Los ataques basados en identidad son ya la principal causa de incidentes cibernéticos a nivel mundial. Al utilizar credenciales comprometidas para acceder a sistemas corporativos, se han convertido en una de las amenazas más comunes y peligrosas. De acuerdo con datos del equipo Sophos X-Ops, el número de contraseñas robadas a la venta en la dark web aumentó 106% entre junio de 2024 y junio de 2025. Eso refleja el crecimiento sostenido de este tipo de ataques.
El Sophos Active Adversary Report revela además que las credenciales comprometidas fueron la causa raíz en el 56% de los ataques investigados por el equipo de respuesta a incidentes de la compañía, por segundo año consecutivo. En la mayoría de los casos, los atacantes iniciaron sesión en servicios remotos externos con cuentas válidas. Así evitaron ser detectados por herramientas tradicionales de seguridad.
«El trabajo remoto y los entornos en la nube han ampliado la superficie de ataque, generando nuevas oportunidades para los ciberdelincuentes. Los sistemas de gestión de identidad y acceso de las empresas son cada vez más complejos y con políticas en constante cambio. Eso abre brechas que los atacantes aprovechan para infiltrarse», explicó Rob Harrison, vicepresidente senior de gestión de producto en Sophos.
Detectar las credenciales comprometidas
Como respuesta a esta tendencia, Sophos desarrolló Identity Threat Detection and Response (ITDR). Es una innovación de ciberseguridad que permite detectar credenciales comprometidas, identificar comportamientos anómalos de usuarios y responder con mayor rapidez ante posibles intrusiones.
El desarrollo tiene la capacidad de realizar más de 80 verificaciones de identidad en la nube. Está impulsada por inteligencia artificial y está diseñada para proteger frente a todas las técnicas conocidas de acceso a contraseñas del marco MITRE ATT&CK. Entre los ataques que detecta se encuentran kerberoasting (robo de credenciales de cuentas de servicio); escalamiento de privilegios (cuando un atacante obtiene permisos de administrador); fuerza bruta, y password spraying (intentos masivos de adivinar contraseñas). También detecta como movimiento lateral, una técnica utilizada para desplazarse dentro de la red y acceder a otros sistemas.
Asimismo, ofrece acciones automáticas de remediación, como el bloqueo de cuentas, restablecimiento de contraseñas, actualización de autenticación multifactor y revocación de sesiones. Eso ayuda a reducir el tiempo de respuesta y contener incidentes de manera más efectiva.
Sophos advierte que la identidad digital se ha convertido en la nueva primera línea de defensa cibernética. La visibilidad sobre cómo se crean, usan y protegen las credenciales será clave para frenar el crecimiento de este tipo de ataques en 2026.
