Ataques de identidad 2026: por qué los hackers ya no irrumpen, sino que inician sesión

3 min de lectura

El 75 por ciento de todos los incidentes de seguridad en 2026 se basan en identidades robadas, no en exploits técnicos. Un 50 por ciento más de credenciales comprometidas en el segundo semestre de 2025 en comparación con el año anterior. Los hackers ya no irrumpen. Inician sesión. El cambio de paradigma de la seguridad perimetral a la seguridad de identidad ya no es una predicción. Es una realidad.

En resumen

🔒 El 75 por ciento de todas las violaciones de seguridad en 2026 se producen mediante identidades robadas. Los atacantes inician sesión en lugar de irrumpir (Cloudflare, 2026).
📈 Un 50 por ciento más de credenciales comprometidas en el segundo semestre de 2025 frente al mismo periodo del año anterior.
⚠️ El 97 por ciento de los ataques basados en identidad utilizan contraseñas como vector de entrada.
🛡️ La autenticación multifactor (MFA) por sí sola ya no es suficiente: el phishing AiTM (Adversario en el Medio) elude sistemáticamente la MFA.
🔧 Solución: autenticación sin contraseña (Passkeys, FIDO2), verificación continua y detección y respuesta a amenazas de identidad (ITDR).

Por qué las identidades son ahora el nuevo campo de batalla

El informe de Cloudflare de 2026 es claro: tres de cada cuatro incidentes de seguridad comienzan con una identidad comprometida. No con un desbordamiento de búfer, ni con una vulnerabilidad de día cero, sino con credenciales válidas que han caído en manos equivocadas. La tendencia se ha acelerado en los últimos dos años. En el segundo semestre de 2025 se comprometieron un 50 por ciento más de credenciales que en el mismo periodo de 2024.

Heise tituló recientemente: «Login as a Weapon». La expresión define perfectamente la situación. Un atacante con credenciales válidas parece para los sistemas de seguridad un usuario legítimo. No activa alarmas, atraviesa firewalls y segmentación de red, y accede a datos sensibles. Solo cuando escala lateralmente o exfiltra datos se vuelve visible. A menudo, demasiado tarde.

La actual campaña de Microsoft Teams con el A0Backdoor ilustra este patrón: el acceso inicial se logra mediante ingeniería social, no mediante un exploit. Los atacantes aprovechan la confianza, no las vulnerabilidades.

75 %

de todas las violaciones a través de identidades

+50 %

más credenciales comprometidas (H2 2025)

97 %

utilizan contraseñas como punto de entrada

Fuentes: Cloudflare 2026, Heise Online (marzo 2026)

Por qué la MFA ya no es suficiente

Durante años, la autenticación multifactor (MFA) fue la respuesta estándar al robo de credenciales. Pero 2025 y 2026 demuestran: la MFA ya no es una barrera protectora, sino un obstáculo que los atacantes organizados sortean sistemáticamente. La herramienta se llama phishing AiTM (Adversario en el Medio).

En un ataque AiTM, el atacante se interpone entre el usuario y el servidor de autenticación. El usuario introduce su contraseña y el segundo factor, pero en lugar de llegar al servidor real, los datos van al atacante. Este obtiene las cookies de sesión y queda autenticado. Para el servidor, todo parece normal.

El kit de phishing EvilProxy ha industrializado los ataques AiTM. Está disponible como servicio, no requiere experiencia técnica y se utiliza activamente contra entornos Microsoft 365. Las industrias reguladas, que dependen de la MFA como control principal, deben revisar esta suposición.

„La transición de ataques basados en red a ataques basados en identidad es el cambio más significativo en el panorama de amenazas desde la aparición del ransomware.»
Informe de Seguridad de Cloudflare 2026, Resumen Ejecutivo

El camino hacia la autenticación sin contraseña: Passkeys y FIDO2

La respuesta a los ataques basados en identidad ya no es reforzar la MFA, sino eliminar el vector de ataque en sí: la contraseña. La autenticación sin contraseña mediante Passkeys y FIDO2 hace técnicamente imposible el robo de credenciales, porque ya no existen credenciales transferibles.

Las Passkeys utilizan criptografía asimétrica: la clave privada nunca abandona el dispositivo. Incluso en un ataque de phishing, no hay nada que interceptar que el atacante pueda reutilizar. Google, Microsoft y Apple han integrado de forma nativa el soporte para Passkeys en sus sistemas operativos desde 2024.

Para las empresas, el cambio conlleva esfuerzo: los proveedores de identidad deben soportar FIDO2, los dispositivos finales deben ser compatibles y los empleados necesitan formación. Pero el retorno de la inversión es claro: si el 97 por ciento de los ataques basados en identidad utilizan contraseñas, la autenticación sin contraseña elimina el 97 por ciento del vector de ataque.

ITDR: la nueva categoría de seguridad de identidad

Junto con la autenticación sin contraseña, surge una nueva categoría de producto: Detección y Respuesta a Amenazas de Identidad (ITDR). Las soluciones ITDR no monitorean tráfico de red, sino el comportamiento de las identidades. Detectan anomalías como: un usuario que inicia sesión simultáneamente desde dos países; una cuenta de servicio que de repente accede a datos que nunca antes consultó; o un inicio de sesión desde un dispositivo desconocido a una hora inusual.

