Por qué el ransomware se está convirtiendo en un problema de identidad

El ransomware basado en identidad está cambiando cómo los equipos de seguridad necesitan pensar sobre el acceso inicial. El viejo modelo mental se enfocaba fuertemente en la entrega de malware, cadenas de exploits y ejecución obvia de cargas útiles. Esos siguen importando, pero el patrón más urgente es más simple: los atacantes cada vez más entran abusando de la identidad, robando sesiones, secuestrando confianza, y luego usando acceso legítimo para moverse hacia la extorsión, interrupción o despliegue de ransomware.

Los datos apoyan este cambio. El Informe Global de Amenazas 2024 de CrowdStrike encontró que el 75% de los ataques para obtener acceso inicial fueron libres de malware — dependiendo en cambio del abuso de identidad, ingeniería social y técnicas de teclado manual. El Informe de Defensa Digital 2024 de Microsoft reportó 600 millones de ataques de identidad por día dirigidos a clientes de Microsoft. Y el Informe de Costo de una Filtración de Datos 2024 de IBM identificó las credenciales robadas como el vector de ataque inicial más común, tomando un promedio de 292 días para identificar y contener.

Eso significa que si los atacantes están iniciando sesión en lugar de irrumpir ruidosamente, la estrategia de respaldo y los controles de endpoint son solo parte de la respuesta. Los equipos de seguridad también necesitan una protección de identidad más fuerte, controles SaaS más estrictos, respuesta de tokens más rápida y mejor visibilidad operacional sobre quién se está autenticando, desde dónde y con qué nivel de confianza.

Cómo están cambiando las tácticas de ransomware

El ransomware no ha dejado de ser destructivo. Lo que está cambiando es el camino que los atacantes usan para llegar a esa etapa destructiva.

Durante años, los defensores fueron entrenados para vigilar binarios sospechosos, cargas de macros, kits de exploits y comportamiento ruidoso de malware. Esas señales aún aparecen, pero los ataques modernos están cada vez más optimizados para velocidad, escala y menor esfuerzo. Con tres cuartas partes de los intentos de acceso inicial ahora libres de malware según CrowdStrike, la economía ha cambiado. Si robar una identidad válida le da a un operador acceso más fácil que construir o comprar una ruta de intrusión más compleja, muchos elegirán la ruta de identidad.

Por eso la preparación contra ransomware ahora tiene que comenzar mucho antes en la cadena de ataque. La pregunta importante ya no es solo “¿Podemos detener el malware?” También es:

• ¿Podemos detectar sesiones robadas o reproducidas?
• ¿Podemos bloquear inicios de sesión riesgosos antes de que se abuse del privilegio?
• ¿Podemos prevenir la manipulación de flujos de trabajo del help desk y administradores?
• ¿Podemos contener el movimiento lateral basado en identidad lo suficientemente rápido para detener el despliegue?

Esta es una razón por la que los equipos de identidad, nube e respuesta a incidentes necesitan trabajar más estrechamente que hace unos años. La defensa contra ransomware está cada vez más vinculada al control de acceso, la gobernanza SaaS y el monitoreo posterior a la autenticación, no solo a la detección tradicional de endpoints.

Por qué los ataques de identidad superan al malware ruidoso

Los ataques de identidad son atractivos porque a menudo crean menos fricción para el atacante y menos ruido inmediato para el defensor.

Cuando un atacante usa una sesión real, un token válido o una ruta de recuperación de cuenta manipulada socialmente, la actividad puede mezclarse con el comportamiento empresarial normal. Eso es muy diferente a detonar malware que inmediatamente activa alarmas de endpoint o firmas de red.

Hay algunas razones por las que esto funciona tan bien.

El acceso legítimo parece legítimo

Si un atacante tiene un token de sesión activo o credenciales válidas, puede no necesitar activar las mismas defensas que detectan malware clásico. En muchos entornos, la actividad inicial parece acceso normal de usuario. IBM encontró que las brechas originadas por credenciales robadas toman en promedio 292 días para identificar y contener — más que casi cualquier otro vector de ataque — precisamente porque la actividad se mezcla.

Los entornos de nube y SaaS recompensan el control de identidad

A medida que más sistemas de negocio viven detrás de proveedores de identidad e integraciones SaaS, el acceso a la cuenta se convierte en el camino más corto hacia un impacto comercial real. Un atacante que controla la identidad correcta puede llegar al correo electrónico, portales de administración, almacenes de archivos, sistemas de clientes y herramientas de flujo de trabajo sin necesidad de soltar malware obvio primero.

