- La identidad híbrida convierte AD on‑prem y Azure AD en un único perímetro que debe protegerse de extremo a extremo frente a ataques y malas configuraciones.
- La combinación de MFA, modelo de mínimo privilegio, buena gobernanza de permisos y autenticación moderna reduce drásticamente el impacto de credenciales robadas.
- Herramientas como Defender for Identity, Entra ID Protection, Entra ID Governance y Sentinel permiten detectar, responder y auditar amenazas de identidad de forma unificada.
- Una estrategia Zero Trust operativa, centrada en identidades humanas y no humanas y en la cadena de suministro, es esencial para asegurar entornos híbridos complejos.
La identidad digital se ha convertido en el nuevo perímetro de seguridad de las empresas. Ya no basta con levantar muros alrededor de la red corporativa: los usuarios trabajan desde casa, desde la oficina, desde el móvil y se conectan a decenas de aplicaciones en la nube y on‑premise. Cualquier error en la protección de esas identidades abre una puerta directa a las aplicaciones, a los datos sensibles y, en definitiva, al corazón del negocio.
Cuando una organización utiliza Active Directory local combinado con Azure AD (Microsoft Entra ID), entra de lleno en el terreno de la identidad híbrida. Este modelo ofrece mucha flexibilidad, pero también multiplica la complejidad: sincronización de cuentas, autenticación federada, permisos de aplicaciones, movimientos laterales entre on‑prem y cloud, visibilidad fragmentada… Si no se gestiona con cabeza, es cuestión de tiempo que aparezca un susto serio.
Qué es la protección de identidades híbridas y por qué importa tanto
En un escenario moderno, las empresas combinan aplicaciones locales y en la nube, y los usuarios necesitan acceder a ambas de forma transparente. Para lograrlo, Microsoft y otros fabricantes ofrecen soluciones de identidad híbrida que permiten que una misma cuenta de usuario sirva para autenticarse y autorizarse frente a recursos estén donde estén: en el CPD, en Azure, en otras nubes o en SaaS de terceros.
Esta identidad híbrida se sustenta en dos pilares clave: el aprovisionamiento de identidades y la sincronización. El aprovisionamiento es el proceso de crear, actualizar y eliminar objetos (usuarios, grupos, cuentas de servicio) siguiendo ciertas reglas y condiciones, por ejemplo, cuando un empleado entra o sale de la empresa o cambia de departamento. La sincronización se encarga de que la información de identidad de los entornos locales coincida con la de la nube, evitando divergencias y huecos que puedan aprovechar los atacantes.
En el ecosistema de Microsoft, herramientas como Microsoft Entra Connect permiten esa sincronización entre Active Directory on‑prem y Azure AD. El uso de esta capacidad está incluido en la suscripción de Azure, lo que facilita que incluso organizaciones medianas puedan desplegar una estrategia de identidad híbrida sin costes de licencia adicionales específicos para esta pieza.
Aunque esta integración aporta comodidad y coherencia, también implica que una brecha en un lado del entorno (local o nube) puede tener efectos en cadena sobre todo el sistema de identidades. El caso SolarWinds demostró que comprometer AD on‑prem y la federación puede convertirse en una vía directa para manipular autenticaciones frente a Azure AD, con un impacto potencialmente masivo.
Amenazas clave: del Active Directory local a la nube (y vuelta)
Uno de los riesgos más serios en entornos híbridos es el de los ataques laterales que arrancan en Active Directory local y terminan afectando a Azure AD. Los ciberdelincuentes suelen empezar por lo básico: campañas de phishing o ingeniería social dirigidas a usuarios con poca formación o con hábitos de seguridad relajados.
Mediante estos ataques, los actores maliciosos obtienen credenciales válidas o datos sensibles (tokens, cookies de sesión, códigos de segundo factor robados por fatiga de MFA, etc.). Los incidentes de SolarWinds y Colonial Pipeline son ejemplos muy citados donde el acceso inicial se consiguió explotando credenciales o cuentas mal gestionadas, no tanto mediante sofisticadas vulnerabilidades técnicas.
En el caso de SolarWinds, una vez que los atacantes se adueñaron de Active Directory on‑prem y de la federación ADFS, pudieron falsificar tokens SAML y conseguir acceso a recursos protegidos por Azure AD. Es decir, el entorno local comprometido se convirtió en un trampolín perfecto para la nube, demostrando que si la identidad híbrida no se protege de extremo a extremo, el eslabón más débil contagia a todos los demás.
