Brecha de Seguridad de Identidad: Lo que Zero Trust no protege y cómo cerrarla

8 min de lectura

Zero Trust fue la promesa: no confíes en nadie, verifica todo, minimiza el radio de impacto. Pero los atacantes se han adaptado. Ya no irrumpen. Inician sesión. Con tokens de sesión robados, correos de phishing generados por IA y llamadas de deepfake, eluden por igual la MFA y las políticas Zero Trust. La brecha tiene nombre: Identity Security Gap.

En resumen

🔒 El 87 por ciento de las organizaciones sufrió al menos dos incidentes basados en identidades en los últimos 12 meses (CyberArk 2025).
⚠️ El 84 por ciento de las cuentas comprometidas tenían MFA activado. El robo de tokens de sesión evade completamente el segundo factor (Obsidian Security).
🛡️ El vishing aumentó un 442 por ciento en medio año, impulsado por la síntesis de voz mediante IA (CrowdStrike GTR 2025).
📊 Circulan 17.300 millones de cookies de sesión robadas en la dark web. Por cada infección de malware se extraen 1.861 cookies (SpyCloud 2025).
🔧 ITDR (Detección y Respuesta ante Amenazas de Identidad) cierra la brecha entre conceder acceso y detectar su mal uso.

La ilusión de la protección

Las cifras son claras. Según el informe CyberArk Identity Security Landscape Report 2025, el 87 por ciento de las organizaciones encuestadas declararon haber sufrido al menos dos incidentes exitosos basados en identidades en los últimos doce meses. El 91 por ciento tuvo al menos un incidente. Al mismo tiempo, el 87 por ciento de las grandes organizaciones ya utiliza autenticación multifactor (MFA).

Esto significa: la mayoría de las empresas son comprometidas a pesar de tener MFA, no porque no lo tengan. La pregunta ya no es si la MFA está activada. La pregunta es qué ocurre después de que un atacante haya eludido el segundo factor.

Obsidian Security ha cuantificado este punto: el 84 por ciento de las cuentas comprometidas observadas por ellos tenían MFA activado. Los atacantes no necesitaron romperla. La eludieron.

87 %

tuvieron 2+ violaciones de identidad

84 %

comprometidos a pesar de MFA

+442 %

Aumento del vishing H2 2024

Fuentes: CyberArk 2025, Obsidian Security, CrowdStrike GTR 2025

Cómo los atacantes eluden Zero Trust

Zero Trust se basa en un principio fundamental: cada acceso se verifica, independientemente de la ubicación. Esto funciona contra ataques basados en red. Pero tiene un punto ciego: cuando un atacante dispone de un token de sesión legítimo, para el sistema parece un usuario autenticado. Zero Trust no puede distinguir si la persona detrás del token es la correcta.

El robo de tokens de sesión es el bypass más eficiente. El malware infostealer como Lumma, Redline y Vidar extrae directamente las cookies de sesión del almacenamiento del navegador. No se necesita contraseña, ni se activa el prompt de MFA. El atacante importa la cookie a su navegador y queda inmediatamente autenticado. Microsoft advierte explícitamente en su Digital Defense Report 2025 sobre el robo de cookies ESTSAUTHPERSISTENT en entornos Azure y Microsoft 365.

La magnitud es enorme: SpyCloud documenta 17.300 millones de cookies de sesión robadas en la dark web. Por cada infección de malware se extraen en promedio 1.861 cookies y 44 credenciales. Solo en 2024 se exfiltraron 548 millones de credenciales mediante infostealers.

El phishing AiTM (Adversario en el medio) es el segundo vector principal. Los atacantes se interponen como proxy transparente entre el usuario y el servicio. El usuario ve la página de inicio de sesión real, introduce sus datos y completa la MFA. Pero el proxy intercepta el token de sesión. Microsoft observó en 2024 más de 10.000 ataques AiTM por mes contra usuarios de Microsoft 365. Kits de herramientas como Tycoon 2FA, EvilProxy y Evilginx están industrializando el proceso. A junio de 2025, el 88 por ciento de todos los ataques AiTM son basados en proxy.

