Proteger la empresa de IA: la perspectiva de nuestro director ejecutivo sobre cómo habilitar la IA sin perder el control.
Leer el blog

Proteger la empresa de IA: la perspectiva de nuestro director ejecutivo sobre cómo habilitar la IA sin perder el control. Leer el blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
  1. Fundamentos de ciberseguridad
    >
  2. Análisis de identidad

Explicación del análisis de identidad

Información clave

  • Las señales de amenaza correlacionadas entre entornos ayudan a reducir la incertidumbre a la hora de priorizar identidades.
  • La puntuación de urgencia incorpora la importancia comercial junto con la velocidad y la sofisticación de las tácticas de ataque observadas.
  • El comportamiento observado permite analizar identidades tanto humanas como no humanas.

En esencia, el análisis de identidades utiliza el aprendizaje automático para correlacionar las señales de amenaza en la red, cloud, el SaaS y los sistemas de identidad con el fin de priorizar las identidades en función del riesgo observado.

En las operaciones de seguridad, la actividad de identidad se distribuye entre muchos sistemas, mientras que los registros de identidad estáticos rara vez muestran cómo se ejercen los privilegios en tiempo real. En lugar de basarse únicamente en las funciones asignadas, este enfoque hace hincapié en los privilegios observados y la correlación entre entornos.

¿Qué es el análisis de identidad?

El análisis de identidades evalúa el riesgo de identidad basándose en el comportamiento observado, en lugar de en atributos estáticos como los roles asignados o las entradas del directorio. Esta distinción es importante porque, durante los ataques reales, la forma en que se utiliza realmente el acceso suele diferir de cómo aparece en teoría. Al tratar las identidades como entidades activas, el análisis de identidades evalúa el riesgo en cloud, la red, el SaaS y los sistemas de identidad, en lugar de hacerlo dentro de silos aislados.

También es importante establecer límites claros. Cuando el análisis de identidad se confunde con prácticas de identidad adyacentes, los equipos pueden basarse en señales incompletas o malinterpretar la actividad de identidad. 

El análisis de identidad se confunde a menudo con:

  • Revisiones de gobernanza de identidades y accesos, que se centran en la asignación de derechos en lugar del comportamiento en tiempo real.
  • Supervisión de la autenticación, que se centra en el éxito o el fracaso del inicio de sesión sin tener en cuenta el contexto más amplio de la actividad.
  • Análisis estático de directorios, que refleja los privilegios asignados en lugar de los privilegios observados.
  • La búsqueda manual de amenazas, que normalmente no puede ampliarse al análisis continuo de miles de identidades.

Cuando el riesgo de identidad se evalúa principalmente a través de derechos, revisiones o resultados de inicio de sesión, se pueden pasar por alto señales de comportamiento críticas. 

Descubra por qué la gestión de identidades y accesos por sí sola no puede detener los ataques modernos.

¿Por qué las vistas de identidad basadas en directorios no representan los privilegios observados?

Las funciones asignadas y la pertenencia a grupos describen el acceso previsto, no el comportamiento real. Esta diferencia es importante porque los atacantes pueden hacer un uso indebido de credenciales legítimas sin provocar cambios en los datos del directorio. Por eso es importante orientar la evaluación de riesgos hacia los privilegios observados y la actividad correlacionada, en lugar de hacia registros estáticos.

Los registros estáticos, los eventos aislados y la evaluación de identidad basada en directorios suelen fallar de las siguientes maneras:

  • Tratar los privilegios asignados como equivalentes a privilegios efectivos, incluso cuando el comportamiento indica un acceso más amplio.
  • Evaluar los eventos de identidad de forma aislada en lugar de correlacionar las señales en una narrativa centrada en la identidad.
  • Utilizar el volumen de eventos como indicador de la gravedad, el aumento de la fatiga por alertas y la priorización errónea.
  • Obligar a los analistas a cambiar constantemente de herramientas y consultas para reconstruir manualmente el contexto de identidad.

Las capas analíticas clave detrás de la priorización del riesgo de identidad

La combinación de privilegios observados, correlación entre dominios y puntuación de urgencia produce una visión del riesgo centrada en la identidad. Esta estructura es importante porque el compromiso de la identidad a menudo abarca proveedores de identidad, cloud , aplicaciones SaaS y redes. Tratar estos entornos por separado fragmenta el contexto y oscurece la progresión.

