El 85% de alertas ya están vinculadas a credenciales comprometidas

Durante años, la principal preocupación de los departamentos de TI era el blindaje perimetral frente a vulnerabilidades de software altamente sofisticadas. Sin embargo, los datos más recientes revelan que el ciberdelincuente ya no necesita derribar las defensas técnicas tradicionales; hoy en día, simplemente inicia sesión empleando credenciales comprometidas que han sido filtradas en la red.

Según los datos recopilados por SonicWall en su reciente Cyber Protect Report, el 85% de las alertas de seguridad accionables que se detectan están directamente ligadas a identidades vulneradas, entornos en la nube y el robo de información de acceso. Esta alarmante tendencia está obligando a las pequeñas y medianas empresas (pymes) a replantear por completo sus estrategias de protección ante un entorno de amenazas que explota, principalmente, el factor humano y los accesos excesivos.

El engaño de la herramienta: el riesgo de la fragmentación

Para los expertos del sector, el diagnóstico es contundente: el mayor peligro actual para el tejido empresarial no radica en la escasez de herramientas de protección en el mercado, sino en la falta de control y la nula segmentación de los accesos dentro de las propias organizaciones. Muchas compañías han adoptado un enfoque fragmentado, adquiriendo soluciones de seguridad de forma aislada que no logran comunicarse ni coordinarse entre sí.

Sergio Martínez, country manager de Iberia e Italia de SonicWall, explica la gravedad de este escenario. En su opinión, «muchas empresas siguen abordando la seguridad desde un enfoque fragmentado, basado en soluciones aisladas que no siempre trabajan de forma coordinada. En un entorno donde los atacantes utilizan habitualmente credenciales comprometidas para entrar sin levantar sospechas, esta falta de integración se ha convertido en uno de los principales riesgos para las pymes».

El directivo enfatiza un cambio de paradigma crucial para la supervivencia corporativa: el éxito real en la ciberseguridad no se determina por el volumen de herramientas que una empresa tenga desplegadas en su infraestructura, sino por su capacidad inherente de mantener el negocio operativo y mitigar los daños cuando ocurre un incidente.

Los vectores de ataque más comunes

La suplantación de la identidad digital se ha consolidado como la vía de entrada predilecta por los ciberdelincuentes. Al utilizar cuentas legítimas que han sido previamente vulneradas, los atacantes logran pasar desapercibidos ante los sistemas de monitoreo tradicionales. El uso de credenciales comprometidas se nutre principalmente de las siguientes tácticas recurrentes observadas en el último año:

• Robo de claves y malware especializado: Programas diseñados específicamente para extraer contraseñas y datos de acceso de los usuarios.
• Campañas de phishing: Estrategias de ingeniería social orientadas a engañar a los empleados para que entreguen de forma voluntaria sus claves de acceso.
• Compromiso del correo electrónico empresarial (BEC): Interceptación y suplantación de comunicaciones corporativas para desviar fondos o robar información crítica.
• Accesos remotos excesivos: Otorgamiento de permisos innecesariamente amplios a usuarios o dispositivos que no los requieren para sus labores diarias.

Ante esta realidad, la prioridad ya no puede ser exclusivamente evitar la intrusión a toda costa. Las organizaciones deben asumir como un hecho inevitable que, en algún momento, sus defensas serán superadas. Por tanto, el diseño de la seguridad actual debe enfocarse en contener el impacto de dicha brecha de forma inmediata.

El peligro de las VPN tradicionales y la necesidad de segmentar

Uno de los puntos débiles más críticos identificados en las infraestructuras de las pymes es la dependencia continua de modelos de acceso remoto tradicionales basados en redes virtuales privadas (VPN). Bajo este esquema obsoleto, una vez que un usuario logra autenticarse, el sistema le concede una visibilidad y un control sumamente amplios sobre toda la red corporativa.

En un contexto donde el uso de credenciales comprometidas es masivo, recurrir a las VPN tradicionales incrementa de forma exponencial el riesgo de propagación de los ataques. Si un ciberdelincuente se hace con las claves de un empleado, obtiene automáticamente «las llaves del reino», facilitando el movimiento lateral dentro de los servidores de la empresa.

Paradójicamente, muchas organizaciones ya cuentan con capacidades avanzadas de protección integradas en sus plataformas de productividad y colaboración cotidianas —tales como la autenticación multifactorial (MFA), el filtrado de correo electrónico o la protección básica de endpoints. Sin embargo, el informe advierte que estas funciones suelen implementarse de manera parcial o sin una estrategia coordinada de acceso e identidad, lo que termina generando puntos ciegos aprovechables por los delincuentes.

Hacia una arquitectura coherente y la resiliencia operativa

Para solucionar estas deficiencias, los expertos de la multinacional recomiendan migrar hacia una arquitectura coherente y simplificada. Lejos de requerir inversiones multimillonarias o infraestructuras tecnológicas extremadamente complejas, las pequeñas empresas necesitan sistemas capaces de limitar el movimiento lateral, reducir el área de exposición y acelerar los tiempos de recuperación frente a incidentes provocados por credenciales comprometidas.

Una de las grandes ventajas de diseñar una estructura de seguridad más sencilla y consistente es el impacto directo en el comportamiento de los empleados. Al simplificarse la experiencia de usuario y reducirse la complejidad para los equipos de TI, aumentan significativamente las probabilidades de cumplimiento de las normas de seguridad por parte del personal, disminuyendo la necesidad de otorgar excepciones o de habilitar accesos inseguros por mera comodidad operativa.

La estrategia recomendada pasa por la adopción de un modelo de seguridad por capas. Este enfoque debe integrar de manera nativa la protección de los dispositivos finales (endpoints), la seguridad del correo electrónico, la autenticación multifactorial y, de manera primordial, planes sólidos de recuperación operativa. Nuevamente, la clave del éxito radica en garantizar que todas estas soluciones trabajen de forma plenamente coordinada y cooperativa.