La identidad es efectivamente el nuevo límite de la red. Hay que protegerlo a toda costa.
04 dic 2025
•
,
4 min. leer

¿Qué tienen en común M&S y Co-op Group? Además de estar entre los minoristas más reconocidos del Reino Unido, recientemente ambos fueron víctimas de una importante vulneración de ransomware. Ambos también fueron blanco de ataques vishing que obtenían contraseñas corporativas, proporcionando a sus extorsionadores un punto de apoyo crítico en la red.
Estas filtraciones relacionadas con la identidad le costaron a los dos minoristas más de £500 millones (667 millones de dólares), sin mencionar un daño reputacional y un impacto en los clientes finales incalculables. La mala noticia para las organizaciones que operan en diversos sectores verticales, incluidos los proveedores de infraestructura crítica, es que son sólo la punta del iceberg.
Por qué es importante la identidad
¿Por qué la identidad se ha convertido en un vector de ataque tan popular? Parte de esto se debe a la forma en que trabajan las empresas hoy en día. Hubo un tiempo en el que todos los recursos corporativos estaban ubicados de forma segura detrás de un perímetro de red y los equipos de seguridad defendían ese perímetro con una estrategia de «castillo y foso». Pero el entorno de TI actual está mucho más distribuido. La proliferación de servidores en la nube, computadoras de escritorio locales, computadoras portátiles para trabajar desde casa y dispositivos móviles significa que las viejas certezas se han evaporado.
La identidad es efectivamente el nuevo perímetro de la red, lo que hace que las credenciales sean un bien muy buscado. De acuerdo a Verizonel abuso de credenciales fue un factor en casi una cuarta parte (22%) de las filtraciones de datos el año pasado. Desafortunadamente, están en peligro de varias maneras:
- Malware ladrón de información está alcanzando proporciones epidémicas. Se puede instalar en los dispositivos de las víctimas mediante phishing, aplicaciones maliciosas, descargas automáticas, estafas en las redes sociales y más. Uno estimar afirma que el 75% (2100 millones) de los 3200 millones de credenciales robadas el año pasado fueron obtenidas a través de ladrones de información.
- Phishing, smishing y vishing sigue siendo una forma popular de recopilar credenciales, especialmente en ataques más dirigidos. A menudo, los actores de amenazas investigan al individuo al que se dirigen para mejorar sus tasas de éxito. Se cree que M&S y Co-op fueron violadas mediante ataques de vishing a su servicio de asistencia técnica de TI subcontratado.
- Violaciones de datos Apuntar a bases de datos de contraseñas en poder de organizaciones o sus subcontratistas puede ser otra fuente valiosa de credenciales para los actores de amenazas. Al igual que los ladrones de información, estos terminan en foros sobre delitos cibernéticos para su venta y uso posterior.
- Ataques de fuerza bruta utilizar herramientas automatizadas probar grandes volúmenes de credenciales hasta que una funcione. El relleno de credenciales utiliza listas de combinaciones de inicio de sesión (nombre de usuario/contraseña) previamente violadas en un gran número de cuentas. La pulverización de contraseñas hace lo mismo con una pequeña lista de contraseñas comunes. Y los ataques de diccionario utilizan contraseñas, frases y contraseñas filtradas de uso común en una sola cuenta.
No es difícil encontrar ejemplos de incidentes de seguridad catastróficos derivados de ataques basados en la identidad. Aparte de los casos de M&S y Co-op Group, está Colonial Pipeline, donde un probable ataque de fuerza bruta permitió a los actores de ransomware comprometer una única contraseña en una VPN heredada, lo que provocó una importante escasez de combustible en la costa este de Estados Unidos. Además, KNP, la empresa de logística británica se vio obligado a declararse en quiebra después de que los piratas informáticos simplemente adivinaran la contraseña de un empleado y cifraran los sistemas críticos.
