Ataques más rápidos y sofisticados
El Global Incident Response Report 2026 de Unit 42 – Palo Alto Networks revela que el delito digital ya opera a velocidad récord. En 2025, el 25 % más veloz de los ataques robó datos en apenas 72 minutos, mientras que el 87 % de las intrusiones cruzó múltiples superficies a la vez.
Más preocupante aún: casi el 90 % de las investigaciones incluyó fallas de identidad como factor determinante, y el 99 % de las identidades en la nube estaban sobre-permisadas, lo que convierte a la gestión de cuentas y accesos en el principal punto de vulnerabilidad para las organizaciones.
La identidad como vector de ataque
Hoy los atacantes combinan navegación web, aplicaciones SaaS e identidades como si todo fuera un mismo escritorio. El phishing y las vulnerabilidades técnicas empataron como puntos de entrada (22 % cada uno), pero las técnicas basadas en identidad concentraron el 65 % del acceso inicial, incluyendo:
- Phishing que burla la MFA.
- Uso de credenciales filtradas (13 %).
- Fuerza bruta (8 %).
- Errores en la administración de accesos.
Extorsión y nuevas tácticas criminales
La extorsión también evolucionó. Aunque el cifrado sigue presente, bajó a 78 % de los casos (antes superaba el 90 %). Cada vez más grupos presionan con robo de datos y contacto directo con las víctimas, incluso cuando los sistemas siguen operando.
- Mediana de la demanda inicial: US$1,5 millones.
- Mediana de pago: US$500.000, con mayores reducciones en negociación.
Riesgos en la nube y conexiones con terceros
El análisis de más de 680.000 identidades en la nube halló que el 99 % tenía permisos excesivos, facilitando el movimiento lateral y la permanencia oculta de los atacantes. Además, integraciones OAuth, API keys y paquetes de terceros pueden heredar permisos y abrir puertas de confianza con un solo compromiso.
En América Latina, donde conviven entornos híbridos y proveedores globales, revisar conectores, cuentas de servicio y permisos de forma continua es esencial para reducir el impacto.
Qué pueden hacer las organizaciones hoy
- Reducir exposición: parches automatizados, inventario claro de integraciones OAuth y planes “break-glass” para revocar tokens.
- Contener el impacto: MFA resistente a phishing, sesiones cortas con evaluación continua de riesgo y acceso JIT para eliminar privilegios persistentes.
- Responder en minutos: unificar telemetría (endpoint, red, identidad, nube, SaaS) y automatizar la contención con playbooks consistentes en el SOC.
“El objetivo es que un acceso inicial no se convierta en una crisis operacional”, señaló Patrick Rinski, líder de Unit 42 para América Latina.
La primera hora define la diferencia
El crimen digital ya opera a escala industrial y con tiempos medidos en minutos. Para las empresas de la región, la prioridad es cerrar brechas de exposición, gobernar mejor la identidad y automatizar la respuesta. La diferencia entre un incidente y una crisis puede definirse en la primera hora de ataque.
