AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

El 77% de las empresas españolas sufrió al menos cinco ataques de identidad en 2023

admin

1. Introducción

La gestión de identidades y accesos (IAM) se ha consolidado como uno de los pilares fundamentales de la ciberseguridad corporativa. No obstante, el último informe Security Landscape Report 2026, publicado por CyberArk —filial de Palo Alto Networks—, revela que las organizaciones españolas se encuentran en una posición especialmente vulnerable: el 77% de las empresas de nuestro país ha experimentado al menos cinco ataques de naturaleza relacionada con la identidad en los últimos doce meses. Este dato supera significativamente la media global y pone de manifiesto la sofisticación y frecuencia de las amenazas dirigidas a credenciales, accesos privilegiados y tokens de API.

2. Contexto del Incidente o Vulnerabilidad

El informe de CyberArk analiza la evolución de las amenazas dirigidas a la identidad digital corporativa, subrayando la creciente explotación de técnicas de phishing, vishing, robo de credenciales y secuestro de tokens/API. A diferencia de años anteriores, donde el ransomware y la explotación de vulnerabilidades en sistemas eran las principales preocupaciones, en 2023 y 2024 los adversarios han focalizado sus esfuerzos en el compromiso de identidades como vector inicial para la obtención de acceso no autorizado y movimiento lateral dentro de las organizaciones.

España destaca negativamente respecto a la media mundial: mientras el 77% de las empresas españolas reporta haber sufrido cinco o más ataques de identidad, la media global se sitúa en torno al 65%. Esto se traduce en un reto mayúsculo para CISOs y equipos de seguridad, que deben adaptar sus estrategias para proteger credenciales, accesos privilegiados y flujos de autenticación en entornos híbridos y multi-cloud.

3. Detalles Técnicos

Los ataques de identidad identificados por el informe incluyen:

– **Phishing & Vishing**: Campañas de ingeniería social que emplean correos electrónicos y llamadas telefónicas dirigidas (vishing) para engañar a empleados y conseguir credenciales. Se observa un uso intensivo de kits automatizados y servicios de phishing as-a-service (PhaaS), que reducen la barrera de entrada para atacantes menos experimentados.
– **Robo de Credenciales**: Uso de malware como infostealers (ej. RedLine, Raccoon Stealer) y técnicas de credential stuffing —aprovechando filtraciones previas— para obtener acceso a cuentas corporativas.
– **Compromiso de Accesos Privilegiados**: Explotación de vulnerabilidades en sistemas PAM (Privileged Access Management) o abuso de permisos excesivos en directorios activos y plataformas cloud (Azure AD, AWS IAM).
– **Secuestro de Tokens/API**: Captura de tokens JWT u OAuth para eludir mecanismos de autenticación multifactor (MFA) o acceder a servicios críticos a través de APIs expuestas y mal gestionadas.

En cuanto a TTPs, destacan técnicas recogidas en MITRE ATT&CK como:

– **T1078 (Valid Accounts)**
– **T1556 (Modify Authentication Process)**
– **T1557 (Adversary-in-the-Middle)**
– **T1110 (Brute Force)**
– **T1528 (Steal Application Access Token)**

Los Indicadores de Compromiso (IoC) más frecuentes incluyen direcciones IP asociadas a infraestructuras de Cobalt Strike, dominios para campañas de phishing y hashes de malware orientado al robo de credenciales.

4. Impacto y Riesgos

El impacto de estos ataques se cuantifica en múltiples niveles:

– **Interrupción Operativa**: El acceso no autorizado puede derivar en movimientos laterales, escalada de privilegios y sabotaje de activos críticos.
– **Pérdida de Datos**: El robo de credenciales favorece exfiltraciones masivas de información confidencial, afectando tanto a datos personales bajo el marco del GDPR como a secretos comerciales.
– **Costes Económicos**: El informe estima que el coste medio de una brecha por compromiso de identidad supera los 250.000 euros, sin contemplar costes derivados de sanciones regulatorias.
– **Reputación y Confianza**: La exposición reiterada a incidentes erosiona la confianza de clientes y socios, dificultando la relación comercial.

5. Medidas de Mitigación y Recomendaciones

CyberArk y los expertos del sector recomiendan acciones concretas:

– **Implementación de MFA robusto** en todos los accesos, evitando soluciones basadas solo en SMS.
– **Gestión centralizada de identidades y privilegios** mediante soluciones PAM y CIEM (Cloud Infrastructure Entitlement Management).
– **Auditoría continua** de cuentas privilegiadas y revisión periódica de permisos en sistemas on-premises y cloud.
– **Simulación de ataques de phishing/vishing** y formación continua a empleados.
– **Monitorización de logs y detección de anomalías** con SIEM y herramientas de UEBA (User and Entity Behavior Analytics).
– **Rotación frecuente de credenciales** y tokens de acceso a APIs.
– **Despliegue de honeypots y trampas de credenciales** para detectar movimientos sospechosos.

6. Opinión de Expertos

Raúl Pérez, CISO de una entidad financiera española, señala: “La sofisticación de los ataques a la identidad requiere una aproximación holística; no basta con una buena contraseña o MFA. El modelo Zero Trust y la microsegmentación se están convirtiendo en estándares de facto para resistir ataques avanzados.” Por su parte, Lourdes Martín, analista SOC, enfatiza la importancia de la visibilidad: “Sin telemetría granular y análisis de comportamiento, es imposible detectar compromisos en tiempo real.”

7. Implicaciones para Empresas y Usuarios

Las empresas españolas deben revisar urgentemente sus estrategias de IAM, priorizando la protección de identidades privilegiadas y la automatización de respuestas ante incidentes. Para usuarios, resulta crucial adoptar buenas prácticas de higiene digital y desconfiar de solicitudes de acceso no habituales o comunicaciones inesperadas.

Desde el punto de vista normativo, la tendencia al alza en ataques de identidad incrementa el riesgo de sanciones bajo el RGPD y anticipa requisitos más estrictos con la entrada en vigor de NIS2, que obligará a sectores esenciales a reforzar sus controles de acceso e incident response.

8. Conclusiones

La amenaza sobre la identidad digital corporativa se intensifica en España, situando a las organizaciones en una posición de riesgo superior a la media global. La adopción de modelos Zero Trust, la automatización de la gestión de identidades y una cultura de vigilancia continua son pasos ineludibles para mitigar el impacto de estos ataques y cumplir con la regulación vigente.

(Fuente: www.cybersecuritynews.es)