Unit 42 publicó su Global Incident Response Report 2026, un análisis de más de 750 casos atendidos entre 2024 y 2025 que muestra un cambio de ritmo en el delito digital y confirma que la identidad es hoy la vía más usada para entrar y moverse dentro de las organizaciones.
En 2025, el 25% más veloz de los ataques robó datos en 72 minutos y el 87% de las intrusiones cruzó múltiples superficies a la vez. Además, casi 90% de las investigaciones incluyó fallas de identidad como factor determinante, y 99% de las identidades en la nube tenía privilegios excesivos.
Más que la cantidad de incidentes, lo que importa es cómo avanzan. Hoy los atacantes combinan navegación web, aplicaciones en la nube e identidades como si todo fuera un mismo escritorio. El navegador concentra el trabajo diario y, si se reutilizan credenciales o sesiones, permite saltar de un sistema a otro en minutos. Por eso, administrar adecuadamente la identidad y ver con claridad lo que pasa en SaaS se volvió clave para frenar la velocidad y el alcance de cada intrusión.
Los puntos de entrada muestran dos caminos igual de efectivos, por un lado, el phishing y vulnerabilidades empataron con 22% cada uno. A esto se suma que las técnicas basadas en identidad concentraron 65% del acceso inicial, combinando phishing que burla la MFA, uso de credenciales filtradas un 13% y fuerza bruta 8%, además de errores en la administración de accesos.
La extorsión también cambió. Aunque el cifrado sigue presente, bajó a 78% de los casos, antes rozaba o superaba 90%. Cada vez más grupos cibercriminales presionan sólo con robo de datos y contacto directo con víctimas, aun cuando los sistemas siguen operando. En dinero, la mediana de la demanda inicial subió a US$1.5 millones y la mediana de pago a US$500,000, con mayores reducciones en la negociación.
“En América Latina vemos entornos híbridos, cadenas de suministro complejas y una adopción acelerada de SaaS; esa combinación exige cerrar brechas de exposición, gobernar mejor la identidad y automatizar la contención, sin perder de vista las prácticas esenciales de higiene cibernética. El objetivo es que un acceso inicial no se convierta en una crisis operacional”, comentó Patrick Rinski, Líder de Unit 42 para América Latina.
El análisis de más de 680,000 identidades en la nube halló que 99% tenía más permisos de los necesarios. Ese exceso facilita escalar privilegios, moverse lateralmente y permanecer ocultos usando accesos válidos, incluso con tokens de sesión u otorgamientos OAuth que evitan autenticaciones interactivas. En este panorama, la identidad define la velocidad del intruso y el tamaño del daño.
La experiencia del último año confirma que la mejor defensa no depende de herramientas complejas, sino de fundamentos bien ejecutados. En otras palabras, ver lo que ocurre en todo el entorno, controlar quién tiene acceso a qué y reaccionar de inmediato ante cualquier actividad sospechosa. Cuando estos elementos funcionan juntos, un ataque no pasa de un incidente y las operaciones continúan, pudiendo neutralizar el ataque.
Fuente: Palo Alto Networks
