La ciberseguridad corporativa ha entrado en una fase en la que los límites tradicionales ya no sirven para interpretar el riesgo. La digitalización acelerada, el trabajo remoto y la adopción masiva de servicios en la nube han disuelto el perímetro que durante décadas sostuvo la defensa de las organizaciones contra los ciberdelincuentes.
Hoy, los atacantes no necesitan vulnerar un cortafuegos ni irrumpir por fuerza bruta en la red corporativa: actúan como usuarios legítimos, emplean credenciales válidas y se mueven dentro de los sistemas sin activar alarmas evidentes.
Este desplazamiento del riesgo ha provocado que las amenazas internas ya no se identifiquen únicamente con empleados o colaboradores con acceso físico. La identidad digital se ha convertido en el vector clave del ataque.
Para los equipos de seguridad, la distinción entre un usuario autorizado y un intruso que opera con permisos válidos es ahora uno de los mayores desafíos. Así lo resume Tony Fergusson, CISO en Residencia de Zscaler, quien afirma que “los ciberdelincuentes ya no necesitan hackear la entrada en las empresas, simplemente inician sesión”.
Una nueva definición de riesgo interno
Zscaler, compañía especializada en seguridad en la nube, alerta de que el concepto de insider como ciberdelincuente ha cambiado de raíz. Fergusson subraya que “históricamente, un ‘insider’ se refería a alguien físicamente dentro de la empresa, como un empleado o un contratista con acceso físico a las oficinas. Sin embargo, los usuarios ahora están en todas partes, los datos a menudo residen en la nube y el perímetro tradicional se ha disuelto. Cualquiera que obtenga acceso a este entorno de confianza es, por definición, un insider”.
Este matiz redefine por completo el panorama de amenazas. Si un dispositivo resulta comprometido mediante malware y el ciberdelincuente obtiene acceso remoto con capacidad de ejecutar órdenes, adquiere automáticamente los mismos privilegios que el usuario legítimo. Desde ese momento, sus movimientos se camuflan entre los flujos normales de trabajo, y el adversario puede buscar puntos de acceso a sistemas críticos, copiar información sensible o preparar una exfiltración sin levantar sospechas.
El riesgo creciente de ciberdelincuentes que se comportan como empleados
El desafío para los equipos de ciberseguridad no pasa únicamente por impedir la entrada de amenazas de ciberdelincuentes, sino por identificar comportamientos anómalos dentro de un ecosistema en el que casi todo parece legítimo. Fergusson señala que “cuanto más cerca están estos adversarios de los sistemas críticos y los datos sensibles, más difícil se vuelve para las medidas de seguridad tradicionales diferenciarlos de empleados genuinos o administradores del sistema”.
Este tipo de intrusiones se sostiene sobre tácticas silenciosas, conocidas como living off the land, que aprovechan herramientas nativas y credenciales legítimas.
El resultado es un entorno donde las señales aparentes de un ataque se diluyen. No hay tráfico sospechoso, no hay archivos ejecutables desconocidos, no hay alertas de intrusión directas. Lo que existe es un patrón de actividad que puede parecer normal, aunque esconda una brecha en desarrollo.
Ciberdelincuentes de Zero Trust a Negative Trust
La industria ha asentado en los últimos años el modelo Zero Trust, basado en la premisa de no otorgar confianza por defecto a ningún usuario o dispositivo. Según Zscaler, este enfoque es imprescindible, pero ya no suficiente frente a ciberdelincuentes que obtienen credenciales válidas. Fergusson apunta que debe complementarse con un modelo emergente: Negative Trust. A su juicio, “la previsibilidad es un riesgo que muchas empresas pasan por alto. Al hacer los sistemas impredecibles, se dificulta el avance de los atacantes y se facilita su detección”.
Este planteamiento implica introducir señales de engaño controlado, variaciones en los entornos de acceso y mecanismos que permitan detectar comportamientos que no encajan en la operativa habitual. Para Zscaler, la clave está en desplazar el foco desde la identidad hacia el comportamiento, que es donde realmente se manifiesta la intención maliciosa.
Cuando el acceso se convierte en el nuevo perímetro
La estrategia de los ciberdelincuentes evoluciona con rapidez. El uso de credenciales robadas o compradas, la entrega de cookies de autenticación o incluso el pago a empleados para facilitar accesos internos sitúan a las organizaciones ante un riesgo creciente. El propio Fergusson advierte de que las amenazas internas ya no son solo fallos humanos o negligencias, sino un vector explotado activamente por organizaciones criminales.
En palabras del experto, “en una era donde el acceso es el nuevo perímetro, el comportamiento es la única señal verdadera de confianza”. La monitorización continua, el análisis avanzado del comportamiento y la adopción de arquitecturas de confianza cero ampliadas se convierten así en pilares esenciales para anticipar incidentes y reducir el tiempo de detección de las acciones de los ciberdelincuentes.
En este escenario, la combinación de modelos predictivos, telemetría en tiempo real y enfoques de seguridad basados en la identidad y el comportamiento será determinante para frenar los ataques de los ciberdelincuentes que ya no buscan romper la puerta, sino abrirla con una llave aparentemente válida.
