La identidad digital se ha convertido en uno de los activos más valiosos – y más atacados – en el panorama actual de la ciberseguridad. En un entorno tecnológico cada vez más distribuido, los ciberdelincuentes están centrando sus esfuerzos en el robo y abuso de credenciales como vía principal de acceso a sistemas corporativos. Según advierte ESET, compañía líder en ciberseguridad, esta tendencia está detrás de algunos de los incidentes más costosos y disruptivos de los últimos años. Casos recientes demuestran que un solo fallo en la protección de identidades puede derivar en pérdidas económicas millonarias, graves daños reputacionales y un impacto directo en clientes y operaciones.

“La identidad es, en la práctica, el nuevo perímetro de seguridad. Cuando un atacante consigue credenciales válidas, muchas defensas tradicionales dejan de ser efectivas”, explica Josep Albors, director de Investigación y Concienciación de ESET España. “Por eso es fundamental cambiar el enfoque: ya no basta con proteger la red, hay que proteger quién accede a ella, con qué permisos y en qué contexto”.

Por qué la identidad se ha convertido en un vector de ataque prioritario

El cambio en la forma de operar de las organizaciones ha incrementado exponencialmente el valor de las credenciales. Infraestructuras híbridas, servicios en la nube, múltiples dispositivos y cadenas de suministro digitales han ampliado la superficie de ataque, haciendo que las identidades – y no los sistemas – sean el eslabón más débil.

En este sentido, ESET identifica varias amenazas clave: “El malware infostealer se ha extendido de forma masiva y es responsable de la mayoría de las credenciales robadas que circulan en foros clandestinos. A ello se suman campañas de phishing, smishing y vishing cada vez más dirigidas, en las que los atacantes investigan previamente a sus víctimas para aumentar la tasa de éxito, así como brechas de datos que exponen bases de contraseñas completas. También siguen siendo habituales los ataques automatizados, como el credential stuffing, el password spraying o los ataques de diccionario, que aprovechan contraseñas débiles o reutilizadas para acceder a múltiples cuentas”, advierte Albors.

Cuando una identidad comprometida lo cambia todo

El impacto de estos ataques se ve amplificado cuando no se aplica correctamente el principio de mínimo privilegio. Cuentas con permisos excesivos permiten a los atacantes moverse lateralmente por la organización, acceder a sistemas críticos y aumentar drásticamente el alcance del daño tras una brecha. A esto se suma la proliferación descontrolada de identidades.

La compañía líder en ciberseguridad alerta de que una gestión deficiente de las cuentas de los usuarios genera puntos ciegos en la seguridad corporativa, incrementa la probabilidad de accesos no autorizados y complica la detección de actividad maliciosa. La llegada de agentes de IA y el aumento de dispositivos del IoT no hacen sino agravar este desafío, al multiplicar el número de identidades que deben gestionarse de forma centralizada, según ESET. Además, los riesgos no se limitan al perímetro interno: partners, proveedores y servicios externalizados pueden convertirse en puertas de entrada si no se gestionan adecuadamente sus accesos y privilegios.

Consejos de ESET para reforzar la seguridad de tu identidad digital

Proteger la identidad requiere un enfoque preventivo y en capas. Desde ESET recomiendan aplicar las siguientes medidas clave:

• Aplicar el principio de mínimo privilegio, asegurando que cada cuenta tenga solo los permisos estrictamente necesarios, revísandolos de forma periódica.
• Utilizar contraseñas fuertes y únicas, almacenadas en un gestor de contraseñas para evitar reutilizaciones peligrosas.
• Activar la autenticación multifactor (MFA) siempre que sea posible, priorizando apps autenticadoras o passkeys frente a códigos SMS.
• Gestionar correctamente el ciclo de vida de las cuentas, automatizando altas y bajas y eliminando accesos inactivos.
• Proteger las cuentas privilegiadas con soluciones de gestión de accesos (PAM) que incluyan rotación de credenciales y accesos just-in-time.
• Reforzar la formación en ciberseguridad, para que se pueda reconocer intentos de phishing, vishing y otras técnicas de ingeniería social.

ESET también subraya que una estrategia sólida de identidad debe complementarse con capacidades avanzadas de detección y respuesta. Los servicios de detección y respuesta gestionada (MDR) permiten contar con expertos que monitorizan la red de forma continua, detectan anomalías y ayudan a contener incidentes antes de que escalen.

“La seguridad de identidad más eficaz empieza siempre con una mentalidad de prevención”, concluye Albors. “Invertir en controles sólidos hoy puede marcar la diferencia entre un incidente contenido y una brecha con consecuencias devastadoras para la organización y sus clientes”.