Además de la obtención de credenciales, los atacantes buscan elevar privilegios y moverse lateralmente una vez dentro. Si la segmentación de identidades, la separación de roles y el principio de mínimo privilegio brillan por su ausencia, una cuenta relativamente poco sensible puede terminar abriendo puertas a sistemas críticos, dominios adicionales o incluso a la propia plataforma de identidad en la nube.
Medidas básicas para frustrar a los atacantes en entornos híbridos
La primera capa de defensa, por obvia que parezca, sigue siendo la autenticación multifactor (MFA). Las contraseñas robadas, filtradas o reutilizadas son una de las armas favoritas de los criminales. Con MFA correctamente desplegada, el uso de credenciales robadas se complica, porque el atacante necesita además ese segundo factor (token, notificación push, biometría, etc.).
Ahora bien, hay que tener cuidado con la fatiga de MFA. Si los usuarios reciben demasiadas notificaciones o retos, pueden acabar aceptando de forma automática una petición de acceso maliciosa. Para reducir este riesgo, conviene adoptar enfoques más inteligentes (MFA solo en contextos de riesgo, prompts con información clara del intento de inicio de sesión, limitación de reintentos, etc.) y educar a la plantilla para que entienda que no todo “sí” es inocuo.
El siguiente paso es revisar el modelo de autenticación entre el entorno local y la nube. ADFS, aunque muy extendido, añade complejidad y superficie de ataque: servidores que parchear, certificados, hardware que mantener, puntos de fallo adicionales y posibilidades de mala configuración. Mantener esta infraestructura exige disciplina férrea para no dejar huecos.
En muchos casos tiene más sentido migrar hacia la autenticación Pass-through de AD o la sincronización de hash de contraseñas con Azure AD. La autenticación Pass-through usa un modelo de conexión saliente y autenticación basada en certificados para que el propio Active Directory local valide la contraseña, sin exponer directamente los controladores de dominio hacia Internet. Combinada con medidas nativas de Azure AD (MFA, acceso condicional, protección de identidades), ofrece una alternativa más sencilla y robusta que ADFS.
Por otro lado, servicios como Azure AD Application Proxy permiten publicar aplicaciones on‑premise empleando credenciales de Azure AD y un túnel saliente seguro, ofreciendo al usuario la misma experiencia que con cualquier app SaaS integrada, pero sin abrir puertos peligrosos ni depender de VPN tradicionales que muchas veces son un coladero.
Desviación y complejidad de la configuración en identidades híbridas
La protección de identidades híbridas hace que el día a día de administradores de AD, especialistas en identidad y equipos de seguridad sea bastante más exigente. Las amenazas cambian constantemente, y mantener blindados los activos de “nivel 0” (controladores de dominio, Azure AD, sistemas críticos) exige atención continua.
Usar Azure AD como proveedor de identidad para aplicaciones de terceros añade otra capa de dificultad. Muchas de estas aplicaciones pueden leer y almacenar datos de directorio, lo que amplía el perímetro de riesgo: ya no solo debes confiar en la seguridad de Microsoft, sino también en la de cada proveedor con el que te integras. Un fallo o una mala práctica en cualquiera de ellos se traduce en exposición.
Un punto especialmente delicado es la asignación de permisos de aplicación en Azure AD. Si se conceden permisos excesivos o poco revisados (por ejemplo, permisos de Graph con privilegios altos cuando la app apenas necesita leer un par de atributos), se incrementa el riesgo de que una aplicación comprometida pueda modificar configuraciones del tenant, crear cuentas, alterar grupos o espiar información a gran escala.
Además, no todas las aplicaciones son compatibles con MFA u otros mecanismos modernos de control de acceso. Algunas dependen de protocolos heredados o de flujos de autenticación que no admiten fácilmente factores adicionales, quedando sujetas solo a las defensas internas que el proveedor haya implementado. Estos “eslabones antiguos” suelen ser un objetivo prioritario para los atacantes.
Todo esto se traduce en que la configuración se va desviando con el tiempo: apps que se dieron de alta deprisa y corriendo, permisos que nadie revisa, roles que se asignan “por si acaso”… El entorno se vuelve un rompecabezas difícil de entender incluso para el propio equipo de seguridad.
Cómo reforzar el acceso y la gobernanza en Azure AD / Entra
Para compensar esa complejidad, hace falta una gobernanza estricta de permisos y accesos. No se trata solo de poner más barreras, sino de tener claro quién puede hacer qué, desde dónde y por cuánto tiempo, y de revisar que eso siga teniendo sentido según pasa el tiempo.
