En este artículo
La identidad se ha convertido en el principal vector de ataque para los adversarios. Desde el relleno de credenciales y la fatiga de la autenticación multifactorial hasta el robo de tokens y la escalada ilícita de privilegios, los atacantes se centran cada vez más en la capa de confianza que conecta a las personas, los dispositivos y las cargas de trabajo.
Esta guía explora los indicadores de compromiso (IoC) más prácticos que los CISO y los responsables de seguridad deben supervisar, explica cómo se manifiestan en los registros y los planos de control, y proporciona ejemplos de las consultas y los eventos que los revelan.
Los indicadores tradicionales (hash de malware, direcciones IP, nombres de archivos) siguen siendo importantes, pero ya no reflejan el panorama completo. Los atacantes explotan las identidades humanas y de las máquinas que constituyen la columna vertebral de las operaciones digitales.
El marco MITRE ATT\&CK destaca este cambio con técnicas como la fuerza bruta (T1110), el bombardeo de solicitudes de MFA (T1621) y el paso de cookies (T1550.004). MITRE ATT\&CK.
A diferencia de los IoC basados en firmas, los IoC de identidad son conductuales: se revelan en patrones de inicio de sesión anormales, cambios sospechosos de privilegios o consentimientos OAuth inusuales. Detectarlos requiere una cuidadosa correlación entre sus plataformas IdP, IGA y UEM.
Los primeros indicios de un ataque de identidad suelen aparecer antes de que se produzca una autenticación satisfactoria. Entre ellos se incluyen picos de intentos fallidos de inicio de sesión, intentos de relleno de credenciales y el uso de anonimizadores como Tor.
En Okta, los eventos repetidos de user.authentication.failed vinculados a la misma dirección IP indican un ataque de contraseñas. Los analistas pueden consultar:
eventType eq “user.authentication.failed”
and client.ipAddress eq “x.x.x.x”
and count > 50 within 5 minutes
En Auth0, Attack Protection genera automáticamente eventos como limit_mu (múltiples usuarios con fuerza bruta) o limit_wc (credenciales débiles), que apuntan a cuentas bajo ataque coordinado.
Una vez que los atacantes intentan eludir los controles de autenticación, se observan dos patrones destacados: fatiga de MFA y robo de tokens o sesiones.
La fatiga de MFA se produce cuando un usuario recibe docenas de avisos push y finalmente acepta uno. El registro del sistema Okta destaca esto con múltiples eventos user.mfa.challenge seguidos de éxito:
eventType eq “user.mfa.challenge”
and outcome.result eq “SUCCESS”
and count of challenges > 10 within 5 minutes
El robo de sesiones o tokens es más difícil de detectar. En Okta, el mismo ID de sesión utilizado desde diferentes direcciones IP aparece como múltiples eventos user.session.start con datos de red divergentes:
eventType eq “user.session.start”
| group by sessionId
| where distinct(client.ipAddress) > 1
Los registros de Auth0 muestran repetidos inicios de sesión exitosos vinculados al mismo identificador de sesión, pero procedentes de diferentes agentes de usuario o direcciones IP, otra señal clara de repetición de tokens.
Cuando la autenticación se realiza correctamente, los atacantes suelen delatarse mediante comportamientos anómalos. Los viajes imposibles son una señal clara: la misma identidad que inicia sesión desde París y São Paulo en cuestión de minutos. En Okta, los analistas pueden comparar los eventos user.session.start del mismo usuario con marcas de tiempo y geolocalización IP para señalar viajes poco realistas.
Más allá de las anomalías de ubicación, también destacan los picos repentinos de datos. Los registros de Auth0 y las integraciones de Defender for Cloud Apps señalan patrones sospechosos, como descargas masivas de archivos o la creación de reglas de reenvío de correo electrónico, ambos característicos del compromiso del correo electrónico empresarial.
Los indicadores a nivel del plano de control son los más peligrosos, ya que a menudo permiten un acceso persistente al atacante.
