Detección y respuesta ante amenazas a la identidad (ITDR): la guía completa

Información clave

La identidad es ahora el principal vector de ataque. El 90 % de las intervenciones de respuesta a incidentes en 2025 estuvieron relacionadas con vulnerabilidades de identidad, lo que convierte a la detección y respuesta a incidentes de TI (ITDR) en un elemento esencial de cualquier programa de seguridad moderno.
El ITDR complementa —pero no sustituye— al IAM, el PAM, el EDR y el XDR. Aporta una detección de comportamientos específica para identidades de la que carecen otras herramientas.
Las identidades no humanas constituyen un punto ciego cada vez más importante. Con 18,1 millones de claves API expuestas y 6,2 millones de credenciales de herramientas de IA recuperadas en 2025, las amenazas relacionadas con las identidades de máquinas exigen el mismo nivel de atención que las relacionadas con las personas.
Para que la respuesta a incidentes de TI sea eficaz, es necesario que su implementación se realice por fases y que se establezcan indicadores clave de rendimiento (KPI) cuantificables, como el tiempo medio de identificación, la tasa de falsos positivos y la cobertura de la superficie de ataque de identidades.
Las filtraciones reales lo demuestran. Los incidentes de Snowflake, Midnight Blizzard y FICOBA ponen de manifiesto cómo los ataques basados en la identidad tienen éxito allí donde fallan los controles tradicionales.

La identidad se ha convertido en la principal superficie de ataque. En 2025, el 90 % de las investigaciones de respuesta a incidentes se centraron en vulnerabilidades de identidad, y el 65 % de los accesos iniciales se debieron a problemas de identidad, a través de phishing, el robo de credenciales o la fuerza bruta—, según el Informe Global de Respuesta a Incidentes 2026 de Unit 42. Mientras tanto, ese mismo año se indexaron casi dos mil millones de credenciales procedentes de listas malware . Los controles tradicionales de perímetro y de puntos finales nunca se diseñaron para detectar a los atacantes que entran por la puerta principal con credenciales válidas. La detección y respuesta ante amenazas de identidad (ITDR) existe para cubrir esa brecha.

Esta guía explica qué es el ITDR, cómo funciona, los ataques que detecta, cómo se compara con otras herramientas de seguridad y cómo implementarlo de manera eficaz, con casos prácticos reales de violaciones de seguridad y un análisis de cumplimiento normativo que respaldan cada afirmación.

¿Qué es la detección y respuesta ante amenazas a la identidad (ITDR)?

La detección y respuesta ante amenazas de identidad (ITDR) es una disciplina de seguridad que detecta, analiza y responde a las amenazas dirigidas a las identidades de usuarios y equipos, tanto en cloud locales como cloud , utilizando análisis de comportamiento e inteligencia artificial para identificar el uso indebido de credenciales, la escalada de privilegios y los movimientos laterales basados en identidades que eluden las defensas perimetrales tradicionales.

Gartner identificó por primera vez el ITDR como una de las principales tendencias en seguridad y gestión de riesgos en 2022, señalándolo como una categoría diferenciada, independiente de la gestión de identidades y accesos (IAM). Esta distinción es importante. La IAM gestiona quién tiene acceso. El ITDR detecta cuándo ese acceso se ve comprometido, se utiliza indebidamente o es objeto de robo.

El mercado ha reaccionado. Según Fortune Business Insights y MarketsandMarkets, el mercado de la detección y respuesta a incidentes de TI (ITDR) está creciendo a una tasa compuesta anual (CAGR) de entre el 22,6 % y el 22,9 %. Ese crecimiento refleja una realidad que los defensores ya conocen: los atacantes han pasado de explotar la infraestructura a explotar las identidades.

El ITDR funciona en combinación con la gestión del estado de seguridad de las identidades (ISPM), su contraparte preventiva. Mientras que la ISPM se centra en reforzar las configuraciones de identidad, ajustar los permisos y eliminar las cuentas inactivas antes de que los atacantes puedan aprovecharlas, el ITDR supervisa las amenazas activas en tiempo real. Juntas, conforman una estrategia integral de seguridad de identidades basada tanto en la prevención como en la detección. El análisis de identidades proporciona la inteligencia de comportamiento que sustenta ambas disciplinas.

Por qué la identidad es el nuevo perímetro

La magnitud de la exposición de identidades es abrumadora. Según el estudio «Tendencias en la protección de identidades digitales 2024» de IDS Alliance, el 90 % de las organizaciones sufrió una filtración de identidades durante el último año. El Informe sobre exposición de identidades 2026 de SpyCloud reveló que en 2025 se recuperaron 65 700 millones de registros de identidades, lo que supone un aumento interanual del 23 %.

