El crimen digital ya opera a velocidad récord y la identidad se convierte en la nueva vulnerabilidad Desde Puebla

Staff/RG

En 2025, el 25% más veloz de los ataques robó datos en 72 minutos y el 87% de las intrusiones cruzó múltiples superficies a la vez; además, casi el 90% de las investigaciones incluyó fallas de identidad como factor determinante, con 99% de las identidades en nube sobre permisadas.

Unit 42, el equipo de investigación y respuesta a incidentes de Palo Alto Networks publicó su Global Incident Response Report 2026, un análisis de más de 750 casos atendidos entre 2024 y 2025 que muestra un cambio de ritmo en el delito digital y confirma que la identidad —es decir, las cuentas y permisos de usuarios y servicios que dan acceso a sistemas y datos; por ejemplo, el usuario y contraseña de un empleado— es hoy la vía más usada para entrar y moverse dentro de las organizaciones.

En 2025, el 25% más veloz de los ataques robó datos en 72 minutos y el 87% de las intrusiones cruzó múltiples superficies a la vez. Además, casi 90% de las investigaciones incluyó fallas de identidad como factor determinante, y 99% de las identidades en la nube tenía privilegios excesivos.

Más que la cantidad de incidentes, lo que importa es cómo avanzan. Hoy los atacantes combinan navegación web, aplicaciones en la nube e identidades como si todo fuera un mismo escritorio. El navegador concentra el trabajo diario y, si se reutilizan credenciales o sesiones, permite saltar de un sistema a otro en minutos. Por eso, administrar adecuadamente la identidad y ver con claridad lo que pasa en SaaS se volvió clave para frenar la velocidad y el alcance de cada intrusión.

Los puntos de entrada muestran dos caminos igual de efectivos, por un lado, el phishing y vulnerabilidades empataron con 22% cada uno. A esto se suma que las técnicas basadas en identidad concentraron 65% del acceso inicial, combinando phishing que burla la MFA, uso de credenciales filtradas un 13% y fuerza bruta 8%, además de errores en la administración de accesos.

La extorsión también cambió. Aunque el cifrado sigue presente, bajó a 78% de los casos, antes rozaba o superaba 90%. Cada vez más grupos cibercriminales presionan sólo con robo de datos y contacto directo con víctimas, aun cuando los sistemas siguen operando. En dinero, la mediana de la demanda inicial subió a US$1.5 millones y la mediana de pago a US$500,000, con mayores reducciones en la negociación.

“En América Latina vemos entornos híbridos, cadenas de suministro complejas y una adopción acelerada de SaaS; esa combinación exige cerrar brechas de exposición, gobernar mejor la identidad y automatizar la contención, sin perder de vista las prácticas esenciales de higiene cibernética. El objetivo es que un acceso inicial no se convierta en una crisis operacional”, comentó Patrick Rinski, Líder de Unit 42 para América Latina.

La identidad expuesta y conexiones con terceros aumentan el riesgo

El análisis de más de 680,000 identidades en la nube halló que 99% tenía más permisos de los necesarios. Ese exceso facilita escalar privilegios, moverse lateralmente y permanecer ocultos usando accesos válidos, incluso con tokens de sesión u otorgamientos OAuth que evitan autenticaciones interactivas. En este panorama, la identidad define la velocidad del intruso y el tamaño del daño.

En 2025, la información alojada en aplicaciones SaaS fue relevante en 23% de los casos y 39% de las técnicas de comando y control se apoyó en herramientas de acceso remoto que lucen como tareas administrativas normales. Integraciones OAuth, API keys, RMM/MDM y paquetes de terceros pueden heredar permisos y abrir puertas “de confianza” con un solo punto de compromiso. En México y América Latina, donde conviven entornos híbridos y proveedores globales, revisar conectores, cuentas de servicio y permisos de forma continua es esencial para reducir el impacto.

El reporte también observa ajustes en actores Estado-nación, que buscan permanecer más tiempo y pasar desapercibidos con identidades falsas, infiltración en procesos de contratación y acceso a virtualización e infraestructura. Estas técnicas elevan el nivel de dificultad para detectarlos y exigen mejor instrumentación en los entornos digitales.

Qué pueden hacer hoy las organizaciones

Reducir exposición con parches automatizados en activos expuestos, inventario y propiedad clara de integraciones OAuth y planes “breakglass” para revocar tokens y aislar agentes de terceros.

Contener el impacto aplicando MFA resistente a phishing para roles críticos, sesiones más cortas con evaluación continua de riesgo y mínimo privilegio con acceso JIT para eliminar permisos persistentes, especialmente en cuentas de servicio.

Responder en minutos unificando telemetría (endpoint, red, identidad, nube, SaaS) y automatizando la contención: aislamiento de cargas, revocación de sesiones y playbooks consistentes en el SOC.

El delito digital ya opera a escala industrial y con tiempos de impacto medidos en minutos. Para las empresas de México, la prioridad es cerrar brechas de exposición, limitar la movilidad del atacante con mejores controles de identidad y automatizar la respuesta para igualar la velocidad de los cibercriminales. La diferencia entre un incidente y una crisis puede definirse en la primera hora.

La experiencia del último año confirma que la mejor defensa no depende de herramientas complejas, sino de fundamentos bien ejecutados. En otras palabras, ver lo que ocurre en todo el entorno, controlar quién tiene acceso a qué y reaccionar de inmediato ante cualquier actividad sospechosa. Cuando estos elementos funcionan juntos, un ataque no pasa de un incidente y las operaciones continúan, pudiendo neutralizar el ataque.

Acerca de Palo Alto Networks

Como líder global en IA y ciberseguridad, Palo Alto Networks (NASDAQ: PANW) está dedicada a proteger nuestro modo de vida digital mediante la innovación continua. Confiados por más de 70,000 organizaciones en todo el mundo, ofrecemos soluciones de seguridad integrales impulsadas por IA en red, nube, operaciones de seguridad e IA, mejoradas por la experiencia e inteligencia de amenazas de la Unidad 42®. Nuestro enfoque en la plataforma permite a las empresas optimizar la seguridad a gran escala, asegurando que la protección impulse la innovación. Explora más en www.paloaltonetworks.com.

Acerca de Unit 42

Unit 42® de Palo Alto Networks reúne a investigadores de amenazas de renombre mundial, especialistas de élite en respuesta a incidentes y consultores expertos en seguridad para crear una organización impulsada por inteligencia y preparada para responder, comprometida con ayudar a las organizaciones a gestionar de manera proactiva el riesgo cibernético. En conjunto, nuestro equipo actúa como su asesor de confianza para ayudarle a evaluar y poner a prueba sus controles de seguridad frente a las amenazas adecuadas, transformar su estrategia de seguridad con un enfoque informado por amenazas y responder a incidentes en tiempo récord para que pueda volver a operar más rápido. Visite: paloaltonetworks.com/unit42

The post El crimen digital ya opera a velocidad récord y la identidad se convierte en la nueva vulnerabilidad appeared first on Desde Puebla.