En 2025, el 25% más veloz de los ataques robó
datos en 72 minutos y el 87% de las intrusiones cruzó múltiples superficies a
la vez; además, casi el 90% de las investigaciones incluyó fallas de identidad
como factor determinante, con 99% de las identidades en nube sobre permisadas.
Ciudad de México, 17 de febrero, 2025. — Unit
42, el equipo de investigación y respuesta a incidentes de Palo Alto Networks
publicó su Global Incident Response Report 2026, un análisis de más de 750
casos atendidos entre 2024 y 2025 que muestra un cambio de ritmo en el delito
digital y confirma que la identidad —es decir, las cuentas y permisos de
usuarios y servicios que dan acceso a sistemas y datos; por ejemplo, el usuario
y contraseña de un empleado— es hoy la vía más usada para entrar y moverse
dentro de las organizaciones.
En 2025, el 25% más veloz de los ataques robó
datos en 72 minutos y el 87% de las intrusiones cruzó múltiples superficies a
la vez. Además, casi 90% de las investigaciones incluyó fallas de identidad
como factor determinante, y 99% de las identidades en la nube tenía privilegios
excesivos.
Más que la cantidad de incidentes, lo que
importa es cómo avanzan. Hoy los atacantes combinan navegación web,
aplicaciones en la nube e identidades como si todo fuera un mismo escritorio.
El navegador concentra el trabajo diario y, si se reutilizan credenciales o
sesiones, permite saltar de un sistema a otro en minutos. Por eso, administrar
adecuadamente la identidad y ver con claridad lo que pasa en SaaS se volvió
clave para frenar la velocidad y el alcance de cada intrusión.
Los puntos de entrada muestran dos caminos igual
de efectivos, por un lado, el phishing y vulnerabilidades empataron con 22%
cada uno. A esto se suma que las técnicas basadas en identidad concentraron 65%
del acceso inicial, combinando phishing que burla la MFA, uso de credenciales
filtradas un 13% y fuerza bruta 8%, además de errores en la administración de
accesos.
La extorsión también cambió. Aunque el cifrado
sigue presente, bajó a 78% de los casos, antes rozaba o superaba 90%. Cada vez
más grupos cibercriminales presionan sólo con robo de datos y contacto directo
con víctimas, aun cuando los sistemas siguen operando. En dinero, la mediana de
la demanda inicial subió a US$1.5 millones y la mediana de pago a US$500,000,
con mayores reducciones en la negociación.
“En América Latina vemos entornos híbridos,
cadenas de suministro complejas y una adopción acelerada de SaaS; esa
combinación exige cerrar brechas de exposición, gobernar mejor la identidad y
automatizar la contención, sin perder de vista las prácticas esenciales de
higiene cibernética. El objetivo es que un acceso inicial no se convierta en
una crisis operacional”, comentó Patrick Rinski, Líder de Unit 42 para América
Latina.
La identidad expuesta y conexiones con terceros
aumentan el riesgo
El análisis de más de 680,000 identidades en la
nube halló que 99% tenía más permisos de los necesarios. Ese exceso facilita
escalar privilegios, moverse lateralmente y permanecer ocultos usando accesos
válidos, incluso con tokens de sesión u otorgamientos OAuth que evitan
autenticaciones interactivas. En este panorama, la identidad define la
velocidad del intruso y el tamaño del daño.
En 2025, la información alojada en aplicaciones
SaaS fue relevante en 23% de los casos y 39% de las técnicas de comando y
control se apoyó en herramientas de acceso remoto que lucen como tareas
administrativas normales. Integraciones OAuth, API keys, RMM/MDM y paquetes de
terceros pueden heredar permisos y abrir puertas “de confianza” con un solo
punto de compromiso. En México y América Latina, donde conviven entornos
híbridos y proveedores globales, revisar conectores, cuentas de servicio y
permisos de forma continua es esencial para reducir el impacto.
El reporte también observa ajustes en actores
Estado-nación, que buscan permanecer más tiempo y pasar desapercibidos con
identidades falsas, infiltración en procesos de contratación y acceso a
virtualización e infraestructura. Estas técnicas elevan el nivel de dificultad
para detectarlos y exigen mejor instrumentación en los entornos digitales.
Qué pueden hacer hoy las organizaciones
●
Reducir exposición con parches
automatizados en activos expuestos, inventario y propiedad clara de
integraciones OAuth y planes “break‑glass” para revocar tokens y aislar agentes de terceros.
●
Contener el impacto aplicando MFA
resistente a phishing para roles críticos, sesiones más cortas con evaluación
continua de riesgo y mínimo privilegio con acceso JIT para eliminar permisos
persistentes, especialmente en cuentas de servicio.
●
Responder en minutos unificando
telemetría (endpoint, red, identidad, nube, SaaS) y automatizando la
contención: aislamiento de cargas, revocación de sesiones y playbooks
consistentes en el SOC.
El delito digital ya opera a escala industrial y
con tiempos de impacto medidos en minutos. Para las empresas de México, la
prioridad es cerrar brechas de exposición, limitar la movilidad del atacante
con mejores controles de identidad y automatizar la respuesta para igualar la
velocidad de los cibercriminales. La diferencia entre un incidente y una crisis
puede definirse en la primera hora.
La experiencia del último año confirma que la
mejor defensa no depende de herramientas complejas, sino de fundamentos bien
ejecutados. En otras palabras, ver lo que ocurre en todo el entorno, controlar
quién tiene acceso a qué y reaccionar de inmediato ante cualquier actividad
sospechosa. Cuando estos elementos funcionan juntos, un ataque no pasa de un
incidente y las operaciones continúan, pudiendo neutralizar el ataque.
***
Acerca
de Palo Alto Networks
Como
líder global en IA y ciberseguridad, Palo Alto Networks (NASDAQ: PANW) está dedicada a proteger nuestro modo de vida
digital mediante la innovación continua. Confiados por más de 70,000
organizaciones en todo el mundo, ofrecemos soluciones de seguridad integrales
impulsadas por IA en red, nube, operaciones de seguridad e IA, mejoradas por la
experiencia e inteligencia de amenazas de la Unidad 42®. Nuestro enfoque en la
plataforma permite a las empresas optimizar la seguridad a gran escala,
asegurando que la protección impulse la innovación. Explora más en www.paloaltonetworks.com.
Acerca de Unit 42
Unit 42® de Palo Alto Networks reúne a
investigadores de amenazas de renombre mundial, especialistas de élite en
respuesta a incidentes y consultores expertos en seguridad para crear una
organización impulsada por inteligencia y preparada para responder,
comprometida con ayudar a las organizaciones a gestionar de manera proactiva el
riesgo cibernético. En conjunto, nuestro equipo actúa como su asesor de
confianza para ayudarle a evaluar y poner a prueba sus controles de seguridad
frente a las amenazas adecuadas, transformar su estrategia de seguridad con un
enfoque informado por amenazas y responder a incidentes en tiempo récord para
que pueda volver a operar más rápido. Visite: paloaltonetworks.com/unit42.
No hay comentarios:
Publicar un comentario