Según informes de la Alianza para la Seguridad Definida por la Identidad (IDSA, por sus siglas en inglés) y el Ponemon Institute, el 79% de las filtraciones de datos se asocia con el robo de identidad, lo que genera un coste promedio de 4,5 millones de dólares para las empresas. Además, el Informe Active Adversary 2025 de Sophos indica que el tiempo medio desde el inicio de un ataque hasta la exfiltración de datos es únicamente de 72,98 horas (3,04 días). Por otro lado, el intervalo promedio entre la exfiltración y la detección del ataque es apenas de 2,7 horas. La rapidez de los ciberataques está aumentando, y a mayor tiempo que una identidad comprometida permanezca activa, mayor será el daño potencial.
Una identidad comprometida puede ser utilizada por los ciberdelincuentes para acceder a información confidencial, realizar el robo de datos, moverse lateralmente dentro de la empresa y llevar a cabo nuevos ataques. Por esta razón, es fundamental que se tomen medidas inmediatas para contener las brechas y reducir sus consecuencias. En este sentido, la automatización juega un papel esencial, ya que permite a las empresas reaccionar de manera rápida y efectiva ante las amenazas vinculadas a la identidad.
Debido a esta razón, el martes 8 de abril, que coincide con la conmemoración del Día de la Gestión de Identidad, los especialistas en seguridad de Sophos, un destacado proveedor global de soluciones innovadoras en seguridad destinadas a combatir ciberataques, comparten algunos consejos sobre cómo gestionar y salvaguardar las identidades. Entre las recomendaciones más relevantes de los expertos de Sophos, se destacan cinco medidas automatizadas para prevenir el robo de identidad:
Es fundamental forzar el restablecimiento de la contraseña. A menudo, las contraseñas constituyen la primera línea de defensa frente a intentos de acceso no autorizado. En el caso de una violación de identidad, resulta crucial proceder de inmediato con el restablecimiento de la contraseña de la cuenta afectada, para impedir que los ciberatacantes aprovechen las credenciales sustraídas. Se pueden establecer reglas automatizadas que inicien un restablecimiento instantáneo de la contraseña tan pronto como se detecte una violación. Este enfoque no solo ahorra tiempo, sino que también asegura que el proceso de recuperación comience sin retrasos, disminuyendo así el riesgo de nuevos intentos de acceso no autorizado.
Desactivar la cuenta de usuario es uno de los primeros pasos a seguir al detectar una violación de identidad. Esta acción impide que el atacante pueda utilizar la identidad robada para acceder a los sistemas y datos de la empresa, lo que permite adelantarse al ciberatacante y ayudar a contener la brecha. La automatización juega un papel crucial en este proceso, acelerándolo significativamente. Gracias a las herramientas de respuesta automatizada, las empresas tienen la capacidad de identificar rápidamente las cuentas comprometidas y desactivarlas en tiempo real. De este modo, se reduce la ventana de ataque y se minimizan los daños potenciales.
Es fundamental provocar el restablecimiento de la autenticación multifactor (MFA). Este sistema añade una capa extra de seguridad, ya que exige a los usuarios ingresar un código de verificación además de su contraseña. En el caso de que ocurra una violación de identidad, es esencial restablecer la MFA para la cuenta afectada. Esto implica que el usuario deberá autenticarse nuevamente utilizando su herramienta MFA, lo que automáticamente invalida cualquier token de autenticación que haya sido robado por el ciberatacante.
Además, se pueden implementar reglas automatizadas que faciliten la actualización de los tokens MFA, asegurando así una reautenticación ágil de las cuentas comprometidas. Este proceso previene que los ciberdelincuentes puedan acceder a los sistemas de la empresa utilizando tokens de autenticación sustraídos.
Bloqueo de la cuenta. La acción de bloquear una cuenta que ha sido comprometida evita que los ciberatacantes puedan hacer uso de ella hasta que se solucione el inconveniente. Además, esto otorga a la empresa el tiempo necesario para llevar a cabo una investigación sobre la brecha y aplicar las medidas correctivas pertinentes. Gracias a la automatización, el proceso de bloqueo de cuentas se vuelve más ágil, permitiendo que las empresas restrinjan el acceso a las cuentas afectadas tan pronto como se detecta una brecha. Esta respuesta inmediata es crucial, ya que contribuye a contener la situación y previene nuevos intentos de acceso no autorizado.
Revocar las sesiones activas. Es fundamental, además de desactivar la cuenta de usuario y forzar el restablecimiento de la contraseña, revocar todas las sesiones activas que estén vinculadas a la identidad comprometida. Así, se asegura que el atacante sea desconectado de inmediato de todos los sistemas a los que logró acceder utilizando credenciales sustraídas.
Es posible establecer acciones automatizadas que permiten revocar las sesiones activas en tiempo real, lo que interrumpe de inmediato cualquier acceso no autorizado. Esta acción constituye una medida esencial para neutralizar la brecha y prevenir futuras actividades maliciosas.
La gestión de identidades juega un papel esencial en la construcción de una ciberseguridad sólida. Para reducir el impacto y salvaguardar los recursos de una empresa, es vital contar con una respuesta ágil y efectiva ante cualquier brecha de identidad. Según Álvaro Fernández, director de ventas en Sophos Iberia, “a través de la concienciación, con jornadas como la de este Día de la Gestión de Identidades, se destaca que la prevención, junto con una respuesta coordinada, mitiga los riesgos asociados a las brechas de identidad”.
Si (
No(
