- La identidad se convierte en la nueva vulnerabilidad
Clase Turista
Unit 42, el equipo de investigación y respuesta a incidentes de Palo Alto Networks publicó su Global Incident Response Report 2026, un análisis de más de 750 casos atendidos entre 2024 y 2025 que muestra un cambio de ritmo en el delito digital y confirma que la identidad —es decir, las cuentas y permisos de usuarios y servicios que dan acceso a sistemas y datos; por ejemplo, el usuario y contraseña de un empleado— es hoy la vía más usada para entrar y moverse dentro de las organizaciones.
En 2025, el 25% más veloz de los ataques robó datos en 72 minutos y el 87% de las intrusiones cruzó múltiples superficies a la vez. Además, casi 90% de las investigaciones incluyó fallas de identidad como factor determinante, y 99% de las identidades en la nube tenía privilegios excesivos.
Más que la cantidad de incidentes, lo que importa es cómo avanzan. Hoy los atacantes combinan navegación web, aplicaciones en la nube e identidades como si todo fuera un mismo escritorio. El navegador concentra el trabajo diario y, si se reutilizan credenciales o sesiones, permite saltar de un sistema a otro en minutos. Por eso, administrar adecuadamente la identidad y ver con claridad lo que pasa en SaaS se volvió clave para frenar la velocidad y el alcance de cada intrusión.
Los puntos de entrada muestran dos caminos igual de efectivos, por un lado, el phishing y vulnerabilidades empataron con 22% cada uno. A esto se suma que las técnicas basadas en identidad concentraron 65% del acceso inicial, combinando phishing que burla la MFA, uso de credenciales filtradas un 13% y fuerza bruta 8%, además de errores en la administración de accesos.
La extorsión también cambió. Aunque el cifrado sigue presente, bajó a 78% de los casos, antes rozaba o superaba 90%. Cada vez más grupos cibercriminales presionan sólo con robo de datos y contacto directo con víctimas, aun cuando los sistemas siguen operando. En dinero, la mediana de la demanda inicial subió a US$1.5 millones y la mediana de pago a US$500,000, con mayores reducciones en la negociación.
“En América Latina vemos entornos híbridos, cadenas de suministro complejas y una adopción acelerada de SaaS; esa combinación exige cerrar brechas de exposición, gobernar mejor la identidad y automatizar la contención, sin perder de vista las prácticas esenciales de higiene cibernética. El objetivo es que un acceso inicial no se convierta en una crisis operacional”, comentó Patrick Rinski, Líder de Unit 42 para América Latina.
La identidad expuesta y conexiones con terceros aumentan el riesgo
El análisis de más de 680,000 identidades en la nube halló que 99% tenía más permisos de los necesarios. Ese exceso facilita escalar privilegios, moverse lateralmente y permanecer ocultos usando accesos válidos, incluso con tokens de sesión u otorgamientos OAuth que evitan autenticaciones interactivas. En este panorama, la identidad define la velocidad del intruso y el tamaño del daño.
En 2025, la información alojada en aplicaciones SaaS fue relevante en 23% de los casos y 39% de las técnicas de comando y control se apoyó en herramientas de acceso remoto que lucen como tareas administrativas normales. Integraciones OAuth, API keys, RMM/MDM y paquetes de terceros pueden heredar permisos y abrir puertas “de confianza” con un solo punto de compromiso. En México y América Latina, donde conviven entornos híbridos y proveedores globales, revisar conectores, cuentas de servicio y permisos de forma continua es esencial para reducir el impacto.
El reporte también observa ajustes en actores Estado-nación, que buscan permanecer más tiempo y pasar desapercibidos con identidades falsas, infiltración en procesos de contratación y acceso a virtualización e infraestructura. Estas técnicas elevan el nivel de dificultad para detectarlos y exigen mejor instrumentación en los entornos digitales.
Qué pueden hacer hoy las organizaciones
- Reducir exposición con parches automatizados en activos expuestos, inventario y propiedad clara de integraciones OAuth y planes “break‑glass” para revocar tokens y aislar agentes de terceros.
- Contener el impacto aplicando MFA resistente a phishing para roles críticos, sesiones más cortas con evaluación continua de riesgo y mínimo privilegio con acceso JIT para eliminar permisos persistentes, especialmente en cuentas de servicio.
- Responder en minutos unificando telemetría (endpoint, red, identidad, nube, SaaS) y automatizando la contención: aislamiento de cargas, revocación de sesiones y playbooks consistentes en el SOC.
El delito digital ya opera a escala industrial y con tiempos de impacto medidos en minutos. Para las empresas de México, la prioridad es cerrar brechas de exposición, limitar la movilidad del atacante con mejores controles de identidad y automatizar la respuesta para igualar la velocidad de los cibercriminales. La diferencia entre un incidente y una crisis puede definirse en la primera hora.
La experiencia del último año confirma que la mejor defensa no depende de herramientas complejas, sino de fundamentos bien ejecutados. En otras palabras, ver lo que ocurre en todo el entorno, controlar quién tiene acceso a qué y reaccionar de inmediato ante cualquier actividad sospechosa. Cuando estos elementos funcionan juntos, un ataque no pasa de un incidente y las operaciones continúan, pudiendo neutralizar el ataque.
