¿Qué es la detección y respuesta ante amenazas de identidad (ITDR)?

La detección y respuesta ante amenazas de identidad (ITDR) es un marco de ciberseguridad diseñado para detectar, investigar y mitigar ataques basados en la identidad en tiempo real. La ITDR monitoriza de manera continua la actividad de los usuarios, analiza patrones de acceso y responde a amenazas de identidad, como credenciales comprometidas, elevación de privilegios y movimientos laterales. A diferencia de las soluciones de seguridad tradicionales, la ITDR proporciona visibilidad sobre las identidades y medidas en tiempo real para evitar que los adversarios puedan utilizar las credenciales comprometidas y realizar movimientos laterales.

En este artículo, hablaremos sobre ITDR, los desafíos de seguridad que aborda y cómo se compara con la detección y respuesta para endpoints (EDR), una solución de seguridad basada en dispositivos.

Por qué la ITDR es fundamental: la creciente amenaza de ataques basados en la identidad

Los ataques modernos basados en la identidad representan una amenaza importante para las organizaciones y, a menudo, generan pérdidas financieras, legales y de reputación. Resolverlos puede resultar sumamente difícil.

Los ataques modernos son más rápidos y sofisticados

Los ciberdelincuentes están aumentando su repertorio de ataques para seguir el ritmo del avance de la tecnología. Las herramientas de seguridad tradicionales no pueden hacer nada contra la velocidad y la sofisticación de los ataques basados en la identidad. Los adversarios utilizan técnicas para burlar la autenticación MFA, cookies de sesión robadas e inserción de credenciales para infiltrarse en los sistemas de una organización en cuestión de minutos.

Según el Informe Global sobre Amenazas 2025 de CrowdStrike:

• Ha habido un aumento del 50 % en la actividad de los intermediarios de acceso.
• En 2024, el phishing por voz (vishing) aumentó un 442 %.
• El tiempo medio de propagación para ciberdelincuentes es de 48 minutos, mientras que el tiempo más rápido registrado es de 51 segundos.
• El 52 % de las vulnerabilidades estaban relacionadas con el acceso inicial.

El entorno y el panorama de la identidad son cada vez son más complejos

Además, las tecnologías en la nube combinadas con el trabajo en remoto han aumentado significativamente la complejidad de la gestión de la superficie de ataque:

• La complejidad de la arquitectura multinube y de los múltiples almacenes de identidades dificulta la detección y defensa contra ataques cibernéticos, lo que reduce la visibilidad integral.
• El 90 % de las organizaciones de la lista Fortune 1000 todavía usa Active Directory (AD), una tecnología tradicional vulnerable a los ataques, para gestionar su infraestructura de identidades. Los ciberdelincuentes pueden moverse lateralmente desde la infraestructura local a la nube, lo que hace que AD sea un objetivo prioritario en un ataque. Los entornos complejos dificultan la realización de auditorías periódicas de usuarios y la identificación de posibles brechas en los almacenes de identidades.

El resultado es que las organizaciones con poca visibilidad sobre su entorno en la nube son altamente vulnerables.

Las soluciones ITDR detectan y responden a los ataques monitorizando continuamente la actividad de los usuarios, detectando comportamientos inusuales y alertando a los equipos de seguridad. Además, proporcionan visibilidad y control centralizados sobre todas las identidades y privilegios de usuario asignados. También se pueden integrar con herramientas de gestión de identidades y accesos (IAM) existentes para agilizar y facilitar la gestión de usuarios en un entorno en constante evolución.

Comparación entre ITDR y EDR

La ITDR y la detección y respuesta para endpoints (EDR) son soluciones complementarias entre sí, pero cada una se centra en aspectos diferentes de la seguridad. La EDR monitoriza los endpoints (portátiles, estaciones de trabajo y servidores) para detectar malware, exploits y ataques a nivel de sistema. En cambio, la ITDR monitoriza la actividad relacionada con la identidad para detectar casos de uso indebido de credenciales, elevación de privilegios e intentos de acceso no autorizados.

La ITDR monitoriza y analiza la actividad de los usuarios y los logs de gestión de acceso, y destaca cualquier actividad maliciosa. Recopila datos de múltiples orígenes de IAM, tanto locales como en la nube. La EDR, por el contrario, monitoriza y analiza dispositivos endpoint, como estaciones de trabajo y portátiles. Por lo tanto, el procedimiento recopila logs del sistema y tráfico de la red para detectar actividad maliciosa en los equipos de una organización.

La combinación de la ITDR con la EDR da lugar a un enfoque de seguridad unificado. Si un sistema EDR detecta actividad sospechosa en un endpoint, la ITDR ayuda a determinar si la amenaza se debe a unas credenciales comprometidas, movimientos laterales o un uso indebido de los privilegios, lo cual ofrece a los equipos de seguridad información exhaustiva sobre la cadena de ataques. En un escenario donde un ciberdelincuente obtiene acceso a tu red a través de un dispositivo endpoint, una solución EDR sería capaz de detectar actividad sospechosa en ese dispositivo. Por eso, es fundamental saber cómo obtuvieron acceso los ciberdelincuentes, y si fue gracias a credenciales filtradas.

