La industria de la ciberseguridad ha pasado los últimos años persiguiendo amenazas sofisticadas como los días cero, los compromisos de la cadena de suministro y los exploits generados por la IA. Sin embargo, el punto de entrada más confiable para los atacantes aún no ha cambiado: las credenciales robadas.
Los ataques basados en la identidad siguen siendo un vector de acceso inicial dominante en las infracciones actuales. Los atacantes obtienen credenciales válidas mediante el relleno de credenciales de bases de datos de violaciones anteriores, la pulverización de contraseñas contra servicios expuestos o campañas de phishing, y las utilizan para cruzar la puerta principal. No se necesitan hazañas. Sólo un nombre de usuario y contraseña válidos.
Lo que hace que sea difícil defenderse de esto es lo anodino que parece el acceso inicial. Un inicio de sesión exitoso desde una credencial legítima no activa las mismas alarmas que un escaneo de puerto o una devolución de llamada de malware. El atacante parece un empleado. Una vez dentro, descargan y descifran contraseñas adicionales, reutilizan esas credenciales para moverse lateralmente y expanden su presencia en el entorno. Para los equipos de ransomware, esta cadena conduce al cifrado y la extorsión en cuestión de horas. Para los actores del Estado-nación, el mismo punto de entrada respalda la persistencia y la recopilación de inteligencia a largo plazo.
La IA está acelerando lo que ya funciona
El patrón de ataque fundamental aquí no ha cambiado mucho. Pero lo que ha cambiado es la velocidad y el pulido con el que se ejecuta. Los atacantes están aprovechando la IA para escalar sus operaciones al automatizar las pruebas de credenciales en conjuntos de objetivos más grandes, escribir herramientas personalizadas más rápido y crear correos electrónicos de phishing que son materialmente más difíciles de distinguir de las comunicaciones legítimas.
Esta aceleración ejerce una presión adicional sobre los defensores que ya están al límite. Las infracciones se están desarrollando más rápidamente, extendiéndose más y afectando a una mayor parte del entorno, desde los sistemas de identidad hasta la infraestructura de la nube y los puntos finales. Los equipos de relaciones internacionales creados para un ritmo de participación más lento están descubriendo que sus procesos existentes no pueden seguir el ritmo.
Un enfoque dinámico para la respuesta a incidentes
Aquí es donde la forma en que los equipos piensan acerca de la respuesta a incidentes es tan importante como los controles técnicos que implementan. En SEC504, enseñamos el enfoque dinámico para la respuesta a incidentes, o DAIR, un modelo diseñado para manejar incidentes de cualquier tamaño y forma de manera más efectiva que el enfoque lineal tradicional.
El modelo clásico trata el proceso como una secuencia: preparar, identificar, contener, erradicar, recuperar, informar. El problema no es la teoría, es que los incidentes reales no se desarrollan en línea recta. Durante la contención surgen nuevos datos que cambian lo que pensaba que era el alcance. La evidencia recopilada durante la erradicación revela tácticas de atacantes que usted no conocía durante la detección inicial. El alcance casi siempre crece, pero rara vez se reduce.
DAIR da cuenta de esta realidad. Después de detectar y verificar un incidente, los equipos de respuesta entran en un ciclo: determinan el alcance del compromiso, contienen los sistemas afectados, erradican la amenaza y recuperan las operaciones. Ese bucle se repite a medida que surge nueva información. Considere un compromiso basado en credenciales donde el alcance inicial identifique una única estación de trabajo afectada. Durante la contención, el análisis forense revela un mecanismo de persistencia basado en registros. Ese hallazgo hace que el equipo vuelva a analizar el alcance: ahora busca en toda la empresa el mismo indicador en otros sistemas. Una dirección IP confirmada del atacante descubierta durante ese barrido desencadena otro paso por la contención y erradicación. Cada ciclo produce mejor inteligencia, que alimenta la siguiente ronda de acciones de respuesta.
La respuesta continúa hasta que el equipo y los responsables de la toma de decisiones de la organización determinan que el incidente se ha abordado por completo. Esto es lo que separa a DAIR del modelo tradicional: trata la naturaleza confusa e iterativa de las investigaciones del mundo real como una característica del proceso, no como una desviación del mismo.
La comunicación es lo primero
Cuando varios equipos convergen en un incidente (que incluyen analistas de SOC, ingenieros de la nube, líderes de IR y administradores de sistemas), mantener la alineación puede resultar difícil. La mayoría de las organizaciones no están perfectamente alineadas en todas esas funciones antes de que ocurra un incidente. Lo que puedes controlar es qué tan bien te comunicas una vez que la respuesta está en marcha.
La comunicación es el factor más importante aquí en una respuesta eficaz a incidentes. Determina si los datos de alcance llegan a las personas adecuadas, si las acciones de contención están coordinadas o son contradictorias y si quienes toman las decisiones tienen información precisa para guiar las prioridades. Más allá de la comunicación, la práctica y el ensayo constantes son esenciales. Y las capacidades técnicas de su equipo siguen siendo muy importantes. A medida que la IA se convierte cada vez más en parte del conjunto de herramientas defensivas, se necesitan profesionales inteligentes para configurar y dirigir esas capacidades de manera efectiva.
Desarrollar habilidades que importan
Las organizaciones que manejan bien los ataques basados en identidad son aquellas que invirtieron en su gente antes de que comenzara el incidente. Han capacitado a sus equipos sobre cómo operan realmente los atacantes, no solo en teoría, sino a través de la práctica con las mismas herramientas y técnicas utilizadas en ataques reales. La ejecución efectiva del ciclo de respuesta DAIR requiere profesionales que comprendan ambos lados del compromiso: cómo los atacantes obtienen acceso, se mueven lateralmente y persisten, y cómo investigar la evidencia que dejan en cada etapa.
Este junio, enseñaré SEC504: Herramientas, técnicas y manejo de incidentes de hackers en SANS Chicago 2026. El curso cubre el ciclo de vida completo del ataque, desde el compromiso inicial de las credenciales hasta el movimiento lateral y la persistencia, junto con las habilidades de respuesta a incidentes necesarias para detectar, contener y erradicar amenazas utilizando el modelo DAIR. Para los practicantes que quieran agudizar tanto su comprensión ofensiva como sus capacidades de respuesta defensiva, aquí es por donde empezar.
Regístrese para SANS Chicago 2026 aquí.
Nota: Este artículo ha sido escrito y contribuido por expertos de Jon Gorenflo, instructor SANS, SEC504: Herramientas, técnicas y manejo de incidentes de hackers.