Entrada

Identity Threat Detection and Response: detectar el compromiso inevitable

ITDR (Identity Threat Detection and Response) es una categoría de seguridad que asume que las credenciales serán comprometidas y centra el foco en detectar el uso malicioso de identidades legítimas. Resuelve el vacío entre la prevención de los IdP y la detección de endpoint tradicional, en un terreno donde las técnicas de ataque ya no explotan vulnerabilidades sino privilegios. Ocupa un lugar propio en la arquitectura Zero Trust junto a CAEP, SIEM y XDR.

Publicado
Por Xabier Gabiña
7 min de lectura
Identity Threat Detection and Response: detectar el compromiso inevitable

Este artículo forma parte de la serie La evolución de la seguridad en aplicaciones modernas.

Durante años la industria asumió que, con MFA, política de contraseñas y un IdP decente, el problema de la identidad estaba resuelto. Los incidentes grandes de los últimos años desmintieron la tesis: los atacantes no rompen los protocolos de autenticación, roban las credenciales ya emitidas o abusan de configuraciones privilegiadas. ITDR (Identity Threat Detection and Response) es la respuesta operativa a esa realidad: una categoría que asume que la prevención fallará y concentra los recursos en detectar el compromiso cuando ocurre.

Por qué ITDR aparece ahora

El modelo clásico de seguridad trataba la identidad como un control de admisión. Una vez validada, la sesión se consideraba de confianza. Las herramientas se concentraban en el perímetro, el endpoint y la red. Mientras tanto, los informes de respuesta a incidentes de los últimos años señalan que la mayoría de las brechas relevantes implican credenciales válidas, no exploits: phishing que captura tokens, infostealers que copian cookies de sesión, listas de credenciales filtradas, abuso de cuentas de servicio con privilegios excesivos.

El problema estructural es que la telemetría de identidad estaba fragmentada. Los eventos de Active Directory vivían en un sitio, los del IdP SaaS en otro, los de los endpoints en un tercero. Los SIEM los correlacionaban con dificultad, y la detección de comportamientos sutiles como Kerberoasting o DCSync quedaba fuera del radar. ITDR consolida esa visibilidad y añade detección específica de técnicas que ningún antivirus iba a encontrar porque no hay malware, solo uso legítimo desde el punto de vista del sistema operativo.

Gartner acuñó el término en 2022 y para 2024 era una categoría madura con varios líderes consolidados. La transición del modelo preventivo al modelo de detección continua es parte del mismo movimiento que impulsa Zero Trust: verificación en todo momento y respuesta automatizada cuando la confianza cae.

Cómo funciona ITDR

Qué detecta

Las técnicas que ITDR persigue son las del arsenal post-explotación moderno. Credential stuffing prueba listas de credenciales filtradas contra muchos usuarios; password spraying hace lo mismo con pocas contraseñas comunes contra muchas cuentas, para evadir bloqueos por intentos fallidos. Kerberoasting solicita service tickets (TGS) a cuentas de servicio y los craquea offline aprovechando que el cifrado usa la clave de la cuenta. AS-REP Roasting explota cuentas que no requieren preautenticación Kerberos.

En el lado más grave, DCSync simula un controlador de dominio y solicita replicación, obteniendo hashes de todas las cuentas, incluida la KRBTGT. Con esa clave se fabrica un Golden Ticket, un TGT arbitrario firmado por el dominio que concede acceso persistente. El Silver Ticket, más quirúrgico, falsifica un TGS para un servicio concreto. Pass-the-Hash y Pass-the-Ticket reutilizan materiales robados sin conocer la contraseña original.

A nivel de sesión, ITDR busca señales de MFA fatigue (bombardeo de retos al usuario hasta que acepta uno), session hijacking con tokens robados, y comportamientos anómalos en flujos on-behalf-of o de Token Exchange donde una identidad impersona otra más allá de lo esperado.

Fuentes de telemetría

La detección se alimenta de varias capas. Los logs del IdP (Okta System Log, Entra ID sign-in logs, Auth0 logs) aportan contexto de autenticación moderna: método usado, geolocalización, dispositivo, resultado. Los eventos clásicos de Active Directory son fundamentales: el 4624 (logon exitoso) y 4625 (fallido), el 4768 (TGT solicitado) y 4769 (TGS solicitado), el 4776 (validación NTLM). La frecuencia y patrón de estos eventos delata ataques a Kerberos sin necesidad de inspeccionar tráfico.

El tráfico de red aporta la capa de LDAP y SMB: consultas anómalas al directorio, enumeración de usuarios y grupos, tráfico de replicación hacia hosts que no son DC. Y sobre todo, la base es la línea de comportamiento normal: desde qué ubicación, a qué hora, con qué dispositivo, a qué recursos accede cada cuenta. Las desviaciones son las que generan alertas útiles.

