La industria de la ciberseguridad ha pasado los últimos años rastreando amenazas avanzadas como los días cero, las violaciones de la cadena de suministro y los exploits impulsados por la IA. Sin embargo, el punto de entrada más fiable para los atacantes sigue siendo el mismo. Eso es robo de credenciales.
Los ataques basados en la identidad siguen siendo el principal vector de acceso inicial para las infracciones en la actualidad. Los atacantes obtienen credenciales válidas rellenando credenciales de bases de datos previamente comprometidas, rociando contraseñas a servicios expuestos o campañas de phishing y utilizándolas para cruzar la puerta principal. No se requiere explotación. Todo lo que necesitas es un nombre de usuario y contraseña válidos.
Lo que hace que sea difícil defenderse de esto es que el primer acceso parece muy mundano. Un inicio de sesión exitoso con credenciales legítimas no activa las mismas alarmas que un escaneo de puerto o una devolución de llamada de malware. El atacante parece ser un empleado. Una vez infiltrados, descargan y descifran contraseñas adicionales y reutilizan esas credenciales para moverse lateralmente y expandir su huella en todo el entorno. Para los equipos de ransomware, esta cadena conduce al cifrado y la extorsión en cuestión de horas. Para los actores del Estado-nación, los mismos puntos de entrada apoyan la persistencia y la recopilación de inteligencia a largo plazo.
La IA acelera lo que ya está funcionando
El patrón de ataque básico no ha cambiado mucho. Pero lo que ha cambiado es la velocidad y sofisticación de la ejecución. Los atacantes están aprovechando la IA para escalar sus operaciones mediante la automatización de pruebas de credenciales en grandes conjuntos de objetivos, la creación de herramientas personalizadas más rápidamente y la elaboración de correos electrónicos de phishing que son mucho más difíciles de distinguir de las comunicaciones legítimas.
Esta aceleración ejerce presión adicional sobre un defensor que ya está tenso. Las infracciones se están desarrollando más rápido, son más generalizadas y afectan a más entornos, desde sistemas de identidad hasta infraestructura de nube y puntos finales. Los equipos de relaciones internacionales creados para ralentizar el ritmo de participación descubrieron que sus procesos existentes no podían seguir el ritmo.
Un enfoque dinámico para la respuesta a incidentes
La forma en que piensa acerca de la respuesta a incidentes es importante aquí, al igual que los controles técnicos que su equipo implementa. SEC504 enseña el enfoque dinámico de respuesta a incidentes (DAIR). Es un modelo diseñado para manejar incidentes de todos los tamaños y formas de manera más efectiva que los enfoques lineales tradicionales.
El modelo clásico lo trata como un proceso secuencial: preparar, identificar, contener, erradicar, recuperar e informar. El problema no es la teoría, es que los acontecimientos reales no se desarrollan linealmente. Durante la contención, surgen nuevos datos que cambian el alcance asumido. La evidencia recopilada durante la eliminación revela tácticas de atacantes que se desconocían en el momento de la detección inicial. La gama casi siempre crece, pero rara vez se reduce.
DAIR explica esta realidad. Después de detectar y validar un incidente, los equipos de respuesta entran en el circuito para determinar el alcance de la infracción, contener los sistemas afectados, erradicar la amenaza y restaurar las operaciones. Este bucle se repite cada vez que aparece nueva información. Considere un compromiso basado en credenciales donde el alcance inicial identifica una única estación de trabajo afectada. El análisis forense durante la contención revela mecanismos de persistencia basados en registros. Este descubrimiento llevó al equipo a volver a analizar el alcance y ahora están buscando las mismas métricas en otros sistemas de la empresa. Si se confirma la dirección IP del atacante revelada durante ese barrido, se activa un nuevo paso para la contención y erradicación. Cada ciclo produce mejor inteligencia que alimenta la siguiente ronda de acciones de respuesta.
La respuesta continúa cíclicamente hasta que el equipo y los responsables de la toma de decisiones de la organización determinan que el incidente se ha abordado por completo. Esto es lo que distingue a DAIR de los modelos tradicionales. DAIR trata la naturaleza confusa e iterativa de la investigación del mundo real como una característica del proceso, en lugar de una desviación del mismo.
La comunicación primero
Cuando varios equipos de analistas de SOC, ingenieros de la nube, líderes de IR y administradores de sistemas se concentran en un solo incidente, puede resultar difícil mantener la coordinación. La mayoría de las organizaciones no están completamente alineadas entre estos departamentos antes de que ocurra un incidente. Lo que puedes controlar es qué tan bien te comunicas una vez que la respuesta ha comenzado.
El elemento más importante aquí en una respuesta eficaz a incidentes es la comunicación. Esto determina si los datos del alcance llegan a las personas adecuadas, si las medidas de contención están coordinadas o son inconsistentes y si los tomadores de decisiones tienen información precisa para guiar sus prioridades. Más allá de la comunicación, la práctica y el ensayo constantes son esenciales. Y la capacidad técnica del equipo sigue siendo muy importante. A medida que la IA se convierta en parte del conjunto de herramientas de defensa, se necesitarán profesionales capacitados para configurar y dirigir de manera efectiva estas capacidades.
desarrollar habilidades importantes
Las organizaciones que están en mejores condiciones de combatir los ataques basados en la identidad son aquellas que han invertido en sus empleados antes de que comience el incidente. Capacitaron al equipo sobre cómo operan los atacantes en la práctica, no solo en teoría, sino mediante ejercicios prácticos con las mismas herramientas y técnicas utilizadas en las infracciones del mundo real. La ejecución eficaz del ciclo de respuesta DAIR requiere profesionales que comprendan ambos lados del compromiso: cómo los atacantes obtienen acceso, se mueven lateralmente y persisten, y cómo examinar la evidencia que dejan en cada paso.
Este junio, enseñaré SEC504: Herramientas, técnicas y manejo de incidentes de hackers en SANS Chicago 2026. Este curso cubre todo el ciclo de vida del ataque, desde el compromiso inicial de las credenciales hasta el movimiento lateral y la persistencia, junto con las habilidades de respuesta a incidentes necesarias para detectar, contener y erradicar amenazas utilizando el modelo DAIR. Los practicantes que busquen perfeccionar tanto su comprensión de la ofensiva como su capacidad para responder defensivamente deberían comenzar aquí.
Haga clic aquí para registrarse en SANS Chicago 2026.
Nota: Este artículo fue escrito y contribuido profesionalmente por Jon Gorenflo, Instructor SANS para SEC504: Herramientas, técnicas y manejo de incidentes de hackers.
Source link
