En el panorama de amenazas actual, las credenciales robadas son una de las causas más comunes de filtraciones de datos. Un informe reciente encontrado que El 61% de todas las brechas de seguridad implican el uso indebido de credenciales.Los atacantes utilizan tácticas como el phishing y el envío masivo de notificaciones push de autenticación multifactor (MFA) para engañar a los usuarios y obtener acceso. Una sola contraseña comprometida o un inicio de sesión accidental puede permitir que un atacante suplante la identidad de un usuario legítimo e infiltre la red de una organización.
Cuando era CISO en una gran empresa, presencié de primera mano cómo una sola contraseña robada podía causar estragos. En ese incidente, un atacante obtuvo las credenciales de un empleado mediante phishing y accedió silenciosamente a sistemas confidenciales durante semanas antes de ser detectado. La brecha provocó importantes tiempos de inactividad y graves problemas de cumplimiento normativo. Tras ayudar a contener los daños, trabajé con el equipo de TI de la empresa para reforzar sus controles de identidad: implementamos la autenticación multifactor (MFA) para todos los usuarios, reforzamos las políticas de cuentas de administrador e implementamos la monitorización continua. Esta experiencia me demostró que unas buenas prácticas de seguridad de credenciales no son solo buenas prácticas teóricas, sino salvaguardas reales contra incidentes que esperamos no volver a sufrir.
Para defenderse del abuso de credenciales, las organizaciones deberían cultivar “hábitos saludables” en seguridad de identidadEn este blog, describiré cinco hábitos de seguridad esenciales para ayudar a prevenir las filtraciones de credenciales y analizaré cómo evaluar las capacidades que respaldan cada hábito.
1. Implementar la autenticación multifactor en todas partes
Una de las defensas más efectivas contra los ataques a las credenciales es autenticación de múltiples factores (AMF)Las contraseñas robadas por sí solas a menudo no son suficientes para vulnerar una cuenta si se requiere un segundo factor (como una solicitud de una aplicación de autenticación o un token). De hecho, Microsoft observó que El 99.9% de las cuentas comprometidas no tenían habilitada la autenticación multifactor (MFA).La ausencia de MFA ha sido un factor común en muchas brechas de seguridad de alto perfil. credenciales comprometidas La falta de autenticación multifactor (MFA), junto con este factor, fue un denominador común en múltiples brechas de seguridad importantes en 2024/25..
Habilitar la autenticación multifactor (MFA) para todos los usuarios (especialmente los administradores) puede frenar la gran mayoría de los ataques oportunistas que se basan en contraseñas robadas o adivinadas.
A pesar de estos beneficios, Muchas cuentas aún carecen de protección MFA.¿Por qué? A menudo existe la idea errónea de que la autenticación multifactor (MFA) añade demasiada fricción o que «no merece la pena». Algunos equipos de TI se enfrentan a la resistencia de los usuarios o carecen del apoyo de la dirección, por lo que no tienen incentivos para imponer la MFA universal. En otros casos, las organizaciones simplemente no han extendido la MFA a ciertos sistemas o aplicaciones heredadas, dejando vulnerabilidades involuntariamente. La realidad es que, si bien la MFA básica no es infalible, detiene por completo la gran mayoría de los ataques automatizados, convirtiéndose así en una práctica fundamental para la seguridad de las credenciales.
Dicho esto, no todas las medidas de autenticación multifactor son iguales. Los atacantes explotan cada vez más estos sistemas. fatiga MFA al bombardear a los usuarios con repetidas notificaciones push (el llamado bombardeo push). Dado que las personas reciben En promedio, se reciben entre 60 y 80 notificaciones push móviles al día.Es fácil que un usuario cansado pulse accidentalmente «Aprobar» en una solicitud de inicio de sesión fraudulenta. Para evitarlo, las organizaciones deberían implementar la autenticación multifactor (MFA) resistente al phishing (como llaves de seguridad FIDO2 o notificaciones push con coincidencia numérica) y capacitar a los usuarios para que nunca aprueben solicitudes de acceso inesperadas.