Mientras tanto, las soluciones ITDR proporcionan información detallada sobre cualquier posible amenaza relacionada con la identidad. ITDR puede ver rápidamente cualquier coincidencia entre las credenciales utilizadas en la actividad maliciosa y las de los usuarios autorizados. Este nivel de visibilidad permite descubrir la causa raíz del ataque y te da la oportunidad de reforzar tus medidas de seguridad para evitar que ocurran episodios similares en el futuro.

La combinación de las capacidades de ITDR y EDR ofrece a una organización una mejora considerable a la hora de detectar y responder a brechas sofisticadas e intentos de movimiento lateral.

Elementos imprescindibles de una solución ITDR

La ITDR es ahora un componente crítico de las arquitecturas de seguridad modernas, algo que viene motivado por el rápido auge de las intrusiones basadas en la identidad, el uso indebido de los privilegios y las amenazas de seguridad en la nube. Como resultado, las organizaciones que desean protegerse detectando este tipo de ataques necesitan una solución que se adapte a sus necesidades.

Con esto en mente, vamos a ver tres aspectos esenciales de cualquier solución ITDR.

1. Visibilidad continua

La visibilidad de identidades en tiempo real es esencial para detener las amenazas de identidad antes de que los adversarios consoliden su presencia. Las soluciones ITDR deben correlacionar la actividad de autenticación, el comportamiento de los usuarios y los intentos de elevación de privilegios entre entornos híbridos en la nube y locales. Como resultado, una solución ITDR debe incorporar continuamente datos de múltiples orígenes y realizar análisis de amenazas.

Para indicar las potenciales amenazas de seguridad, esta acción requiere combinar los siguientes elementos:

• Análisis de identidades
• Aprendizaje automático
• Técnicas de análisis de comportamiento
• Detección de anomalías

A la hora de identificar amenazas potenciales, el análisis rápido mediante paneles de control también juega un papel fundamental.

2. Control proactivo

Las amenazas basadas en la identidad evolucionan rápidamente, lo que requiere soluciones ITDR que funcionen de forma automática y en tiempo real. Cuando una solución ITDR detecta actividad sospechosa, debe revocar el acceso inmediatamente, cerrar las sesiones en riesgo, impedir los movimientos laterales o requerir otro método de autenticación según la gravedad del riesgo.

3. Control basado en riesgos

No todas las alertas generadas por una solución de seguridad son útiles. La fatiga por alertas tiene implicaciones graves que pueden provocar demoras o perder el rastro de las amenazas si se acumulan muchas alertas similares.

Tu solución ITDR debe poder reconocer falsos positivos y priorizar las acciones según el riesgo asociado con los ataques concretos. También debe ser lo suficientemente inteligente para reconocer el tipo de ataques que afectan regularmente a la infraestructura y luego clasificar un nivel de amenaza en consecuencia.

La estrategia de CrowdStrike

La plataforma CrowdStrike Falcon® Platform es la única solución unificada del mercado capaz de detectar y prevenir las amenazas de identidad en tiempo real. Al combinar la ITDR con la EDR, Falcon elimina brechas de seguridad que permiten a los adversarios hacer uso de las credenciales, moverse lateralmente y burlar las medidas de detección. A diferencia de las soluciones independientes de IAM o EDR, Falcon ITDR usa la inteligencia sobre el adversario para detectar técnicas de abuso de credenciales, entre los que se incluyen los ataques Golden Ticket, los ataques Pass-the-Hash y los intentos de burlar la autenticación MFA. Esto permite a las organizaciones automatizar la contención de amenazas basadas en la identidad antes de que los atacantes eleven sus privilegios o consoliden su presencia. Al unificar la telemetría de endpoints e identidades, la plataforma proporciona correlación en tiempo real de las amenazas con la combinación de inteligencia sobre amenazas y técnicas de ataque del adversario.

Con una visibilidad completa de las rutas de ataque, CrowdStrike cubre todos los aspectos del conjunto de herramientas del adversario, incluida la distribución de malware, los ataques sin archivos, las credenciales robadas y la identidad comprometida.

CrowdStrike ha creado una solución nativa de la nube con un único sensor que se puede implementar en cualquier lugar del entorno del cliente, lo que simplifica enormemente la recopilación de telemetría (desde el endpoint o la identidad). CrowdStrike Falcon® Next-Gen Identity Security amplía la seguridad más allá de la IAM tradicional. Para ello, integra la gestión de derechos sobre la infraestructura de nube (CIEM) para detectar permisos en la nube mal configurados, accesos no autorizados a las API y privilegios excesivos, lo cual garantiza una protección integral de las identidades.