Durante años, la seguridad se organizó alrededor del perímetro de red. Dentro estaba lo seguro, fuera estaba lo peligroso. Era un modelo claro que funcionaba bien en un mundo donde la infraestructura era física y los empleados trabajaban desde una ubicación fija.

Ese modelo ya no funciona. El trabajo remoto, el cloud y las identidades distribuidas han disuelto ese perímetro. Lo que queda son las identidades: cuentas de usuario, cuentas de servicio y credenciales de aplicaciones y sistemas automatizados.

Proteger esas identidades requiere algo más que gestionar contraseñas o activar el doble factor de autenticación. Requiere detectar cuándo esas identidades están siendo comprometidas, incluso cuando el atacante ya tiene credenciales válidas y actúa dentro del sistema como si fuera un usuario legítimo.

Por qué los controles actuales no son suficientes

Las soluciones de seguridad convencionales tienen limitaciones concretas frente a los ataques basados en identidades. Estas son las más significativas para entender por qué el ITDR cubre un espacio que de otra forma queda expuesto:

1. Los sistemas IAM controlan quién puede acceder a qué, pero no detectan comportamiento anómalo dentro de ese acceso ya autorizado.
2. Los SIEM tradicionales generan mucho ruido y tienen dificultad para correlacionar eventos de identidad con el contexto necesario para detectar un ataque real.
3. El MFA protege el inicio de sesión, pero no detecta lo que ocurre después de que el atacante ya ha entrado con credenciales válidas robadas.
4. Las soluciones EDR cubren endpoints, pero no las identidades de aplicaciones, cuentas de servicio o accesos cloud que operan fuera del endpoint.
5. Las auditorías periódicas de acceso son estáticas: solo detectan problemas cuando alguien las revisa, no en tiempo real mientras ocurre el ataque.

Cada uno de estos controles es necesario e importante. Ninguno, por sí solo, cierra el hueco que existe entre saber quién tiene acceso y saber si ese acceso está siendo utilizado de forma legítima en este momento. El ITDR existe para cubrir exactamente ese espacio.

Qué es el ITDR y de dónde viene

ITDR son las siglas de Identity Threat Detection and Response. Es una categoría de seguridad que nació de la confluencia entre la gestión de identidades (IAM) y las capacidades de detección y respuesta. Su aparición responde a una necesidad que las soluciones existentes no cubrían de forma nativa.

El problema que resuelve es concreto: las soluciones de IAM gestionan qué identidades existen y qué pueden hacer, pero no monitorizan lo que esas identidades hacen después de autenticarse. El ITDR cierra ese ciclo añadiendo detección continua sobre el comportamiento de las identidades ya dentro del sistema.

El resultado es una capacidad de detección que ninguna de las capas anteriores podía ofrecer de forma nativa: saber no solo quién entró, sino qué hizo después de entrar, si ese comportamiento es coherente con su rol habitual y si hay algún patrón que indique que la identidad está siendo usada por alguien que no debería tenerla.

Cómo funciona técnicamente

El ITDR actúa sobre múltiples fuentes de datos simultáneamente: Active Directory, proveedores de identidad en la nube, logs de acceso y patrones de comportamiento de usuarios y cuentas de servicio a lo largo del tiempo.

Analiza esos datos en busca de desviaciones respecto a la línea base habitual de cada identidad. Un usuario que accede de repente a recursos que nunca había necesitado. Una cuenta de servicio que ejecuta comandos fuera de su patrón normal. Un intento de escalada de privilegios que no corresponde a ninguna solicitud autorizada.

Cuando detecta una anomalía con suficiente nivel de confianza, puede responder de forma automática: bloquear la cuenta, solicitar verificación adicional o generar una alerta priorizada para el equipo de seguridad. La velocidad de respuesta es parte esencial de su valor, porque en los ataques basados en identidades el tiempo marca la diferencia entre contener el incidente y perder el control.

La integración con los flujos de respuesta a incidentes existentes es otro factor determinante. Un ITDR que genera alertas que nadie procesa, o que no está conectado con los procesos de contención y recuperación, añade visibilidad sin añadir capacidad de respuesta real. Esas dos cosas deben ir siempre juntas.

Cómo empezar a implementarlo

El punto de partida es siempre el inventario. Antes de proteger identidades, hay que saber cuántas existen en el entorno, qué tipo son y qué nivel de acceso tienen sobre los sistemas más críticos de la organización.

Las cuentas de servicio y las cuentas con privilegios elevados son la prioridad. Son las que los atacantes buscan primero porque tienen más acceso y suelen estar menos monitorizadas que las cuentas de usuario estándar. Empezar por ellas concentra el esfuerzo donde el riesgo real es mayor.

La implementación no requiere reemplazar toda la infraestructura existente. La mayoría de las soluciones de ITDR se integran con lo que ya hay. La clave es empezar por los activos más críticos y expandir el alcance de forma progresiva a medida que el equipo gana experiencia y confianza con el sistema.

La seguridad de identidades ya no es opcional

Un porcentaje alto y creciente de los ataques exitosos implica el compromiso de credenciales, ya sea mediante phishing, robo de sesión o compra de accesos. No es una estadística menor: es una señal clara de dónde hay que poner el foco de la estrategia de seguridad en 2026 y en los años que vienen.

Las organizaciones que protegen sus identidades con la misma atención y los mismos recursos que dedican a sus endpoints están un paso por delante. En ciberseguridad, ese paso suele ser la diferencia entre detectar un ataque a tiempo y descubrir sus consecuencias cuando ya es demasiado tarde para contenerlas.