También es fundamental encontrar soluciones que ayuden a su equipo a extender la protección de MFA a todos los recursos y protocolos del entorno.Esto incluye sistemas que no admiten la autenticación multifactor (MFA) de forma nativa. Por lo tanto, debe implementar la MFA no solo en aplicaciones web y en la nube, sino también en sistemas locales heredados (bases de datos, servidores de archivos, herramientas de línea de comandos, etc.) que tradicionalmente no podían aprovecharla. Al hacer que la autenticación multifactor sea ubicua y difícil de eludir, reduces drásticamente el riesgo de que una sola contraseña robada provoque una brecha de seguridad.
2. Adoptar un enfoque de Confianza Cero para la identidad
Implementar una mentalidad de “Confianza Cero” para la identidad es un hábito saludable que va de la mano con la autenticación multifactor (MFA). En un modelo de Confianza Cero, No se confía implícitamente en ningún inicio de sesión ni sesión de usuario. – incluso si el usuario se encuentra en la red interna o ya está autenticado. Cada intento de acceso se verifica continuamente en función del contexto (rol del usuario, seguridad del dispositivo, ubicación, hora, etc.) antes de conceder el acceso. Esto es vital porque las empresas modernas han disuelto los perímetros; La identidad es ahora lo nuevo superficie de ataque en ciberseguridad. Con usuarios que inician sesión desde cualquier lugar y atacantes expertos en mimetizarse con la actividad normal del usuario, es crucial “Nunca confíes, siempre verifica” cada uso de credencial.
Practicar este hábito significa aprovechar políticas de acceso condicional y monitoreo continuo para todas las cuentas. Por ejemplo, si un usuario inicia sesión repentinamente desde una ubicación inusual o un dispositivo no administrado, deberían activarse verificaciones o restricciones adicionales. Muchos incidentes de seguridad podrían prevenirse con este tipo de controles contextuales. una investigación halló que cientos de credenciales robadas seguían siendo útiles para los atacantes simplemente porque los sistemas objetivo No contaban con políticas de acceso basadas en la ubicación para bloquear los inicios de sesión desde redes no confiables..
Plataformas modernas de seguridad de identidad Supervisar continuamente cada autenticación y aplicar políticas basadas en el riesgoSi un intento de inicio de sesión se desvía del comportamiento normal o se produce en condiciones de alto riesgo, el enfoque adecuado sería exigir medidas de seguridad adicionales. autenticación (como la autenticación multifactor) o incluso bloquear el intento. Al tratar cada acceso como no confiable hasta que se demuestre lo contrario, las organizaciones pueden contener y frustrar a los atacantes que logren obtener credenciales válidas.
3. Proteja con especial cuidado las cuentas privilegiadas y de alto riesgo.
Todas las cuentas de usuario son importantes de proteger, pero cuentas privilegiadas Las cuentas de administrador, de servicio, ejecutivas, etc., merecen especial atención como práctica de seguridad saludable. Estas cuentas suelen tener amplios privilegios y, si se ven comprometidas, pueden causar graves daños. Lamentablemente, observo muchos casos en los que las cuentas de administrador u otras cuentas con altos privilegios quedaron desprotegidas. En un ejemplo reciente, una organización gubernamental sufrió una brecha de seguridad a través de la cuenta de un antiguo administrador, que conservaba elevados privilegios. y no tenía habilitada la autenticación multifactor (MFA).De manera similar, las consecuencias de una brecha de seguridad en la nube en 2024 (dirigida a clientes de Snowflake) revelaron que algunas demostraciones y cuentas de servicio Carecía de protección SSO o MFA, lo que la convertía en un blanco fácil para los atacantes. La lección es clara: Cualquier cuenta con acceso privilegiado debe estar fuertemente protegida con múltiples capas de defensa..