Gartner pronostica que el ITDR se convertirá en un módulo obligatorio en cada arquitectura de seguridad empresarial antes de 2027. El desafío: el ITDR es tan bueno como la calidad de los datos de los sistemas de identidad. Quien no haya endurecido su Active Directory no obtendrá señales limpias ni con ITDR.

5 medidas inmediatas para los equipos de seguridad

Planificar la implementación de Passkeys: verificar si el proveedor de identidad (Entra ID, Okta, Ping) soporta FIDO2/Passkeys. Definir un grupo piloto. Objetivo: eliminar contraseñas para cuentas privilegiadas antes del tercer trimestre de 2026.
Imponer MFA resistente a AiTM: métodos de MFA resistentes al phishing (FIDO2, Windows Hello) obligatorios para todas las cuentas de administrador y de alto nivel. Los códigos OTP por SMS o aplicaciones no son resistentes a AiTM.
Implementar higiene de tokens de sesión: reducir la duración de los tokens, endurecer las políticas de acceso condicional (geolocalización, cumplimiento del dispositivo, basadas en riesgo) y activar la evaluación continua del acceso.
Evaluar ITDR: comprobar si la arquitectura de seguridad actual detecta anomalías basadas en identidad. Si no es así: evaluar soluciones ITDR (CrowdStrike, Microsoft Defender for Identity, SentinelOne).
Monitorear la exposición de credenciales: implementar monitoreo de la deep web para detectar credenciales corporativas comprometidas. Revisión periódica de los dominios propios frente a bases de datos de violaciones (Have I Been Pwned, SpyCloud).

Conclusión: el firewall del futuro es la identidad

El cambio de paradigma ya se ha producido. El firewall perimetral ya no protege cuando el atacante inicia sesión con credenciales válidas. La respuesta es triple: las Passkeys eliminan el vector de ataque, la MFA resistente a AiTM protege durante la transición, y el ITDR detecta a los atacantes que logran pasar. Los equipos de seguridad que en 2026 sigan invirtiendo principalmente en seguridad de red, estarán invirtiendo en el frente equivocado.

Preguntas frecuentes

¿Qué son exactamente los ataques basados en identidad?

Ataques que utilizan credenciales robadas o comprometidas (nombre de usuario + contraseña, tokens de sesión, claves de API) para hacerse pasar por un usuario legítimo. A diferencia de los exploits técnicos (desbordamiento de búfer, inyección SQL), no se aprovecha ninguna vulnerabilidad del software, sino que se abusa de la confianza del sistema de autenticación.

¿Por qué la MFA ya no basta contra el phishing?

El phishing AiTM (Adversario en el Medio) interpone un proxy entre el usuario y el servidor de autenticación. El usuario introduce su contraseña y el segundo factor, y el atacante intercepta las cookies de sesión. Resultado: el atacante queda completamente autenticado, a pesar de la MFA. Solo los métodos resistentes al phishing (FIDO2, Passkeys) son inmunes.

¿Qué son las Passkeys y por qué son más seguras?

Las Passkeys utilizan criptografía asimétrica: la clave privada permanece en el dispositivo del usuario y nunca lo abandona. En el inicio de sesión, se crea una prueba criptográfica, sin que se transfiera ninguna contraseña. Incluso en un ataque de phishing, no hay nada que interceptar que el atacante pueda reutilizar.

¿Qué es el ITDR?

Detección y Respuesta a Amenazas de Identidad (ITDR) es una nueva categoría de soluciones de seguridad que detecta anomalías en el comportamiento de identidad: inicios de sesión simultáneos desde distintos países, horarios de acceso inusuales, ampliaciones repentinas de permisos. El ITDR complementa EDR y SIEM con la dimensión de identidad.

¿Qué sectores están especialmente en riesgo?

Las instituciones financieras y las organizaciones sanitarias son los principales objetivos de los ataques basados en identidad, porque gestionan datos altamente sensibles y utilizan Microsoft 365 de forma generalizada. Pero cualquier organización con más de 100 empleados y servicios en la nube es un objetivo potencial.

Recomendaciones de lectura del equipo editorial

Ataque a través de Microsoft Teams: A0Backdoor – Ejemplo actual de ataques basados en identidad (SecurityToday)
Endurecer Active Directory: 5 medidas inmediatas – Base para la seguridad de identidad (SecurityToday)
Identidad cloud-native: OAuth 2.1 y Passkeys – Profundidad técnica (cloudmagazin)

Más contenido de la red MBF Media

CIOs bajo presión: crisis de gobernanza de IA – Liderazgo TI y gestión de riesgos (Digital Chiefs)
Paradoja de la IA en Alemania: estudio de Deloitte – Inversiones sin transformación (MyBusinessFuture)

Fuente de imagen: Tima Miroshnichenko / Pexels

Imprimir artículo

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow

También disponible en

Français English Deutsch