Amenazas a la identidad de un vistazo
Los riesgos que plantea el compromiso de la identidad se ven amplificados por varios otros factores. El privilegio mínimo es una práctica recomendada fundamental mediante la cual las personas reciben los privilegios de acceso suficientes para desempeñar su función y nada más, a menudo durante un tiempo limitado. Lamentablemente, a menudo no se aplica correctamente, lo que da lugar a cuentas con privilegios excesivos.
El resultado es que los actores de amenazas que utilizan credenciales comprometidas pueden llegar más lejos en la organización atacada, moviéndose lateralmente y alcanzando sistemas sensibles. Esto genera un “radio de explosión” mucho mayor después de una brecha y un daño potencialmente mayor. El mismo problema también puede exacerbar el riesgo que representan personas internas maliciosas o incluso negligentes.
La expansión de la identidad es otro desafío importante. Si TI no administra adecuadamente las cuentas, las credenciales y los privilegios de sus usuarios y máquinas, inevitablemente surgen puntos ciegos de seguridad. Esto aumenta la superficie de ataque para los actores de amenazas, hace que los ataques de fuerza bruta sean más exitosos y que las cuentas con privilegios excesivos sean más probables. La llegada de agentes de inteligencia artificial y el crecimiento continuo de IoT aumentarán en gran medida la cantidad de identidades de máquinas que deben administrarse de manera centralizada.
Por último, hay que considerar la amenaza de los socios y proveedores. Eso podría significar un MSP o subcontratistas con acceso a sus sistemas corporativos, o incluso un proveedor de software. Cuanto más grandes y complejas sean sus cadenas de suministro físicas y digitales, mayor será el riesgo de que se comprometa la identidad.
Cómo mejorar la seguridad de la identidad
Un enfoque considerado y de múltiples capas para la seguridad de la identidad puede ayudar a mitigar el riesgo de un compromiso grave. Considere lo siguiente:
- Adopte un principio de privilegio mínimo y revise/modifique periódicamente estos permisos. Esto minimizará el radio de explosión de los ataques.
- Aplique privilegios mínimos con una política de contraseñas seguras y únicas para todos los empleados almacenadas en un administrador de contraseñas.
- Mejore la seguridad de las contraseñas con autenticación multifactor (MFA) para que, incluso si un pirata informático obtiene una credencial corporativa, no podrá acceder a esa cuenta. Opte por aplicaciones de autenticación o enfoques basados en claves de acceso en lugar de códigos SMS, que pueden interceptarse fácilmente.
- Practique una gestión sólida del ciclo de vida de la identidad, donde las cuentas se aprovisionan y desaprovisionan automáticamente durante la entrada y salida de empleados. Los análisis periódicos deberían identificar y eliminar cuentas inactivas que a menudo son secuestradas por actores de amenazas.
- Proteja cuentas privilegiadas con un enfoque de administración de cuentas privilegiadas (PAM) que incluye rotación automática de credenciales y acceso justo a tiempo.
- Revise la capacitación en seguridad para todos los empleados, desde el director ejecutivo hacia abajo, para asegurarse de que conozcan la importancia de la seguridad de la identidad y puedan identificar las últimas tácticas de phishing. Los ejercicios de simulación pueden ayudar con esto último.
La mayoría de las recomendaciones anteriores forman un enfoque de Confianza Cero para la ciberseguridad: uno planteado en torno a la noción de «nunca confiar, siempre verificar». Significa que cada intento de acceso (humano y máquina) está autenticado, autorizado y validado, ya sea dentro o fuera de la red. Y los sistemas y redes se monitorean continuamente para detectar actividades sospechosas.
Aquí es donde una herramienta de detección y respuesta administradas (MDR) puede agregar un valor tremendo. Un equipo de expertos las 24 horas del día, los 7 días de la semana, los 365 días del año, vigila de cerca su red y detecta rápidamente cualquier posible intrusión para poder contenerla y gestionarla. Las mejores prácticas de seguridad de identidad comienzan con una mentalidad que prioriza la prevención.