El abuso posterior a la autenticación es eficiente

Una vez que se establece el acceso, los atacantes pueden moverse hacia la persistencia, escalación de privilegios, robo de datos y acción destructiva usando los mismos sistemas de confianza de los que tu organización ya depende.

Por eso el ransomware basado en identidad no es solo una variación de nicho. Es una señal de que las rutas de ataque empresarial están siguiendo la lógica de la eficiencia. Los atacantes usan las rutas que producen el mejor retorno operacional con la menor resistencia.

Sesiones robadas, phishing y abuso de help desk

Los líderes de seguridad necesitan prestar especial atención a las formas en que el abuso de identidad realmente ocurre en la práctica. Tres patrones importan más que nunca.

Sesiones robadas

El robo de sesiones es uno de los ejemplos más claros de por qué “MFA habilitado” ya no es suficiente por sí mismo. Si un atacante roba un token de sesión o cookie activa, puede eludir el paso de inicio de sesión por completo y moverse directamente a una sesión ya autenticada.

Eso es lo que hace que el robo de tokens sea tan peligroso. Se dirige a la parte del flujo de trabajo que muchas organizaciones aún monitorean de manera menos agresiva que los intentos de inicio de sesión.

Phishing AiTM y secuestro de sesiones

Las campañas de phishing de adversario en el medio hacen más que recopilar contraseñas. Pueden retransmitir la autenticación en tiempo real y capturar el material de sesión o token resultante. Esto convierte el phishing de un problema de robo de credenciales a un problema de compromiso posterior a la autenticación.

Esa distinción importa operacionalmente. Un usuario puede hacer “lo correcto” usando MFA y aún ser comprometido si el atacante secuestra exitosamente la sesión resultante.

Abuso de flujos de trabajo de help desk y soporte

Los ataques de identidad no se limitan al phishing basado en navegador. Los atacantes también abusan de personas y procesos. Los help desks, el soporte subcontratado y los flujos de trabajo de recuperación ahora son parte de la superficie de ataque. El grupo Scattered Spider (rastreado por Microsoft como Octo Tempest) demostró esto a escala — usando ingeniería social de help desks y personal de TI para obtener acceso inicial, luego escalando al despliegue de ransomware a través de objetivos empresariales importantes.

Esta es una razón por la que la defensa madura contra ransomware ahora incluye controles de seguridad alrededor de las operaciones de soporte y procesos del ciclo de vida de identidad, no solo agentes de endpoint y filtros de correo electrónico.

Cómo actualizar tus defensas contra ransomware

Si el ransomware es cada vez más impulsado por identidad, tus prioridades defensivas necesitan moverse en consecuencia.

Una estrategia moderna más fuerte incluye:

• Proteger las identidades como infraestructura crítica
• Monitorear inicios de sesión y sesiones, no solo endpoints
• Reducir privilegios y acceso permanente
• Endurecer integraciones SaaS y flujos de trabajo administrativos
• Probar la revocación de credenciales y tokens como parte de la respuesta a incidentes
• Separar la resiliencia de respaldo de la resiliencia de identidad

Demasiadas organizaciones aún planifican la respuesta al ransomware alrededor de la encriptación de archivos y operaciones de restauración solamente. Eso es necesario, pero incompleto. Si un atacante aún controla identidades de administrador, sesiones de nube o acceso privilegiado a SaaS, restaurar sistemas no elimina el riesgo real.

Un mejor modelo operativo es tratar la identidad como parte de tu capa de contención de ransomware. En la práctica, eso significa:

1. identificar las identidades de alto impacto primero
2. aplicar controles de autenticación y registro más fuertes
3. restringir las rutas de acceso privilegiado
4. vigilar el comportamiento sospechoso de sesiones
5. ensayar flujos de trabajo de bloqueo de cuentas, revocación de tokens y acceso de emergencia
6. validar que los planes de continuidad del negocio sigan funcionando durante la interrupción de identidad

Aquí es donde la disciplina arquitectónica comienza a importar. Las organizaciones con prácticas más fuertes de arquitectura Zero Trust están en una mejor posición porque ya asumen que la confianza en identidad, dispositivo, red y aplicación debe evaluarse continuamente en lugar de otorgarse una vez y olvidarse.