Para unificar la telemetría y mejorar la priorización, el análisis de identidades se basa en un conjunto definido de capas analíticas. Cada capa aborda una limitación específica de la supervisión tradicional de identidades, y la eliminación de cualquiera de ellas debilita la interpretación del riesgo.

El análisis de identidad se basa en las siguientes capas:

  • Privilegio observado, que rastrea el comportamiento y los patrones de acceso en tiempo real en lugar de los roles asignados.
  • Correlación entre dominios, que une la actividad de identidad a través de la red, cloud, SaaS y los sistemas de identidad.
  • Puntuación de urgencia, que combina la importancia comercial con la velocidad y sofisticación de las tácticas de ataque observadas.
  • Contexto de investigación centrado en las entidades, que mantiene el análisis centrado en las identidades y los recursos con los que interactúan.

Sustitución de la suposición de confianza estática por privilegios observados

El comportamiento en tiempo real proporciona una visión más precisa del riesgo de identidad que las definiciones de roles estáticas. Esto es importante porque los atributos del directorio pueden permanecer sin cambios incluso cuando se abusa activamente de los privilegios. El seguimiento de los privilegios observados respalda una perspectiva dinámica y Zero Trust.

Para detectar desviaciones significativas, el análisis de identidad se centra en indicadores específicos basados en el comportamiento. Estos indicadores son importantes porque los cambios sutiles en el acceso suelen preceder a acciones de atacantes de mayor urgencia, e incluyen:

  • Cambios sutiles en el uso de privilegios que traspasan los límites esperados.
  • Identidades que operan con permisos excesivos en relación con las expectativas de acceso definidas.
  • Patrones de acceso en tiempo real que contradicen las funciones asignadas al directorio.

Creación de una narrativa única mediante la correlación entre dominios

Las señales dispersas por los distintos sistemas rara vez parecen concluyentes por sí solas. Vincular la actividad entre los sistemas de red, cloud, SaaS e identidad reduce la ambigüedad sobre lo que está haciendo una identidad, transformando los indicadores parciales en patrones de comportamiento coherentes.

Para ello, las soluciones de análisis de identidad vinculan de forma coherente la actividad en varios ámbitos, como:

Cómo el análisis de identidad relaciona el comportamiento de identidad con la progresión del ataque

Considerar el compromiso de la identidad como una progresión puede aclarar las decisiones de respuesta. El uso indebido en una etapa temprana se diferencia del abuso en una etapa tardía, y correlacionar el comportamiento ayuda a diferenciar ambos. Esto ayuda a reducir la incertidumbre sobre la gravedad y el momento.

Para evaluar la progresión, los analistas examinan comportamientos recurrentes que indican avance, desde el acceso hasta el control, en todos los entornos:

Para salvar esa brecha se necesitan análisis centrados en la identidad que detecten rápidamente el comportamiento real de los ataques y reduzcan la carga de investigación que recae sobre equipos que ya de por sí cuentan con recursos limitados.

Descubra cómo Vectra AI ofrece una visibilidad de las amenazas tres veces mayor con un 50 % menos de carga de trabajo →

Cómo evaluar los enfoques de análisis de identidad 

La evaluación depende de si un enfoque realmente reduce la incertidumbre y mejora la priorización. Los registros estáticos y las alertas aisladas no cumplen este requisito. Por lo tanto, el análisis eficaz de identidades se centra en el comportamiento, la correlación y la urgencia.

Una evaluación eficaz debe centrarse en si un enfoque reduce realmente la incertidumbre y mejora la priorización. Los registros estáticos y las alertas aisladas no alcanzan este objetivo. Un análisis de identidad sólido se centra en el comportamiento observado, la correlación entre entornos y la urgencia.

Unos criterios de evaluación claros ayudan a evitar errores de clasificación y fricciones operativas. También determinan si el análisis de identidades puede sustituir la unión manual de eventos por una visión coherente y centrada en la identidad.