Un primer bloque de acciones pasa por auditar de forma periódica las aplicaciones registradas en Azure AD, sus permisos y las cuentas de servicio que emplean. Revisar qué permisos realmente son necesarios, retirar los que no se usan y aplicar restricciones granularmente evita que una app, legítima pero sobredimensionada en privilegios, se convierta en un arma de doble filo.
En paralelo, conviene revisar a fondo el modelo de RBAC (control de acceso basado en roles) de Azure AD. La forma de asignar roles en la nube no es idéntica a la de los grupos de seguridad y delegaciones tradicionales de Active Directory on‑prem, así que no vale con replicar esquemas sin pensarlo. Hay que diseñar roles ajustados a tareas concretas y evitar los perfiles “omnipotentes” salvo para contadas cuentas muy controladas.
Aplicar de verdad el principio de mínimo privilegio significa, entre otras cosas, no añadir a roles privilegiados de Azure AD (como Administrador global) cuentas que provienen directamente de la sincronización con AD on‑prem. Es preferible que esos roles críticos recaigan en cuentas nativas de Azure AD, mejor si están protegidas con MFA fuerte, dispositivos de confianza y, a poder ser, acceso Just‑in‑Time mediante herramientas de privilegio temporal.
La creación de unidades administrativas en Azure AD ayuda también a delimitar mejor quién puede tocar qué. Permite, por ejemplo, que un equipo de soporte de una región solo pueda gestionar usuarios de esa región, en lugar de tener visibilidad sobre todo el tenant. Así se reducen los riesgos de errores y se limita el impacto de una posible cuenta administrativa comprometida.
Desconfiguraciones, vulnerabilidades y garantía de recuperación
En cualquier solución de gestión de identidades, los errores de configuración y las vulnerabilidades son puntos de entrada recurrentes para los atacantes. Aunque Azure AD está soportado sobre servicios gestionados donde Microsoft se encarga de la seguridad de la infraestructura, la protección de los datos y de la configuración del tenant es responsabilidad directa del cliente.
Durante un ataque, no es raro que los adversarios intenten modificar o eliminar usuarios, grupos, roles, políticas de acceso condicional o dispositivos, para abrirse camino y, de paso, dificultar la respuesta del equipo de seguridad. Si la organización no cuenta con un plan de recuperación sólido y probado, el impacto puede ser prolongado y mucho más caro de lo que haría falta.
Los controles nativos para restaurar la configuración de Azure AD son bastante limitados. La papelera de reciclaje permite recuperar objetos de usuario eliminados durante un periodo de unos 30 días, pero no ofrece capacidades amplias para revertir cambios masivos de políticas, grupos o roles en caso de ataque. Más allá de eso, restaurar el estado del entorno puede convertirse en una pesadilla manual si no se han tomado medidas preventivas.
Muchas veces, los atacantes se mueven lateralmente desde AD on‑prem a la nube, o a la inversa, aprovechando sincronizaciones y relaciones de confianza. Detectar este tipo de movimientos no siempre es sencillo con herramientas básicas de monitorización. Hace falta correlacionar eventos entre múltiples sistemas y tener una visión unificada de lo que sucede en tiempo casi real.
Por eso es tan importante complementar las capacidades nativas con soluciones avanzadas de seguimiento de cambios y reparación automática. Este tipo de herramientas permiten registrar quién ha cambiado qué, cuándo y desde dónde, y en algunos casos revertir automáticamente acciones sospechosas, protegiendo frente a credenciales robadas o incluso frente a personal interno malintencionado con permisos elevados.
Visibilidad y respuesta unificadas: Microsoft Entra, Defender for Identity y Sentinel
La visibilidad sobre lo que ocurre en el entorno híbrido es el pegamento que mantiene todo lo anterior unido. Herramientas como Microsoft Defender for Identity y Microsoft Entra, integradas con Microsoft 365 Defender y Microsoft Sentinel, permiten que las alertas relacionadas con identidades no queden aisladas, sino que se analicen junto a señales de endpoint, correo electrónico, aplicaciones y otros servicios en la nube.
Al integrar estas piezas, los equipos de seguridad pueden disponer de una respuesta centralizada a incidentes: investigar en un único panel si una cuenta sospechosa ha iniciado sesión desde ubicaciones anómalas, si ha intentado escalar privilegios, si el mismo usuario está implicado en comportamientos raros en el correo o en el endpoint, etc. Esta correlación multidominio es clave para pasar de un SOC reactivo a uno claramente proactivo.
