Saltar al contenido
Breachfolio
INVESTIGACIÓN NOTICIAS

Los ataques de identidad superan a los exploits como principal causa de ransomware

4 min de lectura Breachfolio · Redacción

Los ataques por correo han superado a los exploits de software como principal causa raíz de los incidentes de ransomware, según una investigación recién publicada. El número más incómodo del informe: la autenticación multifactor estaba desplegada en el 97% de los ataques basados en credenciales — y las víctimas cayeron igualmente.

Por qué importa

Durante años la respuesta refleja al robo de cuentas ha sido "activa el MFA". Estos datos dicen que el atacante se ha adaptado: la batalla ya no es si tienes segundo factor, sino de qué tipo y cómo se puede saltar. Una notificación push que un empleado cansado aprueba a las 2 de la mañana, o una página de phishing que hace de proxy del login completo — token de sesión incluido — derrota al MFA convencional sin llegar a romperlo.

También reordena prioridades: las vulnerabilidades explotadas siguen importando, pero si la puerta de entrada del ransomware es hoy un buzón y unas credenciales robadas, una hora endureciendo identidad probablemente reduce más riesgo que otro ciclo de escáner.

Qué mueve la aguja de verdad

  • MFA resistente al phishing (llaves FIDO2, passkeys) primero para administradores y finanzas — vinculan la autenticación al sitio real y un proxy no puede retransmitirlas.
  • Acceso condicional: bloquear protocolos heredados, exigir dispositivos gestionados para apps sensibles y alertar sobre inicios de sesión imposibles.
  • Tratar la telemetría de identidad como oro para detección — altas de nuevos dispositivos MFA, reglas de buzón recién creadas y permisos OAuth concedidos son indicadores tempranos de ransomware, no ruido de IT.

Si estás montando detección alrededor de esto, nuestro artículo sobre cómo un SOC convierte señales en respuesta explica dónde deberían aterrizar estas alertas.

La identidad es el nuevo perímetro

Si te alejas de las cifras concretas, el informe describe un cambio estructural sobre el que la industria lleva años dando vueltas: el borde de la red ya no es donde se ganan o se pierden los ataques — lo es el inicio de sesión. A medida que las cargas de trabajo se movieron a SaaS y el acceso remoto se volvió la norma, el cortafuegos dejó de ser lo que separa a un atacante de tus datos. Un token de sesión válido hace hoy lo que antes hacía un punto de apoyo en la red, y llega por el correo en lugar de por un exploit.

Eso replantea lo que "defensa en profundidad" debería significar en 2026. Las capas que merece la pena reforzar son cada vez más centradas en la identidad: autenticación fuerte y resistente al phishing, control estricto de quién puede conceder permisos a aplicaciones, y una monitorización que trate los eventos de identidad como telemetría de seguridad y no como ruido del servicio técnico. Quien siga gastando de forma desproporcionada en herramientas de perímetro mientras trata la identidad como una comodidad de informática está defendiendo la puerta equivocada — y los atacantes, según estos datos, ya saben cuál es.

Fuente

Este es nuestro propio resumen y análisis. La información original está en darkreading.com →

Preguntas frecuentes

¿Significa esto que el MFA no sirve?
No — significa que el MFA convencional por push o código ya no basta contra kits de phishing que hacen proxy del login o bombardean al usuario con avisos. Los factores resistentes al phishing, como las llaves FIDO2 y las passkeys, vinculan el acceso al sitio legítimo y siguen aguantando.
¿Por qué el correo ha superado a los exploits?
Explotar software exige un sistema vulnerable y accesible; el phishing solo exige una persona. Con ciclos de parcheo mejores y exploits más caros, las credenciales robadas se volvieron la vía más barata y fiable — y una vez usadas se confunden con el tráfico normal.
¿Cuáles son las señales tempranas de una intrusión por credenciales?
Inicios de sesión desde ubicaciones inusuales o viajes imposibles, altas repentinas de dispositivos MFA, nuevas reglas de reenvío en buzones y permisos OAuth que nadie recuerda haber concedido. Esos eventos merecen alertar al mismo nivel que una detección de malware.