«La comprometida de credenciales es la causa más común de violaciones de datos. Sin embargo, la importancia de la gestión de identidad y acceso (IAM) para alcanzar los objetivos de ciberseguridad suele subestimarse.»
Gartner, citado en el CyberArk CISO Guide 2026

El vector humano: 442 por ciento más vishing

Además de los bypass técnicos, crece un vector de ataque que no puede resolverse únicamente con tecnología. Según el informe global de amenazas de CrowdStrike 2025, el phishing por voz (vishing) aumentó un 442 por ciento entre el primer y segundo semestre de 2024. Este crecimiento está impulsado por la síntesis de voz mediante IA: con tres segundos de audio basta para crear un clon de voz con un 85 por ciento de similitud.

CrowdStrike documenta además que los correos de phishing generados por IA alcanzan una tasa de clics del 54 por ciento. En los correos creados por humanos, el valor es del 12 por ciento. La industrialización del ingeniería social mediante IA generativa está transformando fundamentalmente el panorama de amenazas.

Para los equipos de seguridad informática esto significa: las formaciones contra el phishing solo ayudan parcialmente, cuando la calidad de los ataques se ha cuadruplicado. Los controles técnicos deben compensar el ingeniería social, no solo complementarlo.

El punto ciego: identidades de máquina

La mayoría de las estrategias de seguridad de identidad se centran en usuarios humanos. Sin embargo, el informe CyberArk Machine Identity Report 2025 muestra que las identidades de máquina (cuentas de servicio, claves de API, certificados, identidades de cargas de trabajo) superan a las identidades humanas en una proporción de 82 a 1. Casi la mitad de ellas tienen derechos de acceso sensibles o privilegiados.

Al mismo tiempo, el 68 por ciento de las organizaciones no ha implementado controles de seguridad de identidad para sistemas de IA. El 47 por ciento no puede proteger el uso de IA oculta (shadow AI). En un mundo en el que los agentes de IA acceden cada vez más de forma autónoma a los sistemas, cada identidad de máquina sin control se convierte en una posible puerta de entrada.

82 : 1

Identidades de máquina frente a identidades humanas en las empresas

Fuente: CyberArk Machine Identity Report 2025

ITDR: La capa que faltaba

La Detección y Respuesta ante Amenazas de Identidad (ITDR) cierra la brecha que Zero Trust deja abierta. Mientras que Zero Trust regula el acceso, ITDR supervisa el comportamiento tras la autenticación. Gartner acuñó el término tras constatar que la higiene clásica de IAM, como PAM y la gobernanza de identidades, ya no es suficiente.

ITDR correlaciona en tiempo real registros de autenticación, señales del dispositivo y contexto del usuario. Si un usuario inicia sesión desde Múnich y cinco minutos después se activa una sesión desde Bucarest, ITDR detecta la contradicción. Si una cuenta de servicio accede repentinamente a recursos que nunca antes había solicitado, ITDR emite una alerta.

Microsoft presentó en julio de 2025 su estrategia ITDR e integró sus funciones en Microsoft Entra. El enfoque combina protección de tokens, evaluación de acceso condicional y detección continua de anomalías. Para empresas en la región DACH que ya utilizan Microsoft 365, este es el camino más rápido para adoptar ITDR.

Qué deberían hacer ahora los equipos de seguridad informática

1. Priorizar la protección de tokens de sesión. Token Binding y políticas de acceso condicional que vinculen los tokens al dispositivo. Duración corta de los tokens (máximo 8 horas para sistemas sensibles). Activar la evaluación continua de acceso (CAE) donde esté disponible.