Además, gracias a la orquestación y la automatización, es posible desplegar playbooks automáticos que, ante ciertas alertas de riesgo, ejecutan acciones directas: deshabilitar una cuenta, forzar un reseteo de contraseña, aplicar políticas de acceso condicional más estrictas o aislar un dispositivo. De este modo, se reduce drásticamente el tiempo entre la detección y la contención.
Herramientas como Sentinel permiten también realizar caza avanzada de amenazas mediante consultas KQL sobre grandes volúmenes de registros. Esto facilita identificar patrones sutiles, como intentos de dominio dominante, abuso de golden tickets, uso indebido de cuentas de servicio o intentos de movimiento lateral en varios saltos.
Con paneles personalizados, conectores de datos específicos para Entra y Defender for Identity y la posibilidad de fusionar fuentes de inteligencia de amenazas externas, Sentinel se convierte en un centro neurálgico de visibilidad para la identidad híbrida y el resto del entorno.
Contención adaptativa: Entra ID Protection y políticas basadas en riesgo
Detectar es solo la primera parte del trabajo. Con Entra ID Protection, esa información se traduce en acciones automáticas. Este servicio analiza patrones de uso y señales de riesgo (ubicaciones imposibles, direcciones IP anómalas, dispositivos comprometidos, etc.) para etiquetar inicios de sesión y cuentas como de bajo, medio o alto riesgo.
Sobre esa base, se pueden definir políticas de acceso condicional basadas en riesgo que bloquean determinados inicios de sesión o exigen MFA adicional en función del contexto. Por ejemplo, se puede impedir de forma automática el acceso desde ubicaciones consideradas de alto riesgo, o forzar MFA si el usuario intenta entrar desde un dispositivo que no ha utilizado nunca.
Otra pieza clave es la remediación del riesgo de usuario: se pueden automatizar flujos que obliguen a cambiar la contraseña o a inscribirse en MFA a las cuentas que se categorizan como comprometidas, reduciendo la ventana de exposición. A partir del análisis de incidentes pasados, es posible refinar las políticas para minimizar falsos positivos y mantener un equilibrio razonable entre seguridad y usabilidad.
Este modelo de seguridad adaptable hace que las defensas evolucionen al mismo ritmo que el panorama de amenazas, en lugar de basarse en reglas estáticas que pronto quedan desfasadas.
Privilegio mínimo y gobernanza a escala: Entra ID Governance
La protección de la identidad no consiste solo en parar ataques, sino también en reducir al máximo el impacto potencial de cualquier cuenta comprometida. Aquí entra en juego Microsoft Entra ID Governance, que proporciona mecanismos para aplicar el principio de mínimo privilegio de forma organizada.
Con estas capacidades, las organizaciones pueden automatizar revisiones de acceso periódicas, de manera que los responsables de negocio confirmen o retiren accesos a recursos sensibles. Así se evita la acumulación de permisos a lo largo de los años, uno de los grandes males del trabajo híbrido, donde las personas cambian de rol pero conservan todos los derechos de los puestos anteriores.
Otro enfoque muy potente es el acceso Just‑in‑Time. En vez de otorgar permisos elevados de forma permanente, se concede acceso privilegiado solo durante un intervalo concreto y bajo solicitud justificada. Al acabar la tarea, los privilegios desaparecen automáticamente, reduciendo muchísimo el margen de maniobra de un atacante que lograra hacerse con esa cuenta.
La gestión de derechos (entitlement management) permite además controlar el acceso a aplicaciones y grupos a través de paquetes de acceso y flujos de aprobación basados en políticas, integrando también a usuarios externos, como proveedores o socios. Esto es esencial en un ecosistema donde la cadena de suministro introduce un número creciente de identidades ajenas pero con acceso al entorno interno.
Al aplicar estos principios de forma coherente sobre usuarios humanos, cuentas de servicio, APIs y aplicaciones, se dificulta el movimiento lateral y se facilita enormemente la labor de auditoría y cumplimiento normativo.
El nuevo perímetro: identidades humanas y no humanas
La adopción masiva del cloud, el trabajo híbrido, la proliferación de APIs y la dependencia de terceros han hecho que el perímetro clásico de red pierda sentido. Zero Trust se ha consolidado como un marco de referencia para afrontar esta realidad, pero no es un producto ni un proyecto de “implantar y olvidar”, sino una estrategia operativa en constante evolución.
Uno de los errores habituales es reducir Zero Trust a sustituir la VPN por otra cosa y activar MFA. Son pasos necesarios, pero totalmente insuficientes. En los entornos actuales, el verdadero perímetro es la identidad: no solo de las personas, sino también de aplicaciones, cargas de trabajo, cuentas de servicio y APIs, que generan un volumen enorme de identidades no humanas.