Dónde encaja la MFA resistente al phishing

La MFA resistente al phishing — incluyendo passkeys y autenticadores basados en FIDO — es una de las mejoras de control más claras para reducir el phishing de credenciales y las rutas de toma de control de cuentas de menor fricción. Pero no es toda la respuesta. El robo de sesiones y el abuso de tokens portadores aún importan después de que la autenticación tiene éxito, por eso el enfoque más efectivo combina autenticación resistente al phishing con acceso condicional, protecciones de tokens y privilegio mínimo.

Si tu organización está planificando un movimiento hacia passkeys, nuestra guía de despliegue empresarial de passkeys cubre los modelos de despliegue, diseño de recuperación y métricas de adopción en detalle. El punto clave para la defensa contra ransomware es que los despliegues de passkeys deberían verse como parte de la estrategia de contención, no solo como modernización de autenticación.

Métricas que los líderes de seguridad deberían vigilar

Si este es un cambio de prioridad real, tus métricas deberían reflejarlo. Los líderes de seguridad necesitan visibilidad sobre la exposición de identidad, no solo el volumen de malware.

Las medidas más útiles a menudo incluyen:

Cobertura de protección de identidad

Rastrear cuántos usuarios, administradores, contratistas y propietarios de servicios están protegidos por MFA resistente al phishing y reglas de acceso condicional más fuertes.

Reducción de identidad privilegiada

Medir cuánto privilegio permanente aún existe, cuántos roles de administrador están siempre activos y cuántas rutas de acceso de emergencia están poco probadas o débilmente gobernadas.

Señales de riesgo de sesión y token

Vigilar uso sospechoso de tokens, viaje imposible después de la autenticación, cambios riesgosos de dispositivos, invalidaciones repetidas de sesiones y eventos inusuales de consentimiento o registro.

Indicadores de abuso de help desk y recuperación

Monitorear solicitudes de restablecimiento de contraseña, patrones de restablecimiento de MFA, excepciones de recuperación y escalaciones de soporte vinculadas a cuentas privilegiadas o sensibles.

Tiempo para revocar confianza

En un incidente real, ¿cuánto tiempo toma desactivar cuentas, revocar sesiones, rotar secretos, bloquear concesiones OAuth maliciosas y eliminar acceso a través de sistemas de nube y SaaS? Ese número importa mucho más ahora de lo que solía.

Preparación entre equipos

El ransomware ya no es solo un problema de operaciones de seguridad. Los equipos de identidad, nube, endpoint y soporte todos afectan el resultado. Medir si realmente pueden ejecutar juntos bajo presión.

También ayuda vincular esto a áreas de control relacionadas. La defensa contra ransomware centrada en identidad se intersecta con la seguridad de API para entornos SaaS y con muchas integraciones, especialmente cuando las aplicaciones de terceros y los tokens amplían el radio de impacto de una cuenta comprometida.

Ejecuta una revisión de exposición de identidad antes de tu próximo ejercicio de ransomware

La conclusión más importante para 2026 es simple: la defensa contra ransomware tiene que comenzar antes de que aparezca el malware. Si los atacantes están obteniendo cada vez más apalancamiento a través de sesiones robadas, phishing, ingeniería social y abuso de identidad privilegiada, entonces la identidad ya no es un control de apoyo. Es parte del campo de batalla principal.

Los equipos de seguridad que se adapten más rápido dejarán de tratar el ransomware como solo un problema de endpoint y respaldo. Lo tratarán como un problema de identidad, acceso y resiliencia operacional también.

Un siguiente paso práctico es ejecutar una revisión de exposición de identidad antes de tu próximo ejercicio de ransomware. Mapea qué identidades importan más, qué flujos de trabajo son más fáciles de abusar, qué sesiones son más difíciles de detectar y qué rutas de recuperación son demasiado confiadas. Luego prueba si tu equipo puede revocar acceso, contener el radio de impacto y mantener el negocio funcionando bajo presión.

Obtén la Hoja de Trabajo Gratuita de Revisión de Exposición de Identidad →

Para una base más fuerte, combina esa revisión con nuestra guía de despliegue empresarial de passkeys, nuestra guía de arquitectura Zero Trust, y nuestra guía de seguridad de API para aplicaciones de IA e integraciones SaaS modernas.