Respuesta

Detectar sin responder es ruido. Los productos ITDR se integran con el IdP para bloquear cuentas, invalidar sesiones activas, forzar re-autenticación con MFA, o cambiar el nivel de garantía requerido. Hacia fuera, alimentan SIEM (Splunk, Sentinel) para correlación amplia, XDR para cruzar con señales de endpoint, y SOAR para automatizar playbooks. La relación con CAEP y Shared Signals es natural: ITDR es el detector, CAEP el canal que propaga la revocación en tiempo real a todas las aplicaciones protegidas.

El mercado

Microsoft Defender for Identity, evolución de Azure ATP, se centra en Active Directory on-prem y está integrado con Defender for Cloud Apps y Entra ID. CrowdStrike Falcon Identity Protection, nacido de la adquisición de Preempt en 2020, destaca por integrar identidad con su plataforma de endpoint y por la inspección inline del tráfico Kerberos y LDAP. Silverfort se posiciona con un enfoque de MFA en cualquier recurso, incluidos protocolos legacy que nunca lo soportaron nativamente.

Semperis se especializa en resiliencia de Active Directory, con énfasis en recuperación tras ransomware y detección de cambios sospechosos en el directorio. Quest Change Auditor y Netwrix llevan años en el nicho de auditoría de AD, reposicionándose en clave ITDR. Los SIEM grandes (Splunk, Sentinel, Chronicle) ofrecen contenido de detección para las mismas técnicas, pero sin la visibilidad directa del plano de identidad que tienen los productos especializados.

La diferencia entre un SIEM con reglas para ataques de identidad y un ITDR dedicado es la latencia y la integración con la respuesta. El SIEM detecta; el ITDR detecta y corta.

Cuándo tiene sentido ITDR

Cuándo sí

ITDR es prácticamente obligatorio para organizaciones con Active Directory on-prem maduro y más de unos cientos de usuarios. AD acumula décadas de deuda de configuración, cuentas de servicio con privilegios excesivos, delegaciones olvidadas y caminos de escalada que los atacantes conocen al dedillo. Sin un producto específico que audite el directorio y vigile los logs con detección contra técnicas conocidas, el ataque ocurrirá inadvertido.

El segundo caso claro es el sector regulado, donde detectar compromiso de identidad dentro de plazos cortos está en los requisitos de notificación y auditoría. Finanzas, sanidad, infraestructura crítica y administración pública entran aquí.

El tercero es la organización híbrida, con parte on-prem y parte cloud, donde los caminos de ataque cruzan entre AD y Entra ID o similar. La sincronización entre ambos mundos es un vector clásico que solo un producto con visión en ambos lados detecta.

Cuándo no

Una startup cloud-native sin AD, donde toda la identidad vive en Okta o Entra ID y los recursos se acceden mediante OIDC, no necesita un ITDR dedicado en los primeros años. La detección que ofrece el propio IdP, combinada con reglas de SIEM bien escritas y la disciplina de Privileged Access Management para cuentas administrativas, cubre la superficie real. Contratar Silverfort o Defender for Identity antes de tener AD es pagar por capacidades que no se van a explotar.

Tampoco compensa en organizaciones muy pequeñas, donde el coste del producto y la operación de las alertas supera el riesgo inherente a su tamaño. La prioridad en ese tramo es MFA bien desplegado, gestión de contraseñas, y los controles básicos de endpoint.

Encaje en el ecosistema

ITDR no sustituye al IdP ni al SIEM: los complementa. Por debajo, consume la telemetría que generan Kerberos, LDAP y Active Directory y los IdP modernos. Por arriba, alimenta a Zero Trust con la señal de riesgo que permite pasar de “permitir siempre tras autenticar” a “permitir cuando la confianza se mantiene”. Con CAEP cierra el bucle: detecta el compromiso y ordena la revocación a través del canal estándar de Shared Signals. Con Privileged Access Management comparte el foco sobre cuentas sensibles, cubriendo uno el control preventivo y otro la vigilancia continua.

Artículos relacionados en esta serie

Referencias

  • Gartner (2022). Emerging Technologies: Identity Threat Detection and Response.
  • MITRE (2023). ATT&CK Framework — Credential Access and Lateral Movement Tactics.
  • Microsoft (2024). Defender for Identity Documentation.
  • CrowdStrike (2024). Falcon Identity Protection Technical Overview.
  • OpenID Foundation (2021). Shared Signals and Events Framework Specification.
DevSecOps, Seguridad de Aplicaciones
ITDR Identidad Detección Kerberos Active Directory Zero Trust
Esta entrada está licenciada bajo CC BY 4.0 por el autor.