Cada una de estas identidades representa un punto de acceso potencial que debe ser verificado de manera continua, contextual y bajo mínimo privilegio. Cualquier estrategia que deje fuera una parte de estas identidades (por ejemplo, centrarse solo en usuarios finales y olvidarse de las cuentas de servicio o de las integraciones API‑a‑API) se queda coja y abre ventanas que los atacantes saben aprovechar.
Otro reto muy común es la fragmentación de controles: organizaciones con buenas defensas en la nube pero entornos on‑prem descuidados, usuarios protegidos pero dispositivos y APIs prácticamente desatendidos, o proveedores con accesos privilegiados sin apenas supervisión. Esta seguridad a trozos genera una falsa sensación de protección y multiplica los huecos entre silos.
Los marcos de madurez de Zero Trust, alineados con estándares como NIST, apuntan a un progreso gradual y coordinado a lo largo de varios pilares (identidad, dispositivo, red, aplicaciones y datos). Pero más allá del papel, el reto real es operativizar todo esto sin convertir el día a día en un infierno. Si Zero Trust añade demasiada fricción o reduce la visibilidad, aparecerán resistencias internas y atajos inseguros.
Trabajo híbrido, acceso masivo y cuentas huérfanas
El auge del trabajo híbrido no solo ha cambiado el lugar desde el que se trabaja, sino también qué tiene que proteger la organización. Cuando los empleados acceden a recursos corporativos desde redes domésticas, cafeterías o espacios compartidos, la pregunta relevante ya no es si “están dentro de la red”, sino si deben acceder a ese recurso concreto, en ese momento y desde ese contexto.
Durante la pandemia, el trabajo remoto explotó de la noche a la mañana y con él llegó una avalancha de solicitudes de acceso: VPN, apps SaaS, recursos en la nube, herramientas colaborativas. Muchas organizaciones concedieron acceso deprisa para no frenar la actividad, pero lo que se da en caliente rara vez se revisa después. El resultado es una pérdida de control sobre los derechos: usuarios que acumulan permisos que ya no necesitan y sistemas que se solapan sin que nadie tenga una foto completa.
Las cuentas huérfanas o inactivas son otro clásico. Cuando un empleado se marcha o cambia de puesto, sus credenciales a menudo permanecen activas en sistemas que no están bien integrados con los procesos de RR. HH. La brecha de Colonial Pipeline, donde los atacantes usaron una cuenta VPN que ya no estaba en uso real, es un ejemplo claro de cómo una simple cuenta olvidada puede acabar teniendo consecuencias millonarias.
En entornos híbridos, proveedores, contratistas y socios también necesitan acceso regular a sistemas internos. Ese acceso suele concederse al inicio del proyecto y rara vez se revisa. Con el tiempo, se forma una larga cola de credenciales de terceros que quedan fuera de los ciclos normales de aprovisionamiento y revisión, creando justo ese tipo de confianza implícita que Zero Trust intenta eliminar.
Y una vez que un atacante consigue un conjunto de credenciales válidas, la pregunta clave es hasta dónde puede moverse lateralmente. Si los límites de acceso son débiles, la respuesta pocas veces es tranquilizadora. La defensa más efectiva no es únicamente detectar mejor lo que ocurre, sino diseñar el entorno de tal forma que incluso una cuenta comprometida tenga un recorrido muy limitado.
Para tomar buenas decisiones de acceso hace falta visibilidad. En un entorno híbrido, los datos de identidad están dispersos entre directorios locales, aplicaciones en la nube, herramientas SaaS y plataformas de infraestructura. Sin una vista unificada de quién tiene acceso a qué, las revisiones periódicas se convierten en un ejercicio de fe más que en un control serio.
La clave está en que la gobernanza de la identidad permita que las personas adecuadas tengan el acceso adecuado en el momento oportuno, manteniendo un equilibrio entre seguridad, productividad y privacidad. No se trata de poner puertas al campo, sino de evitar puertas traseras que nadie supervisa.
Todo este conjunto de prácticas, tecnologías y enfoques —desde MFA bien planteada hasta el uso conjunto de Defender for Identity, Entra ID Protection, Entra ID Governance y Sentinel, pasando por un control estricto de permisos, una visión unificada del entorno y una estrategia Zero Trust operativa— conforma el camino más sólido para que la protección de identidades híbridas deje de ser un dolor de cabeza reactivo y se convierta en una capacidad estratégica que acompaña al negocio, permitiéndole crecer sin perder el control sobre quién accede a qué en cada momento.
