El 85% de las alertas de seguridad actuales están vinculadas a identidades, nube y credenciales

Introducción

En el panorama actual de la ciberseguridad, la gestión y protección de identidades digitales y credenciales se han posicionado como focos prioritarios para los equipos de defensa. Así lo revela el Cyber Protect Report 2026 de SonicWall, que destaca cómo la superficie de ataque ha evolucionado, desplazando la tradicional preocupación por la infraestructura hacia el ámbito de los accesos y la nube. El informe, basado en el análisis de millones de alertas y eventos de seguridad a nivel global, cuantifica que el 85% de las alertas de seguridad están directamente relacionadas con identidades digitales, entornos cloud y credenciales comprometidas. Este fenómeno refleja una tendencia global que obliga a replantear las estrategias de protección, especialmente en el contexto de la adopción masiva de servicios en la nube y el teletrabajo.

Contexto del Incidente o Vulnerabilidad

El auge de la computación en la nube y la proliferación de servicios SaaS han incrementado exponencialmente la dependencia de credenciales de acceso y sistemas de gestión de identidad (IAM). Entre las principales motivaciones de los atacantes se encuentra el secuestro de cuentas (Account Takeover, ATO), el movimiento lateral a través de credenciales robadas y la explotación de debilidades en protocolos de autenticación como OAuth, SAML o el uso inadecuado de tokens JWT. Sectores como finanzas, administración pública y salud han reportado tasas superiores al 70% de incidentes relacionados con identidades, lo que sugiere una tendencia transversal independientemente del sector.

Detalles Técnicos

El informe de SonicWall identifica una serie de vectores de ataque predominantes en los incidentes reportados:

– **Phishing avanzado**: El 62% de los intentos de compromiso de credenciales deriva de campañas de phishing dirigidas, con un incremento del uso de técnicas de MFA Fatigue y phishing en tiempo real.
– **Explotación de vulnerabilidades en servicios cloud**: Versiones no actualizadas de aplicaciones como Microsoft Exchange Online (CVE-2023-23397, CVE-2023-28205) y Azure AD Connect han sido explotadas mediante ataques relay o pass-the-cookie.
– **Uso de frameworks ofensivos**: Herramientas como Cobalt Strike, Metasploit y Mimikatz figuran entre las más empleadas para el reconocimiento de identidades y exfiltración de credenciales.
– **TTP según MITRE ATT&CK**: Se observan técnicas como Credential Dumping (T1003), Valid Accounts (T1078), y Abuse Elevation Control Mechanism (T1548).
– **Indicadores de compromiso (IoC)**: SonicWall ha detectado IPs asociadas a APTs que orquestan ataques desde infraestructuras cloud comprometidas, así como patrones de acceso anómalo a APIs y logs de autenticación.

Impacto y Riesgos

La materialización de estos ataques puede traducirse en accesos no autorizados a datos sensibles, despliegue de ransomware en entornos cloud, movimiento lateral y persistencia en la red corporativa. SonicWall estima que el coste medio asociado a brechas por compromiso de identidades supera los 4,5 millones de euros, alineándose con el último informe de IBM sobre el coste de las brechas de seguridad. Además, los incidentes de este tipo pueden acarrear sanciones regulatorias severas bajo el GDPR y la directiva NIS2, especialmente por exposición de datos personales y fallos en la autenticación.

Medidas de Mitigación y Recomendaciones

Para mitigar estos riesgos, SonicWall y los principales organismos de ciberseguridad recomiendan:

– **Autenticación multifactor robusta (MFA)**: Implementar métodos resistentes a ataques de phishing, como FIDO2 o tokens físicos.
– **Gestión centralizada de identidades (IAM / PAM)**: Segmentar y monitorizar los privilegios de acceso, aplicando el principio de mínimo privilegio.
– **Monitorización continua**: Emplear soluciones SIEM y UEBA para identificar patrones inusuales de acceso y movimientos laterales.
– **Actualización y hardening**: Mantener actualizados todos los componentes cloud y on-premises, deshabilitar protocolos inseguros (NTLM, Basic Auth).
– **Formación y concienciación**: Capacitar a los empleados en la detección de intentos de phishing y buenas prácticas de gestión de credenciales.

Opinión de Expertos

Especialistas como José Ramón Palanco, CISO de un banco español, advierten: “La gestión de identidades ya no es opcional; los atacantes buscan el eslabón más débil y hoy ese es el usuario y sus credenciales”. Por su parte, el analista de amenazas de S21sec, Ana Martínez, señala que “hemos detectado campañas de APT que aprovechan la federación de identidades en multinube para escalar privilegios y persistir en entornos híbridos”.

Implicaciones para Empresas y Usuarios

El dato de que el 85% de las alertas están relacionadas con identidades remarca la necesidad de invertir en tecnologías de Zero Trust, reforzar las políticas de acceso y auditar periódicamente los privilegios concedidos. Para los usuarios, el uso de gestores de contraseñas, la verificación en dos pasos y la vigilancia ante correos sospechosos se convierte en crucial. Además, bajo la NIS2, las organizaciones están obligadas a reportar incidentes de seguridad en menos de 24 horas, lo que exige mecanismos de alerta y respuesta ágiles.

Conclusiones

El informe de SonicWall confirma que la batalla por la ciberseguridad se libra, cada vez más, en el terreno de la identidad y la nube. Las organizaciones deben evolucionar sus estrategias, adoptando una visión holística que incluya tecnología, procesos y formación, para mitigar un riesgo que, según las tendencias, seguirá creciendo en 2024 y más allá.

(Fuente: www.cybersecuritynews.es)