto tiempo. Este cambio de paradigma reduce la superficie de ataque y limita el impacto de credenciales comprometidas.
Uno de los pilares concretos es la aplicación estricta del principio de menor privilegio. En muchas empresas los permisos crecen como por arte de magia: cambios de puesto, proyectos temporales y accesos olvidados hacen que cuentas legítimas acumulen derechos que ya no necesitan. Si un atacante compromete una de esas cuentas, hereda esa sobrecapacidad. Limitar los accesos a lo estrictamente necesario y otorgar privilegios de forma temporal y just-in-time reduce drásticamente el daño potencial y hace que la exploración interna sea mucho más costosa para el atacante.
La autenticación también debe dejar de ser un evento puntual. Técnicas como el secuestro de sesiones y el robo de tokens permiten a un intruso sortear los controles iniciales y operar como si fuera un usuario válido. Por ello es cada vez más necesario implantar mecanismos de autenticación continuada y context-aware que consideren la salud del dispositivo, la geolocalización, el comportamiento habitual del usuario y otros factores de riesgo en tiempo real. Atar identidades a dispositivos de confianza y comprobar la conformidad del endpoint antes de permitir acceso es una barrera adicional que dificulta el abuso de credenciales robadas. Herramientas y enfoques que integran verificación de postura del dispositivo ayudan a automatizar esas decisiones y a mitigar el riesgo de acceso desde entornos no controlados.
Otra pieza esencial es limitar el movimiento lateral dentro de la red. Zero Trust no solo restringe el acceso inicial, sino que exige una verificación para cada salto: segmentación granular, microsegmentación y políticas que exijan reautenticación o escalado de verificación cuando se intenta acceder a recursos sensibles. Esta contención transforma incidentes que podían haberse convertido en brechas corporativas en sucesos aislados y manejables, reduciendo el tiempo y el coste de la respuesta.
El trabajo remoto y el acceso de terceros han multiplicado los puntos de entrada y, con ello, los riesgos. Tratar a empleados, contratistas y partners como “confiables por defecto” ya no es viable. Zero Trust propone tratar cada usuario y dispositivo como no confiable hasta que demuestre lo contrario: acceso condicionado por identidad verificada, postura del dispositivo y contexto. Eso permite aplicar controles consistentes independientemente de si alguien se conecta desde la oficina, desde su casa o desde un proveedor, y revocar privilegios de forma inmediata cuando cambian las condiciones.
La complejidad crece cuando los entornos se extienden por múltiples nubes, sistemas heredados y aplicaciones SaaS. Por eso es crítico centralizar la gobernanza y el monitoreo de identidades. Un panel único para políticas de acceso, revisiones de permisos, eventos de autenticación y análisis de comportamiento permite detectar patrones anómalos y responder con rapidez. La automatización en el ciclo de vida de las identidades —provisión, cambios de rol y desprovisión— reduce la acumulación de permisos innecesarios y las ventanas de exposición.
¿Cómo empezar sin paralizar la organización? El camino hacia Zero Trust es gradual y práctico. Muchos equipos obtienen beneficios inmediatos priorizando controles de alto impacto: introducir mecanismos de autenticación resistentes al phishing y verificar la salud de los dispositivos suele ser un punto de partida con retorno claro. A partir de ahí, conviene implantar acceso temporal a privilegios, auditorías periódicas de derechos, y una capa de visibilidad que correlacione eventos de identidad con la telemetría de red y endpoints.
Si busca referencias técnicas y marcos de trabajo reconocidos, la guía de NIST sobre Zero Trust Architecture ofrece un marco conceptual sólido (NIST SP 800-207), Microsoft publica material práctico y guías para trasladar Zero Trust a entornos reales (documentación de Microsoft), y la Agencia de Seguridad Cibernética de EE. UU. (CISA) proporciona recomendaciones sobre la adopción de autenticación multifactor resistente al phishing (guía de CISA). Para comprender las técnicas de secuestro de sesiones y robo de tokens conviene revisar recursos de OWASP sobre gestión de sesiones (OWASP Session Management).
Existen proveedores que ofrecen herramientas concretas para algunos de estos retos —por ejemplo, soluciones que integran verificación de dispositivo con políticas de acceso basadas en identidad— y pueden facilitar la implementación. Si bien la tecnología ayuda, el éxito depende de diseño, gobernanza y procesos: automatizar el ciclo de vida de las identidades, definir métricas de control y realizar revisiones periódicas son pasos imprescindibles para que Zero Trust deje de ser una colección de controles y se convierta en una estrategia efectiva centrada en la identidad.
Al final del día, proteger identidades no es una opción técnica aislada: es una transformación que requiere coordinación entre seguridad, operaciones y negocio. Empezar por controles de alto impacto, medir resultados y evolucionar hacia políticas más sofisticadas y automatizadas permite reducir rápidamente la superficie de ataque y convertir las credenciales robadas en una amenaza mucho menos peligrosa.
Si busca ejemplos concretos o demostraciones de soluciones que combinan verificación de dispositivo y control de identidades, puede consultar proveedores especializados y comparar enfoques antes de diseñar una hoja de ruta propia. Informarse con fuentes oficiales y marcos reconocidos ayuda a evitar improvisaciones que generan falsas sensaciones de seguridad.
Fuentes y lecturas recomendadas: informe de Verizon DBIR https://www.verizon.com/business/en-gb/resources/reports/dbir/, NIST SP 800-207 https://www.nist.gov/publications/zero-trust-architecture, guía Zero Trust de Microsoft https://learn.microsoft.com/en-us/security/zero-trust/, recomendaciones de CISA sobre MFA https://www.cisa.gov/publication/implementing-multi-factor-authentication y OWASP sobre gestión de sesiones https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet.html. Para información sobre soluciones que unen identidad y verificación de dispositivos, puede explorar recursos de proveedores especializados como Specops y comparar con otras ofertas del mercado.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...