Los enfoques de análisis de identidad pueden evaluarse utilizando los siguientes criterios:

  • ¿El enfoque se basa en privilegios observados, en lugar de roles de directorio estáticos, como base para la evaluación de riesgos?
  • ¿Correlaciona las señales de identidad entre la red, cloud, el SaaS y los sistemas de identidad, en lugar de analizarlas de forma aislada?
  • ¿La priorización se basa en la urgencia y el riesgo, más que en el volumen bruto de alertas o eventos?

Cómo la Vectra AI aplica el análisis de identidades para priorizar los riesgos de identidad en todos los entornos

Vectra AI aplica análisis de identidad correlacionando señales de amenazas a la identidad en distintos entornos para priorizar las identidades más urgentes. Esto es importante porque el compromiso de la identidad puede abarcar redes, cloud, SaaS y sistemas de identidad, y las alertas aisladas no proporcionan una visión unificada de los privilegios observados y la progresión del riesgo.

En esencia, la Vectra AI plantea el problema como una priorización centrada en la identidad, en lugar de una supervisión centrada en los eventos.

Mediante el análisis de identidades, la Vectra AI proporciona visibilidad sobre:

  • ¿Qué identidades muestran un comportamiento correlacionado entre la red, cloud, el SaaS y los sistemas de identidad?
  • ¿Qué identidades muestran cambios en los privilegios observados asociados con la progresión del riesgo?
  • ¿Qué identidades intervienen en comportamientos como el movimiento lateral o la escalada de privilegios?

Descubra cómo la Vectra AI prioriza el riesgo de identidad en la red, cloud y el SaaS →

Más fundamentos de ciberseguridad

¿Qué es el indicador de compromiso?

Los Indicadores de Compromiso de Dominio (IOCs) son una fuerte señal de compromiso, ya que estos dominios han sido registrados por un actor malicioso y el tráfico ...

Seguir leyendo
Servicios gestionados de seguridad informática: guía completa sobre MSSP, MDR y SOC

Guía completa sobre servicios gestionados de seguridad informática. Descubra las diferencias entre MSSP y MDR, los precios, la selección de proveedores y cómo la IA está transformando los SOC. Basado en datos de mercado de 2025.

Seguir leyendo
Ciberataques: 6 tipos comunes y cómo prevenirlos

Conozca los diferentes tipos de ciberataques, incluidos los ataques malware, phishing, DoS y MITM, y su impacto en particulares, empresas y gobiernos.

Seguir leyendo
Comprender a los actores de la ciberseguridad

Las ciberamenazas ya no emanan de individuos aislados; son el producto de una variedad de entidades sofisticadas y bien organizadas con diferentes agendas y capacidades.

Seguir leyendo
¿Qué es la seguridad Cloud ?

Principales amenazas a la seguridad cloud - 1. 2. Interfaces y API inseguras. 3. Secuestro de cuentas. 3. Secuestro de cuentas ...

Seguir leyendo
¿Qué son las técnicas de ataque?

En este artículo se ofrece una visión general de las técnicas de ciberataque más comunes y avanzadas, con ideas técnicas y ejemplos.

Seguir leyendo
¿Qué es la tríada de visibilidad del equipo de seguridad?

Este triple enfoque proporciona a los SOC una mayor visibilidad, detección, respuesta, investigación y corrección de las amenazas.

Seguir leyendo
Soluciones de ciberseguridad | Herramientas de seguridad basadas en agentes o sin agentes

Descubra soluciones de ciberseguridad para las amenazas modernas. Compare los enfoques basados en agentes y sin agentes, explore las opciones modernas de NDR y construya una seguridad eficaz.

Seguir leyendo
Comprender el comportamiento de los atacantes en los entornos de seguridad modernos

Comprenda el comportamiento de los atacantes, cómo progresan los ataques modernos a través de la identidad, la red y cloud, y cómo los equipos SOC deben interpretar las acciones y señales.

Seguir leyendo
Ver todos los fundamentos de la ciberseguridad

Preguntas frecuentes

¿En qué se diferencia el análisis de identidad del uso exclusivo de datos de directorios?

¿El análisis de identidad sustituye a los controles preventivos de identidad como la autenticación multifactorial (MFA)?

¿Cómo se determina la puntuación de urgencia en el análisis de identidad?

¿Cómo se evalúan las identidades no humanas en el análisis de identidades?

¿Qué señales son más relevantes para detectar el compromiso de la identidad?