Estas cifras explican por qué los ataques basados en la identidad predominan actualmente en las intervenciones de respuesta a incidentes. Los atacantes no necesitan aprovechar una vulnerabilidad cuando pueden iniciar sesión con credenciales válidas. Cada cloud , plataforma SaaS y proveedor de identidades federadas amplía la superficie de ataque relacionada con la identidad. Y las herramientas de seguridad tradicionales —cortafuegos, agentes en los terminales, supervisión de redes— no se diseñaron para detectar a un atacante que se hace pasar por un usuario legítimo.

Cómo funciona ITDR

El ITDR funciona mediante un ciclo continuo de recopilación de datos, análisis de comportamientos, detección de amenazas y respuesta automatizada. A continuación se detalla cómo se estructura el modelo operativo.

El modelo operativo ITDR de cuatro fases

Recopila señales de identidad. Importa registros de autenticación y datos de telemetría de identidad procedentes de Active Directory, proveedores cloud (como Entra ID), aplicaciones SaaS, herramientas PAM y servicios de federación.
Establezca unos parámetros de referencia de comportamiento. Identifique los patrones de comportamiento habituales —horas de inicio de sesión, ubicaciones geográficas, uso de privilegios, métodos de autenticación y frecuencia de acceso— para cada usuario y cada identidad de máquina.
Detecta anomalías y amenazas. Aplica la detección de amenazas basada en el comportamiento para identificar desviaciones como desplazamientos imposibles, escaladas de privilegios inusuales, concesiones de consentimiento OAuth anormales y patrones de «password spraying».
Automatice la contención y la respuesta. Ejecute respuestas automatizadas, como solicitudes de autenticación multifactorial (MFA) de nivel superior, desactivación de cuentas, rotación de credenciales y aislamiento de sesiones, en función de la gravedad de la amenaza.
Correlaciona datos de diferentes fuentes de identidad. Combina señales de identidad procedentes de cloud locales y cloud para crear un contexto unificado de detección de amenazas.
Ajustar y optimizar. Perfeccionar continuamente los umbrales de detección, reducir los falsos positivos y ampliar la cobertura a medida que evoluciona la superficie de ataque de la identidad.

Este ciclo funciona de forma continua. A diferencia de las auditorías puntuales, ITDR ofrece una supervisión constante que se adapta a los cambios en el comportamiento de los usuarios: los nuevos roles, las nuevas aplicaciones y las nuevas ubicaciones provocan una recalibración de la línea de base.

Gestión del estado de seguridad de las identidades (ISPM)

El ISPM es el complemento preventivo de la función de detección y respuesta del ITDR. Mientras que el ITDR se pregunta «¿está actuando esta identidad de forma maliciosa en este momento?», el ISPM se pregunta «¿están nuestras configuraciones de identidad generando riesgos innecesarios?».

Entre las funciones clave del ISPM se incluyen el inventario de identidades, la optimización de los permisos, la detección de configuraciones erróneas y la identificación de cuentas inactivas. La necesidad es acuciante. Según el estudio de Unit 42 de 2026, el 99 % de cloud analizadas tenían permisos excesivos, lo que supone una superficie de ataque enorme y vulnerable que el ISPM está diseñado para reducir antes de que el ITDR tenga que detectar a un atacante que aproveche esos permisos.

Las organizaciones que implementan conjuntamente ITDR e ISPM crean un modelo de defensa en profundidad para la identidad. ISPM reduce el alcance del impacto al eliminar los accesos innecesarios. ITDR detecta las amenazas que logran burlar los controles preventivos.

Tipos de ataques basados en la identidad que detecta ITDR

Los ataques basados en la identidad abarcan una amplia gama de técnicas dirigidas tanto a identidades humanas como a identidades de máquinas. El ITDR está diseñado para detectar estos ataques mediante el análisis del comportamiento, en lugar de reglas estáticas.

Tabla: Ataques basados en la identidad y métodos de detección ITDR

Tipo de ataque	Cómo detecta ITDR	Ejemplo real
Ataques basados en credenciales (spraying de contraseñas, relleno de credenciales, fuerza bruta)	Detecta índices anormales de fallos en la autenticación, anomalías en la velocidad y intentos de inicio de sesión distribuidos entre cuentas	Midnight Blizzard utilizó el ataque de «password spraying» contra una cuenta de prueba heredada sin autenticación multifactorial
Escalada de privilegios (asignaciones anómalas de roles, creación de administradores en la sombra)	Señala cambios inesperados en las funciones, la creación de nuevas cuentas de administrador y modificaciones de permisos fuera de los periodos habituales de cambio	Los atacantes crean cuentas de administrador ocultas para mantener su presencia tras el ataque inicial
Movimiento lateral (pass-the-hash, pass-the-ticket, repetición de tokens)	Detecta patrones de autenticación inusuales entre sistemas, solicitudes anómalas de tickets de servicio y anomalías en Kerberos	Ataques de «pass-the-ticket» que permiten desplazarse entre sistemas integrados en un dominio
Apropiación de cuentas (secuestro de sesión, elusión de la autenticación multifactorial, suplantación de SIM)	Detecta sesiones simultáneas desde ubicaciones diferentes, la reutilización de cookies de sesión y los cambios en el método de autenticación multifactorial	La plataforma 2FA de Tycoon permitió el secuestro de sesiones por parte de un atacante intermediario a gran escala
OAuth y el uso indebido de tokens (concesiones de consentimiento maliciosas, robo de tokens)	Supervisa los registros inusuales de aplicaciones OAuth, la concesión excesiva de permisos y las anomalías en el uso de tokens	Midnight Blizzard aprovechó aplicaciones OAuth heredadas con permisos elevados en Exchange Online
Amenazas a la identidad no humanas (compromiso de claves API, uso indebido de cuentas de servicio)	Establece valores de referencia para el comportamiento de las identidades de máquina y señala las desviaciones en los patrones de llamadas a la API, el uso de las cuentas de servicio y los tiempos de acceso a las credenciales	malware de robo de información malware claves API y tokens de sesión de las estaciones de trabajo de los desarrolladores

Para profundizar en tipos específicos de ataques, consulta las guías específicas sobre el robo de credenciales, la escalada de privilegios, el movimiento lateral, la apropiación de cuentas y Kerberoasting.

Amenazas relacionadas con la identidad no humana (NHI)

Las identidades no humanas —claves API, cuentas de servicio, tokens OAuth y credenciales de agentes de IA— superan ahora en número a las identidades humanas en una proporción de más de 10 a 1 en la mayoría de las empresas. Constituyen un punto ciego que se está expandiendo rápidamente.

El informe «SpyCloud 2026 Identity Exposure Report» reveló que en 2025 se recuperaron 18,1 millones de claves y tokens de API expuestos, además de 6,2 millones de credenciales de herramientas de IA expuestas a través de malware de robo de información. Estas credenciales de sistemas suelen tener amplios permisos, plazos de caducidad prolongados o inexistentes y una supervisión limitada, lo que las convierte en objetivos de gran valor.

Entre los principales vectores de ataque a la identidad de máquina (NHI) se incluyen el uso indebido de tokens OAuth, el compromiso de cuentas de servicio, el robo de claves API y la repetición de cookies de sesión. Las soluciones ITDR hacen frente a las amenazas de NHI estableciendo un patrón de referencia del comportamiento de la identidad de máquina y señalando las desviaciones: una clave API utilizada de repente desde un rango de IP desconocido, una cuenta de servicio que accede a recursos fuera de su ámbito habitual o las credenciales de un agente de IA utilizadas a horas inusuales.

ITDR frente a otras herramientas de seguridad

Los equipos de seguridad ya utilizan plataformas de IAM, PAM, EDR, XDR y SIEM. ITDR no sustituye a ninguna de ellas. Cubre una necesidad concreta —la detección de comportamientos basada en la identidad— que ninguna de estas herramientas fue diseñada para abordar.

Tabla: Relación entre ITDR y las herramientas de seguridad existentes

Herramienta	Función principal	Cobertura de identidad	Relación con el ITDR
IAM	Gestiona las políticas de acceso, la autenticación y la autorización	Establece quién tiene acceso	El ITDR detecta cuándo se eluden o se utilizan indebidamente las políticas de IAM
PAM	Controla y supervisa el acceso privilegiado	Gestiona cuentas con privilegios	ITDR detecta comportamientos anómalos en sesiones con privilegios. Gartner y KuppingerCole recomiendan la convergencia entre PAM e ITDR
EDR	Supervisa los dispositivos finales en busca de procesos y comportamientos maliciosos	Limitado al contexto del usuario a nivel de punto final	ITDR supervisa las señales de identidad que EDR no puede detectar (autorizaciones OAuth, autenticación federada, actividad cloud )
XDR	Correlaciona los datos de telemetría entre los dispositivos, la red y cloud	Amplio pero superficial en cuanto a la identidad	ITDR ofrece información detallada sobre la identidad que enriquece las plataformas XDR
SIEM	Agrupa los registros para la correlación, las alertas y el cumplimiento normativo	Visibilidad de la identidad basada en registros	ITDR ofrece análisis de comportamiento específicos por identidad que reducen el ruido de las alertas en comparación con la correlación de registros sin procesar

La diferencia fundamental radica en la profundidad del análisis del comportamiento. IAM y PAM se encargan de hacer cumplir las políticas. EDR supervisa los terminales. SIEM correlaciona los registros. Ninguno de ellos aplica un análisis continuo del comportamiento específicamente a las señales de identidad en toda la superficie de ataque de identidades —Active Directory local, proveedores cloud , aplicaciones SaaS y servicios de federación— de forma simultánea.

Los ataques de suplantación de identidad en la práctica

Los casos reales de violaciones de seguridad demuestran, con mayor eficacia que cualquier debate teórico, la importancia de la detección y respuesta a incidentes de TI (ITDR). Cada uno de los siguientes casos se refería a ataques basados en la identidad que eludieron los controles tradicionales, y cada uno de ellos pone de manifiesto puntos concretos en los que la ITDR habría detectado la amenaza.

Violaciones de seguridad de los clientes de Snowflake (2024)

El grupo de ciberdelincuentes UNC5537 utilizó credenciales obtenidas mediante programas de robo de información —algunas de ellas de 2020— para acceder a unas 165 instancias de clientes en la plataforma cloud . Entre las organizaciones afectadas se encontraban importantes empresas de telecomunicaciones, entretenimiento y servicios financieros.

Tres factores propiciaron la filtración. Las cuentas de los clientes carecían de autenticación multifactorial (MFA). Las credenciales válidas procedentes de programas de robo de información de hace años seguían funcionando. No existían políticas de acceso a la red que restringieran las fuentes de inicio de sesión.

Lección de ITDR. El análisis de comportamiento habría detectado patrones de inicio de sesión anómalos —nuevas ubicaciones geográficas, dispositivos desconocidos y credenciales que se sabía que habían sido comprometidas— y habría señalado los intentos de acceso antes de que comenzara la filtración de datos. Fuente: Cloud Alliance.

Tormenta de medianoche (2024)

APT29 utilizó el ataque de «password spraying» para comprometer una cuenta de prueba heredada que carecía de autenticación multifactorial (MFA). A partir de ahí, el actor malicioso aprovechó aplicaciones OAuth heredadas con permisos elevados para crear aplicaciones OAuth maliciosas y otorgarles acceso completo a Exchange Online, lo que le permitió, en última instancia, leer los correos electrónicos de la alta dirección.

Lección sobre ITDR. ITDR habría detectado el patrón de «password spraying», habría señalado la creación de una aplicación OAuth desde una fuente inusual y habría alertado sobre la asignación anómala de roles que concedía acceso a Exchange Online. Existían múltiples oportunidades de detección a lo largo de la cadena de ataque. Fuente: Guía de incidentes del MSTIC.

Violación de la seguridad del registro francés FICOBA (2026)

Un atacante utilizó credenciales robadas de funcionarios públicos para acceder al Registro Nacional de Cuentas Bancarias (FICOBA), dejando al descubierto los datos financieros de aproximadamente 1,2 millones de personas. El sistema PAM por sí solo no pudo detectar el abuso, ya que el atacante utilizó credenciales válidas con niveles de acceso autorizados.

Lección de ITDR. El análisis de comportamiento habría detectado patrones de acceso anómalos: un volumen de datos inusual, horarios de consulta atípicos y una frecuencia de acceso muy superior a los valores históricos del usuario. Fuente: The Hacker News.

Violaciones de seguridad basadas en la identidad y detección de ITDR

Detección y prevención de amenazas a la identidad

Para detectar eficazmente las amenazas a la identidad es necesario llevar a cabo una implementación por fases, establecer indicadores clave de rendimiento (KPI) cuantificables y elegir deliberadamente entre un enfoque autogestionado y uno gestionado. A continuación se presentan las mejores prácticas y una hoja de ruta práctica.

Buenas prácticas de ITDR:

Supervisar continuamente todas las fuentes de identidad (Active Directory, cloud , SaaS, PAM)
Integrar ITDR con las plataformas SIEM y XDR existentes para obtener un contexto correlacionado
Aplicar el principio del mínimo privilegio y garantizar el acceso justo a tiempo
Implementa una detección basada en el engaño utilizando cuentas trampa y tokens trampa
Elaborar guías de respuesta ante incidentes específicas para cada identidad
Habilitar la detección proactiva de amenazas centrada en señales de identidad

Hoja de ruta para la implementación del ITDR

Tabla: Hoja de ruta para la implementación por fases del ITDR

Fase	Acciones	Criterios de éxito	Cronología
1. Evaluar	Inventario de fuentes de identidad, análisis de deficiencias, comprobación del cumplimiento de los requisitos previos	Inventario completo de todas las fuentes de identidad (AD, cloud , SaaS, PAM)	Semanas 1 a 4
2. Situación inicial	Establecer perfiles de referencia de comportamiento para todas las identidades supervisadas	Puntos de referencia estables con expectativas documentadas para el periodo de aprendizaje	Semanas 5 a 10
3. Integrar	Conéctese a fuentes de IAM, PAM, SIEM y proveedores de identidad	Se ha confirmado el flujo bidireccional de datos en todas las fuentes	Semanas 8 a 14
4. Detectar	Habilitar reglas de detección específicas para cada identidad y análisis de comportamiento	Reglas de detección activas en el flujo de trabajo de clasificación inicial de alertas	Semanas 12 a 18
5. Responder	Configurar guiones de respuesta automática (autenticación multifactorial reforzada, bloqueo de cuentas, rotación de credenciales)	Automated containment for critical identity alerts <1 hour	Semanas 16 a 22
6. Optimizar	Ajustar los umbrales de detección, reducir los falsos positivos y ampliar la cobertura	False positive rate <10%, identity attack surface coverage >95%	En curso

ITDR Métricas y KPI que se deben supervisar durante la implementación:

MTTI (mean time to identify identity incidents): Target <1 hour for critical identity alerts
MTTC (mean time to contain identity-based intrusions): Target <4 hours
Cobertura de la superficie de ataque de identidades: más del 95 % de las fuentes de identidades supervisadas
False positive rate: Target <10% of total identity alerts
Brecha entre la detección y la contención: Según un informe anual sobre amenazas del sector, el 68 % de las organizaciones detecta las amenazas a la identidad en un plazo de 24 horas, pero solo el 55 % las contiene de forma eficaz —una diferencia de 13 puntos que la automatización de ITDR está diseñada para reducir—.

Servicio gestionado de respuesta a incidentes de seguridad informática (ITDR) para equipos con recursos limitados

No todas las organizaciones cuentan con el personal necesario para desarrollar y gestionar un sistema de detección y respuesta ante amenazas informáticas (ITDR) de forma interna. Los servicios gestionados de detección y respuesta ofrecen soluciones externalizadas de detección y respuesta ante amenazas de identidad para equipos que necesitan cobertura las 24 horas del día, los 7 días de la semana, sin necesidad de ampliar su plantilla.

Cuándo plantearse contratar servicios gestionados de respuesta a incidentes de seguridad informática (ITDR):

Equipos de seguridad con menos de cinco empleados a tiempo completo
Cobertura de supervisión limitada las 24 horas del día, los 7 días de la semana
Falta de conocimientos especializados internos en materia de seguridad de la identidad

Aspectos a evaluar: amplitud de la cobertura (AD + cloud SaaS), acuerdos de nivel de servicio (SLA) de respuesta, integración con la infraestructura existente y generación de informes transparentes. El mercado de los servicios gestionados de ITDR está creciendo rápidamente, y numerosos proveedores están ampliando sus capacidades en este ámbito para satisfacer la demanda de los MSP y los MSSP.

ITDR y cumplimiento normativo

Las capacidades de ITDR se corresponden directamente con los controles relacionados con la identidad de los principales marcos normativos de cumplimiento. La adaptación de ITDR a estos marcos simplifica la recopilación de pruebas de auditoría y demuestra una gestión proactiva de la seguridad de la identidad.

Correlación de técnicas de MITRE ATT&CK

Tabla: MITRE ATT&CK cubiertas por ITDR

Táctica	Técnica ID	Nombre de la técnica	Detección de ITDR
Acceso inicial	T1078	Cuentas válidas	Detecta patrones de inicio de sesión anómalos, desplazamientos imposibles y la reutilización de credenciales procedentes de fuentes que se sabe que han sido comprometidas
Acceso con credenciales	T1110	Fuerza bruta	Detecta índices anormales de fallos en la autenticación y ataques de «password spraying» distribuidos
Acceso con credenciales	T1558	Robar o falsificar tickets de Kerberos	Detecta solicitudes anómalas de tickets Kerberos y patrones de uso de tickets dorados y plateados
Movimiento lateral	T1550	Utilizar un método de autenticación alternativo	Detecta ataques de tipo «pass-the-hash», «pass-the-ticket» y la repetición de tokens entre dominios
Persistencia	T1098	Manipulación de cuentas	Supervisa los cambios no autorizados de roles, la creación de nuevas cuentas de administrador y las modificaciones de permisos

Para obtener una visión general más amplia del marco, consulte el MITRE ATT&CK .

Tabla comparativa de marcos normativos

Tabla: Correspondencia entre el ITDR y los marcos de cumplimiento

Marco	ID de control	Cartografía del ITDR
LCR 2.0 DEL NIST	ID.AM, PR.AA, DE.CM, DE.AE, RS.AN, RS.MI	Inventario de identidades, supervisión de accesos, detección de anomalías, investigación, mitigación
ISO 27001	A.9, A.12.4, A.16	Supervisión del control de acceso, registro de incidentes de seguridad, gestión de incidentes
CIS Controls v8	5, 6, 8	Gestión de cuentas, gestión del control de acceso, gestión de registros de auditoría
PCI DSS 4.0	Requisitos 7, 8 y 10	Restringir el acceso, identificar y autenticar, registrar y supervisar
HIPAA	45 CFR 164.312	Controles de acceso, controles de auditoría, controles de integridad, seguridad de la transmisión
NIS2	Artículo 21	Medidas de gestión de riesgos, incluida la gestión de identidades y accesos
DORA	Cap. II, arts. 5 a 15	Marco de gestión de riesgos de las TIC, incluida la seguridad de la identidad

Tendencias futuras y consideraciones emergentes

El panorama de las amenazas a la identidad está evolucionando más rápido de lo que la mayoría de los programas de seguridad pueden adaptarse. En los próximos 12 a 24 meses, varios avances transformarán la forma en que las organizaciones abordan la respuesta a incidentes de TI (ITDR).

Los ataques acelerados por IA están reduciendo los plazos de respuesta. El estudio de Unit 42 de 2026 reveló que las simulaciones de ataques asistidos por IA lograron una exfiltración completa en tan solo 25 minutos, mientras que la exfiltración más rápida observada en el mundo real se produjo en 72 minutos. Estos plazos no dejan margen para la investigación manual. Las soluciones de ITDR que automatizan la detección y la respuesta pasarán a ser un requisito mínimo, y dejarán de ser un factor diferenciador.

La convergencia entre PAM y ITDR se está acelerando. Tanto Gartner como KuppingerCole recomiendan ahora capas unificadas de defensa de la identidad que combinen los controles de acceso privilegiado con la detección de amenazas a la identidad. Las organizaciones que mantengan estas capacidades aisladas se enfrentarán a vulnerabilidades que los atacantes ya saben cómo aprovechar.

Los ataques basados en sesiones están aumentando gracias phishing». La plataforma Tycoon 2FA —que Europol desmanteló en una operación coordinada — permitía ataques de tipo «man-in-the-middle» que eludían la autenticación multifactorial (MFA) a gran escala. A pesar del desmantelamiento, la plataforma volvió a estar operativa en cuestión de semanas, lo que demuestra la resiliencia de la economía phishing». El sistema de detección y respuesta a incidentes de seguridad (ITDR) debe detectar el secuestro de sesiones y la repetición de tokens, independientemente de cómo se haya comprometido la credencial inicial.

La protección de las identidades no humanas se convertirá en un requisito normativo. A medida que proliferan las claves API, las cuentas de servicio y las credenciales de los agentes de IA, es de esperar que los marcos de cumplimiento exijan la supervisión y la gestión del ciclo de vida de las identidades de máquina. Las organizaciones deberían empezar ya a realizar un inventario de su superficie de ataque en materia de identidades no humanas.

Enfoques modernos para la detección de amenazas a la identidad

Los programas de ITDR más eficaces en la actualidad van más allá de la simple supervisión de identidades. Integran las señales de identidad con la detección y respuesta de red, cloud y el contexto de los puntos finales para crear una visión unificada del comportamiento de los atacantes en toda la superficie de ataque.

La solución ITDR Cloud amplía la detección a cloud , las plataformas SaaS ycloud , donde las herramientas tradicionales locales carecen de visibilidad. Las capacidades de seguridad basadas en IA —incluida la inteligencia sobre amenazas impulsada por IA y el modelado de comportamientos— permiten a las soluciones ITDR mantenerse a la altura de los adversarios, que a su vez utilizan la IA para acelerar los ataques.

La integración de ITDR con zero trust representa una evolución natural. El modelo Zero trust una verificación continua. ITDR proporciona la inteligencia de comportamiento de la identidad que hace que la verificación continua sea significativa, en lugar de meramente formal.

Cómo Vectra AI la detección de amenazas a la identidad

El enfoque Vectra AI para la detección de amenazas de identidad se centra en Attack Signal Intelligence, que aplica el análisis de comportamiento a las señales de identidad en Active Directory local, proveedores cloud y aplicaciones SaaS. Al correlacionar los comportamientos de identidad con la telemetría de red, esta metodología identifica ataques reales ocultos tras actividades de identidad que parecen normales, en lugar de generar más alertas que los analistas deben clasificar. El objetivo es priorizar la señal sobre el ruido, proporcionando a los equipos de seguridad la claridad necesaria para actuar sobre lo que importa y la confianza para ignorar lo que no.

Conclusión

Los ataques basados en la identidad no son una moda pasajera. Son el vector de ataque predominante: son los responsables de la mayoría de los accesos iniciales en los incidentes confirmados y la causa principal de las filtraciones de gran repercusión en organizaciones de todos los tamaños y sectores. Los casos de Snowflake, Midnight Blizzard y FICOBA cuentan todos la misma historia: credenciales válidas, una supervisión insuficiente y controles preventivos que nunca se diseñaron para detectar a un atacante que se hace pasar por un usuario legítimo.

ITDR cubre esa brecha. Aporta una detección continua del comportamiento a la superficie de ataque de la identidad, detecta amenazas que los sistemas IAM, PAM y EDR no pueden ver, y automatiza la contención antes de que los atacantes alcancen sus objetivos. En combinación con ISPM para la gestión preventiva de la postura de seguridad y alineado con marcos como MITRE ATT&CK NIST CSF, ITDR proporciona a los equipos de seguridad la visibilidad y la rapidez que necesitan para defender la superficie más expuesta a los ataques en las empresas modernas.

Las organizaciones que deseen evaluar sus capacidades de detección de amenazas a la identidad pueden descubrir cómo Vectra AI la respuesta a las amenazas de TI (ITDR) mediante Attack Signal Intelligence.

Preguntas frecuentes

¿Qué es la detección y respuesta ante amenazas a la identidad (ITDR)?

La detección y respuesta ante amenazas a la identidad (ITDR) es una disciplina de seguridad que detecta, analiza y responde a las amenazas dirigidas a las identidades de usuarios y máquinas. Utiliza el análisis de comportamiento y la inteligencia artificial para identificar el uso indebido de credenciales, la escalada de privilegios y el movimiento lateral basado en identidades en cloud locales y cloud .

A diferencia de la gestión de identidades y accesos (IAM), que controla quién tiene acceso, la ITDR se centra en detectar cuándo se está haciendo un uso indebido de ese acceso. Supervisa los eventos de autenticación, los patrones de autorización y los comportamientos de las identidades en Active Directory, los proveedores cloud y las aplicaciones SaaS para identificar amenazas que las herramientas tradicionales de perímetro y de puntos finales no detectan.

Gartner reconoció por primera vez la ITDR como una categoría de seguridad diferenciada en 2022, y desde entonces el mercado ha crecido a una tasa compuesta anual superior al 22 %. Esta disciplina se ha convertido en algo esencial, ya que los ataques basados en la identidad representan actualmente la mayor parte de los accesos iniciales en los incidentes confirmados.

¿En qué se diferencia el ITDR del EDR?

La detección y respuesta en puntos finales (EDR) supervisa los puntos finales —estaciones de trabajo, servidores y dispositivos móviles— en busca de procesos maliciosos, cambios en el sistema de archivos y comportamientos anómalos a nivel de dispositivo. La ITDR supervisa las señales de identidad en toda la infraestructura de identidades —Active Directory, cloud , aplicaciones SaaS y servicios de federación— para detectar el uso indebido de credenciales y los ataques basados en la identidad.

La diferencia fundamental radica en lo que cada herramienta es capaz de detectar. Cuando un atacante utiliza credenciales válidas robadas mediante un programa de robo de información para iniciar sesión desde un nuevo dispositivo, el EDR detecta un evento de autenticación normal en el punto final. El ITDR detecta un inicio de sesión anómalo —nueva geolocalización, huella digital del dispositivo desconocida, credenciales marcadas en bases de datos de filtraciones conocidas— y genera una alerta. Muchos ataques modernos están diseñados para evitar por completo activar las detecciones en los puntos finales, y es precisamente por eso que el ITDR existe como una capa complementaria.

¿Por qué es importante el ITDR?

Los ataques basados en la identidad dominan actualmente el panorama de amenazas. En 2025, el 90 % de las intervenciones de respuesta a incidentes estuvieron relacionadas con vulnerabilidades de identidad, y el 65 % de los accesos iniciales se debieron a la identidad, según el Informe global de respuesta a incidentes 2026 de Unit 42. Las herramientas tradicionales, como IAM, aplican políticas de acceso, pero no pueden detectar cuándo se eluden dichas políticas. EDR supervisa los puntos finales, pero tiene una visibilidad limitada de la actividad cloud , las concesiones de consentimiento de OAuth y los flujos de autenticación federada.

El ITDR cubre esta laguna mediante el análisis continuo del comportamiento de las señales de identidad. Detecta amenazas que eluden los controles preventivos: credenciales robadas que superan la autenticación multifactorial (MFA), cuentas de servicio comprometidas, uso indebido de tokens OAuth y escalada de privilegios a través de acciones administrativas que parecen legítimas. Sin el ITDR, las organizaciones dependen de los análisis forenses posteriores al incidente en lugar de la detección en tiempo real.

¿Qué es la gestión del estado de seguridad de la identidad (ISPM)?

El ISPM es el complemento preventivo del ITDR. Mientras que el ITDR detecta y responde a las amenazas activas contra la identidad en tiempo real, el ISPM identifica y corrige de forma proactiva los errores de configuración de identidades, los permisos excesivos y las cuentas inactivas antes de que los atacantes puedan aprovecharse de ellos.

Entre las principales capacidades de ISPM se incluyen la gestión del inventario de identidades, la optimización de los permisos, la detección de configuraciones erróneas y la identificación de cuentas inactivas. El estudio de Unit 42 de 2026 reveló que el 99 % de cloud analizadas tenían permisos excesivos, lo que supone una enorme superficie de ataque que ISPM está diseñado para reducir. Al combinarse con ITDR, las organizaciones establecen un modelo de defensa en profundidad en el que ISPM reduce la superficie vulnerable y ITDR detecta las amenazas que logran eludir los controles preventivos.

¿Qué es el ITDR gestionado?

El servicio gestionado de detección y respuesta ante amenazas de identidad (ITDR) es un servicio de seguridad externalizado en el que un proveedor se encarga de la detección y respuesta ante amenazas de identidad en nombre de una organización. Está diseñado para equipos con menos de cinco empleados dedicados a tiempo completo a la seguridad que necesitan una supervisión de las amenazas de identidad las 24 horas del día, los 7 días de la semana, sin tener que desarrollar capacidades internas.

Los proveedores de servicios gestionados de ITDR suelen abarcar Active Directory, proveedores cloud y aplicaciones SaaS. A la hora de evaluar los servicios gestionados de ITDR, las organizaciones deben valorar el alcance de la cobertura, los acuerdos de nivel de servicio (SLA) en materia de respuesta, la integración con su infraestructura de seguridad existente y la transparencia de los flujos de trabajo de generación de informes e investigación. El mercado de los servicios gestionados de ITDR está creciendo rápidamente a medida que los MSP y los MSSP amplían su oferta de seguridad de identidades para satisfacer la demanda de las organizaciones con recursos limitados.

¿Cuáles son los indicadores clave de la respuesta a las amenazas informáticas?

Entre los principales indicadores de ITDR se incluyen el tiempo medio de identificación de incidentes de identidad (MTTI), el tiempo medio de contención de intrusiones basadas en la identidad (MTTC), la tasa de falsos positivos en las alertas de identidad, el porcentaje de superficie de ataque de identidad cubierta y la brecha entre la detección y la contención. Los estudios del sector indican que el 68 % de las organizaciones detectan las amenazas de identidad en un plazo de 24 horas, pero solo el 55 % las contiene de forma eficaz, una brecha de 13 puntos que la automatización de ITDR está diseñada para cerrar.

Entre los objetivos recomendados se incluyen un MTTI inferior a una hora para las alertas críticas de identidad, un MTTC inferior a cuatro horas, tasas de falsos positivos por debajo del 10 % y una cobertura de la superficie de ataque de identidad superior al 95 %. Estos indicadores clave de rendimiento deben supervisarse desde la fase de evaluación en adelante y comunicarse periódicamente a los responsables de seguridad.

¿Cómo se corresponde el ITDR con MITRE ATT&CK?

ITDR abarca MITRE ATT&CK en múltiples tácticas relevantes para los ataques basados en identidades. En el acceso inicial, ITDR detecta T1078 (Cuentas válidas) mediante la identificación de patrones de inicio de sesión anómalos. En «Acceso mediante credenciales», detecta T1110 (Fuerza bruta) y T1558 (Robar o falsificar tickets de Kerberos). En el movimiento lateral, detecta T1550 (Uso de material de autenticación alternativo), incluyendo «pass-the-hash» y la repetición de tokens. En Persistence, detecta T1098 (Manipulación de cuentas) mediante la supervisión de cambios no autorizados en los roles y modificaciones de los permisos.

Este mapa ofrece a los responsables de la seguridad un marco para evaluar las deficiencias en la cobertura de la respuesta a incidentes de seguridad informática (ITDR) y adaptar las capacidades de detección a las técnicas específicas que utilizan los adversarios contra la infraestructura de identidades.