Los ataques basados en identidad, aquellos que utilizan contraseñas robadas o credenciales válidas para acceder a sistemas corporativos, se han convertido en una de las amenazas más comunes y peligrosas para las empresas. De acuerdo con datos del equipo Sophos X-Ops, el número de contraseñas robadas a la venta en la dark web aumentó 106% entre junio de 2024 y junio de 2025, lo que refleja el crecimiento sostenido de este tipo de ataques.
El Sophos Active Adversary Report revela además que las credenciales comprometidas fueron la causa raíz en el 56% de los ataques investigados por el equipo de respuesta a incidentes de la compañía, por segundo año consecutivo. En la mayoría de los casos, los atacantes iniciaron sesión en servicios remotos externos con cuentas válidas, evitando así ser detectados por herramientas tradicionales de seguridad.
“El trabajo remoto y los entornos en la nube han ampliado la superficie de ataque, generando nuevas oportunidades para los ciberdelincuentes. Los sistemas de gestión de identidad y acceso de las empresas, cada vez más complejos y con políticas en constante cambio, abren brechas que los atacantes aprovechan para infiltrarse.”, explicó Rob Harrison, vicepresidente senior de Gestión de Producto en Sophos.
Como respuesta a esta tendencia, Sophos desarrolló Identity Threat Detection and Response (ITDR), una innovación de ciberseguridad que permite detectar contraseñas comprometidas, identificar comportamientos anómalos de usuarios y responder con mayor rapidez ante posibles intrusiones.
El desarrollo de Sophos tiene la capacidad de realizar más de 80 verificaciones de identidad en la nube, utiliza detecciones impulsadas por inteligencia artificial y está diseñada para proteger frente a todas las técnicas conocidas de acceso a contraseñas del marco MITRE ATT&CK. Entre los ataques que detecta se encuentran kerberoasting (robo de credenciales de cuentas de servicio), escalamiento de privilegios (cuando un atacante obtiene permisos de administrador), fuerza bruta y password spraying (intentos masivos de adivinar contraseñas), así como movimiento lateral, una técnica utilizada para desplazarse dentro de la red y acceder a otros sistemas.
Asimismo, ofrece acciones automáticas de remediación, como el bloqueo de cuentas, restablecimiento de contraseñas, actualización de autenticación multifactor y revocación de sesiones, ayudando a reducir el tiempo de respuesta y contener incidentes de manera más efectiva.
Sophos advierte que la identidad digital se ha convertido en la nueva primera línea de defensa cibernética, y que la visibilidad sobre cómo se crean, usan y protegen las credenciales será clave para frenar el crecimiento de este tipo de ataques en 2026.