Privilege escalation is a top concern. In Okta, user.account.privilege.grant events signal when a user gains admin privileges. Analysts should query for any assignment of Super Administrator rights:
La escalada de privilegios es una de las principales preocupaciones. En Okta, los eventos user.account.privilege.grant indican cuándo un usuario obtiene privilegios de administrador. Los analistas deben consultar cualquier asignación de derechos de superadministrador:
eventType eq “user.account.privilege.grant”
and target.displayName eq “Super Administrator”
Los cambios en las políticas de MFA o de inicio de sesión también revelan intentos de compromiso. Okta los registra en policy.signon.update. Cualquier cambio repentino hacia políticas más débiles, como permitir la autenticación heredada, debe considerarse una señal de alerta.
El abuso de OAuth es otro indicador común. En Auth0, los registros de nuevas aplicaciones de terceros que solicitan ámbitos sensibles (como read:users o update:users) suelen indicar un consentimiento malicioso. Es fundamental supervisar la creación de aplicaciones o las concesiones de ámbitos inesperadas.
Las anomalías de federación, como Golden SAML, aparecen en los registros de Active Directory Federation Services como exportaciones de certificados o tokens emitidos sin inicios de sesión coincidentes.
Las identidades de máquinas, como las cuentas de servicio, los canales CI/CD y los bots, a menudo quedan fuera de la supervisión normal. Entre los indicadores se incluyen las cuentas inactivas que se activan de repente o las credenciales añadidas fuera de las ventanas de cambio.
SailPoint Access Insights es eficaz para detectar estos casos a través de «identidades atípicas». Por ejemplo, si a un principal de servicio se le conceden nuevos derechos que divergen de su grupo de pares, aparecerá en los informes de valores atípicos de SailPoint. Los desencadenantes de eventos como «Detección de valores atípicos» pueden iniciar automáticamente revisiones de certificación.
En las empresas que dan prioridad a los dispositivos móviles, los puntos finales generan sus propios indicadores. Omnissa Workspace ONE UEM detecta cuándo un dispositivo pasa de «conforme» a «comprometido» o cuándo se produce un pico de eventos de baja/reinscripción justo antes de inicios de sesión sospechosos.
Al introducir estos registros UEM en un SIEM, se permite la correlación con los eventos IdP, lo que garantiza que los dispositivos comprometidos no sirvan de trampolín para acceder a aplicaciones críticas.
La clave para la validación es la correlación. Ninguna fuente por sí sola es suficiente. Una estrategia de supervisión sólida integra:
Cada uno de ellos añade contexto, lo que permite a los equipos del SOC confirmar los verdaderos compromisos y descartar los falsos positivos.
El papel de la IA en la priorización
La avalancha de eventos relacionados con la identidad puede abrumar incluso a los SOC más maduros. En este sentido, la IA desempeña un papel fundamental.
Una investigación de ESG y SentinelOne reveló que el 92 % de los responsables de SOC atribuyen a GenAI la mejora de la postura de seguridad, y el 93 % afirma que ha acelerado la búsqueda de amenazas y la redacción de consultas.
Las canalizaciones de detección de GenAI se utilizan cada vez más para priorizar los IoC de alto riesgo, como la escalada de privilegios o el abuso de OAuth, por encima del ruido de los inicios de sesión fallidos.
El compromiso de la identidad es ahora la vía más habitual que explotan los adversarios. Indicadores como la fatiga de la autenticación multifactorial (MFA), la repetición de tokens, los consentimientos maliciosos o la deriva de privilegios deben supervisarse continuamente. Al conocer cómo se ven estos indicadores de compromiso (IoC) en los registros, y al correlacionarlos entre Okta, Auth0, SailPoint y Omnissa, los responsables de seguridad pueden detectar los compromisos antes de que se propaguen.
En Cloudcomputing, trabajamos con Okta, SailPoint, Delinea, Relock, Auth0, Axway, NEXIS y Omnissa para garantizar que las anomalías de identidad nunca pasen desapercibidas. Porque en la era digital, la confianza es moneda de cambio, y defender la identidad es defender la confianza.