Por costumbre, las organizaciones deberían hacer cumplir la normativa. Seguridad de acceso privilegiado estricta (PAS) prácticas. Esto incluye el uso de cuentas de administrador dedicadas (separadas de las cuentas de uso diario). cuentas de usuario), lo que implica exigir la autenticación multifactor (MFA) en cada inicio de sesión privilegiado, limitar dónde y cuándo se pueden usar estas cuentas y auditar continuamente su actividad.
En la práctica, esto implica garantizar que las cuentas de administrador siempre se sometan a la autenticación multifactor (MFA) y a comprobaciones de políticas, incluso cuando accedan a sistemas como bases de datos o servidores remotos que normalmente no la requieren. También se pueden implementar políticas adaptativas (por ejemplo, permitir el inicio de sesión de administrador de dominio solo desde un servidor de salto reforzado o solo durante ciertas horas).
Para las cuentas con privilegios no humanos (como las cuentas de servicio que no admiten la autenticación multifactor), existe el concepto de «valla virtual», que consiste básicamente en limitar su uso a los sistemas y comportamientos previstos. Al restringir el acceso a las cuentas privilegiadas y confidenciales de esta manera, se reducen considerablemente las probabilidades de que un atacante con credenciales de administrador robadas pueda moverse libremente por el entorno.
4. Mantener una higiene de credenciales rigurosa
La higiene de las credenciales se refiere a mantenimiento regular de cuentas y contraseñas para eliminar las “vulnerabilidades fáciles” que suelen explotar los atacantes. Un estudio de caso aleccionador Un estudio de 2024 demostró por qué este hábito es tan importante: los investigadores descubrieron que El 79.7% de las cuentas utilizadas por los atacantes habían sido vulneradas años antes y nunca se les habían cambiado las contraseñas.De hecho, cientos de credenciales robadas ya en 2020 seguían siendo válidas en 2024 porque nunca se renovaron ni se desactivaron. Las credenciales descuidadas (contraseñas antiguas, inicios de sesión compartidos, cuentas inactivas) son una bomba de tiempo. Implementar buenas prácticas de seguridad implica revisarlas periódicamente. contraseñas rotativas, retirar o actualizar cualquier credencial que se sepa que está expuesta, y Deshabilitar las cuentas que ya no son necesarias.
Otro aspecto fundamental de la correcta gestión de credenciales es la prontitud. desvinculación de exempleados. Cuentas de usuario obsoletas Esos problemas que persisten después de que alguien abandona la empresa representan una puerta trasera fácil. Las encuestas han encontrado que aproximadamente La mitad de las empresas admite que las cuentas de los exempleados permanecen activas después de su salida.A veces, durante semanas o meses. No es de extrañar que un número significativo de organizaciones hayan sufrido brechas de seguridad debido a cuentas de exempleados que no se desactivaron. Acostúmbrese a desactivar o revocar el acceso inmediatamente cuando un empleado se vaya y realice auditorías periódicas en busca de cuentas inactivas en su directorio.
Un método eficaz para auditar la higiene es asegurar visibilidad continua de todas las cuentas (humanas y no humanas) y su usoLa capacidad de detectar automáticamente las cuentas de su entorno —incluidas las cuentas de servicio y los inicios de sesión inactivos— y marcar como «usuarios obsoletos» aquellos que han permanecido inactivos durante un período prolongado, ayuda a garantizar un inventario actualizado de las identidades existentes. Los equipos de seguridad pueden entonces revisar rápidamente estas cuentas y eliminarlas o aplicar políticas para bloquear cualquier intento de acceso desde ellas.
Este tipo de inventario de identidad La limpieza de credenciales es fundamental: cierra la puerta a una de las vías más fáciles que utilizan los atacantes para infiltrarse en las redes. En resumen, mantener las credenciales actualizadas, bien gestionadas y limpias limitará drásticamente las herramientas que un atacante puede aprovechar, incluso si consigue obtener algunas claves de acceso.