2. Implementar passkeys. Las passkeys (FIDO2) son actualmente el único mecanismo de autenticación resistente al phishing. Según la FIDO Alliance 2025, el 47 por ciento de las empresas ya ha implementado passkeys empresariales. Es fundamental: eliminar todos los mecanismos de respaldo susceptibles de phishing (SMS, «olvidé mi contraseña»), de lo contrario el mecanismo de respaldo socava la seguridad.

3. Inventariar identidades de máquina. Registrar cuentas de servicio, claves de API y certificados. Revisar derechos de acceso privilegiados. Implementar rotación y gestión del ciclo de vida. 82 identidades de máquina por cada humano significa: aquí reside el mayor riesgo.

4. Implementar ITDR. Detección de anomalías basada en comportamiento para Active Directory e identidades en la nube. Correlación de registros de autenticación a través de todos los proveedores de identidad. Revocación automática de sesiones ante comportamientos sospechosos.

5. Modernizar la defensa contra ingeniería social. Con un crecimiento del vishing del 442 por ciento, las formaciones estándar ya no son suficientes. Medidas técnicas: verificación fuera de banda para solicitudes sensibles, detección automática de deepfakes en videollamadas, políticas de devolución de llamada para todas las transacciones financieras por encima de un umbral.

Conclusión: la identidad es la nueva perímetro

Zero Trust transformó la seguridad de red. Pero dejó una brecha: la propia identidad. Si el 87 por ciento de las organizaciones experimentan incidentes basados en identidades a pesar de MFA y Zero Trust, entonces la seguridad de identidad no es solo una de muchas prioridades. Es la prioridad.

La tecnología existe. Token Binding, passkeys, ITDR y gestión de identidades de máquina están disponibles. Lo que falta es la conciencia de que la protección de la identidad merece al menos tanta atención como la protección de la red. Quien hoy todavía crea que MFA es suficiente, no ha comprendido el panorama de amenazas de 2026.

Preguntas frecuentes

¿Qué es la brecha de seguridad de identidad?

La brecha entre lo que Zero Trust y MFA protegen (el acceso a la red) y lo que los atacantes realmente explotan (identidades robadas y tokens de sesión). El 84 por ciento de las cuentas comprometidas tenían MFA activado. Los atacantes lo eluden, en lugar de romperlo.

¿Por qué la MFA ya no protege de forma fiable?

Los atacantes utilizan robo de tokens de sesión (malware infostealer), phishing AiTM (proxys transparentes) e ingeniería social (vishing asistido por IA). Los tres métodos eluden la MFA porque interceptan el token tras una autenticación exitosa o inducen al usuario a revelarlo.

¿Qué es ITDR?

Detección y Respuesta ante Amenazas de Identidad. Un enfoque acuñado por Gartner que realiza análisis de comportamiento tras la autenticación. ITDR detecta cuándo se está abusando de una sesión legítima, por ejemplo, por velocidades de viaje imposibles, patrones de acceso atípicos o escalada repentina de privilegios.

¿Qué tan peligrosas son las identidades de máquina?

Las identidades de máquina (cuentas de servicio, claves de API, certificados) superan a las identidades humanas en una proporción de 82 a 1. Casi la mitad tienen derechos de acceso privilegiados. El 68 por ciento de las organizaciones no ha implementado controles de seguridad específicos para identidades de máquina.

¿Qué deberían hacer primero las empresas?

Activar protección de tokens de sesión (Token Binding, corta duración, CAE). Implementar autenticación resistente al phishing (passkeys/FIDO2) y eliminar todos los respaldos susceptibles de phishing. Inventariar identidades de máquina. Luego implementar ITDR como capa de supervisión continua.

Recomendaciones de lectura de la redacción

Más del MBF Media Network

→ Auge de la ciberseguridad: NIS2 como motor de crecimiento (MyBusinessFuture)
→ Sovereignty-Washing: Cloud Act y soberanía de datos (cloudmagazin)

Fuente de imagen: Pexels / Tima Miroshnichenko

Imprimir artículo

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow