La identidad digital ha pasado a ocupar un lugar central en la estrategia de los ciberdelincuentes. Según ESET, el uso indebido de credenciales robadas está detrás de una parte creciente de los incidentes de ransomware y de las brechas de datos más costosas de los últimos años. En un entorno corporativo marcado por infraestructuras híbridas, servicios en la nube y una proliferación de dispositivos conectados, las identidades se han convertido en el eslabón más frágil de la cadena de seguridad.
“El robo de credenciales ya no es una amenaza aislada. Es el punto de partida de ataques complejos que comprometen sistemas enteros”, señala Josep Albors, director de Investigación y Concienciación de ESET España. La compañía, con sede en la Unión Europea, advierte que proteger la identidad digital se ha vuelto tan crucial como blindar los sistemas o redes tradicionales.
El informe de ESET identifica un patrón claro: los atacantes ya no necesitan vulnerar directamente los sistemas si pueden obtener credenciales válidas. Técnicas como el phishing, el smishing (mensajes SMS fraudulentos) o el vishing (fraudes telefónicos) se han sofisticado, con campañas cada vez más dirigidas que explotan información contextual sobre las víctimas. A esto se suma la actividad de malware especializado, como los infostealers, que extraen credenciales y otros datos sensibles de forma automatizada.
En paralelo, las brechas de datos masivas han alimentado un mercado subterráneo de contraseñas reutilizadas, que los atacantes explotan mediante técnicas automatizadas como el credential stuffing o el password spraying. En ambos casos, se aprovechan de la práctica habitual de repetir contraseñas en múltiples servicios.
El impacto de una identidad comprometida no se limita al acceso inicial. Si la cuenta afectada tiene privilegios excesivos, los atacantes pueden moverse lateralmente dentro de la organización, escalar permisos y acceder a sistemas críticos. Este tipo de movimientos, difíciles de detectar en tiempo real, aumentan la superficie de daño y dificultan la contención del incidente.
La gestión de identidades, sin embargo, sigue siendo una asignatura pendiente en muchas organizaciones. La proliferación de cuentas, especialmente en entornos con múltiples proveedores, partners y dispositivos IoT, complica el control centralizado. Según ESET, esta dispersión crea puntos ciegos que pueden ser explotados con relativa facilidad si no se aplican controles adecuados.
La compañía señala que el principio de mínimo privilegio —asignar a cada cuenta solo los permisos estrictamente necesarios— sigue sin aplicarse de forma sistemática. En muchos casos, los accesos no se revisan periódicamente o permanecen activos tras la salida de un empleado o la finalización de un proyecto. Este descuido, sumado a la falta de automatización en la gestión del ciclo de vida de las cuentas, incrementa el riesgo de accesos no autorizados.
ESET propone una serie de medidas para reforzar la seguridad de la identidad digital. Entre ellas, destaca la implementación de autenticación multifactor (MFA), la rotación periódica de credenciales privilegiadas mediante soluciones de gestión de accesos (PAM), y el uso de gestores de contraseñas para evitar reutilizaciones peligrosas. También subraya la importancia de la formación continua en ciberseguridad, especialmente en técnicas de ingeniería social.
La compañía insiste en que la protección de la identidad no puede abordarse como un componente aislado. Debe integrarse en una estrategia más amplia que incluya capacidades de detección y respuesta. En este sentido, los servicios de detección y respuesta gestionada (MDR) permiten monitorizar la actividad en tiempo real, identificar comportamientos anómalos y contener incidentes antes de que escalen.
Aunque la identidad digital ha sido durante años una capa más dentro del modelo de seguridad, su exposición creciente la ha situado en el centro de los ataques más sofisticados. La aparición de agentes de inteligencia artificial y la expansión del perímetro digital a través del IoT no hacen sino acelerar esta tendencia. En este escenario, la gestión proactiva de identidades se perfila como un factor determinante para la resiliencia de las organizaciones.
La advertencia de ESET no apunta solo a los equipos de seguridad. La protección de la identidad digital implica decisiones estratégicas que afectan a la arquitectura tecnológica, la cultura organizativa y la relación con terceros. En un entorno donde el acceso equivale al control, saber quién entra, con qué permisos y en qué condiciones se ha convertido en una cuestión estructural.
