Artículo
29 agosto 2025

Ransomware-as-a-Service y ataques a la cadena de suministro: ¿qué sistema de alerta tenemos activado?

La identidad no es un checkbox más en la lista de tareas de seguridad. 

Hace unos años, durante mi etapa como Sales Engineer en Citrix, me enfrenté a una situación que, a día de hoy, sigue siendo una lección imborrable. Una importante organización del sector asegurador, con una infraestructura considerada crítica, fue víctima de un ataque de ransomware. Lo más alarmante no fue la sofisticación del malware, sino la sutileza de la entrada: el ataque se ejecutó utilizando una identidad de un proveedor de la cadena de suministro que ya existía, sin control, sin fecha de expiración ni supervisión activa. Un acceso que parecía legítimo, tratado como neutral, era en realidad la llave maestra a sus datos más sensibles.

Esa experiencia me lleva a preguntarme: ¿cuántas empresas están generando usuarios internos o de sistema (humanos y no humanos) sin aplicar una gobernanza estricta? ¿Cuántos accesos fantasma siguen activos meses o incluso años después de dejar de ser necesarios? Quien no se hace estas preguntas hoy, está dejando la puerta abierta para que el ransomware como servicio (RaaS) haga su labor con precisión quirúrgica.

Imaginemos un escenario común: una empresa contrata un servicio externo que requiere integración mediante API o bots automatizados, las llamadas identidades no humanas. Se crea una cuenta de servicio con privilegios amplios, sin un control de acceso Just-in-Time y sin un ciclo de revisión periódica. Esa identidad persiste, se mueve y actúa sin supervisión. Un pequeño fallo en esa herramienta de terceros, un eslabón débil en la cadena de suministro, y podemos terminar con todo un dominio comprometido.

La identidad no es un checkbox más en la lista de tareas de seguridad. Es la materia prima del ataque: se crea antes del inicio de sesión, se utiliza durante la sesión y persiste mucho después, a menudo hasta que alguien se da cuenta del peligro. Cuando ocurre un evento inesperado, ya no estamos defendiendo un perímetro; estamos intentando cerrar un sinfín de puertas mal monitorizadas.

Te invito a reflexionar sobre tu propia organización:

  • ¿Qué pasaría si esa identidad técnica, aparentemente «inofensiva», comenzara a comportarse fuera de su patrón habitual?
  • ¿Cuánto tiempo transcurre desde que se descubre un comportamiento anómalo hasta que se revoca el acceso comprometido?
  • ¿De cuántos accesos fantasma o no humanos ni siquiera tienes visibilidad completa?

La oportunidad de mejora reside en gestionar la identidad como un ciclo de vida completo, desde su creación hasta su eliminación:

  1. Gobernanza desde el Origen: El aprovisionamiento de usuarios debe ser un proceso controlado, con criterios claros de caducidad y alcance definidos según la necesidad real (least privilege). Esto reduce drásticamente la superficie de ataque.
  2. Control de Acceso en Tiempo Real: La autenticación debe ser contextual y adaptativa, aplicando políticas de mínima confianza tanto para humanos como para máquinas. Al detectar un comportamiento inusual, es crucial poder interrumpir el flujo de acceso de forma inmediata.
  3. Supervisión Activa y Certificación: No basta con revisar logs y eventos una vez al mes. Es fundamental certificar los accesos con campañas periódicas, auditar las identidades en uso y automatizar la revocación si un acceso se desvía de su comportamiento esperado.
  4. Gestión Post-Sesión Inteligente: La defensa no termina con el logout. Herramientas como el Universal Logout, la detección proactiva de amenazas y el análisis de la postura de seguridad de la identidad (ISPM) permiten detener un ataque cuando el control aún está de nuestro lado.

La reflexión final es clara: en un escenario dominado por el RaaS y los ataques a la cadena de suministro, la identidad es, simultáneamente, el principal vector de ataque y la solución más eficaz. Donde se juzga al atacante, se controla la identidad. Donde hay automatización sin visibilidad, hay vulnerabilidad. Donde el acceso no caduca, el riesgo persiste.

Estoy convencido de que muchas empresas siguen operando con arquitecturas de identidad heredadas que no se cuestionan. Ese modelo ya no es válido. Las amenazas evolucionan y nosotros debemos adelantarnos. No con miedo, sino con inteligencia; no con alarmismo, sino con responsabilidad.

¿Te ha parecido útil este contenido?

 
Más información en: https://www.okta.com/
Iván Rodríguez
Okta
Senior Solutions Engineer
Cybersecurity Ransomware

Te puede interesar

Conociendo a Primion, nuevo asociado @aslan
06 Oct 2025
ALEA SOLUCIONES presenta su solución antiDDoS
03 Oct 2025
ZSCALER: El ransomware se dispara: España registra un aumento superior al 116% en ataques, uno de los mayores de Europa
03 Oct 2025
TRANSPARENT EDGE obtiene la certificación ENS en categoría alta
03 Oct 2025
Buenas prácticas de gobierno del dato y cumplimiento regulatorio
03 Oct 2025
¿Confías en la nube? Hazlo solo si controlas quién entra y quién sale
08 May 2025
Seguridad en el Cloud
30 Abr 2025
OKTA consolida su liderazgo en identidad digital con resultados financieros excelentes y crecimiento estratégico en su expansión
11 Mar 2025
Identity management, la base de la seguridad corporativa
16 Feb 2025
Asociación @aslan
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.