5. Monitorear y responder continuamente a las amenazas a la identidad.
Incluso con medidas preventivas como el MFA y una buena higiene, las organizaciones deben operar bajo la premisa de que las credenciales pueden verse comprometidas. puede Aún suceden. Por lo tanto, una postura de seguridad "sana" incluye una detección y respuesta robustas centradas en la identidad.
Las herramientas de seguridad tradicionales, como los XDR, pueden tener dificultades para detectar a un atacante que utiliza credenciales legítimas; estas acciones suelen confundirse con el comportamiento normal del usuario y pasan desapercibidas. Es fundamental adoptar hábitos de seguridad. supervisar los registros de autenticación y las actividades de los usuarios Es fundamental monitorear todos los sistemas en busca de indicios de comportamiento sospechoso y conservar los registros el tiempo suficiente para investigar los incidentes. De hecho, mantener una recopilación centralizada de registros con una política de retención adecuada se considera un requisito de seguridad básico indispensable para descubrir y analizar los ataques a las credenciales. Muchas brechas de seguridad que pasaron desapercibidas durante meses (o años) podrían haberse identificado mucho antes si las organizaciones hubieran estado recopilando los registros de auditoría de inicio de sesión y alertando sobre anomalías.
Para que este hábito sea factible, aproveche las herramientas que proporcionan Visibilidad unificada y análisis inteligente de eventos de identidad. SilverfortLa plataforma de [nombre de la empresa], por ejemplo, actúa como un cerebro centralizado que supervisa todo el tráfico de autenticación en tiempo real. Utiliza aprendizaje automático y análisis de comportamiento (UEBA) para detectar cuándo los patrones de acceso de un usuario se desvían de la norma, lo que puede indicar una cuenta comprometida. Si la cuenta de un empleado intenta repentinamente iniciar sesión en ubicaciones extrañas o intenta acceder a recursos inusuales, Silverfort Se detectará o bloqueará automáticamente dicha actividad, impidiendo que el atacante siga escalando el problema. Además, SilverfortLa consola de [nombre de la plataforma] proporciona a los equipos de seguridad una visión en vivo Inventario de identidades y registro de actividad, de modo que puedan detectar e investigar rápidamente cualquier uso sospechoso de la cuenta.
Cultivar este nivel de concienciación —y ensayar planes de respuesta ante incidentes en escenarios de filtración de credenciales— garantiza que, incluso si falla una capa defensiva, se pueda detectar y contener rápidamente la amenaza antes de que se convierta en una brecha de seguridad en toda regla.
Poner en práctica los 5 hábitos esenciales
Las filtraciones de credenciales siguen siendo una de las principales amenazas cibernéticas, pero adoptar estos cinco hábitos de seguridad puede fortalecer significativamente las defensas de su organización.
Al exigir la autenticación multifactor (MFA) de forma universal, se trata cada intento de acceso con Zero TrustAl proteger las cuentas de alto impacto, mantener limpio el repositorio de identidades y realizar un monitoreo continuo, se crean múltiples capas de protección que los atacantes deben superar.
Ninguno de estos hábitos se puede “establecer y olvidar”; requieren una dedicación constante y las herramientas adecuadas para respaldarlos.
Aquí es donde las plataformas de seguridad unificadas, centradas en la identidad, pueden marcar un antes y un después.
Están diseñados específicamente para ayudarte a integrar estas prácticas de seguridad saludables en tu entorno: Aplicar la autenticación multifactor y el acceso condicional en todas partes, proteger las cuentas privilegiadas y heredadas, detectar puntos ciegos como usuarios inactivos y vigilar continuamente las amenazas..
Al combinar hábitos sólidos y capacidades de seguridad centradas en la identidad, las empresas pueden reducir drásticamente el riesgo de filtraciones de credenciales y garantizar que una contraseña robada nunca se traduzca fácilmente en un ataque exitoso.
Para obtener más información sobre cómo incorporar estos hábitos saludables a su estrategia de ciberseguridad, descargue nuestra guía “Manual de seguridad de la identidad."