Identidad: El eslabón más débil - Cómo la IA acelera la velocidad y el alcance de las brechas

Cuando suenan las alarmas a medianoche en los centros de operaciones de seguridad del mundo, la causa rara vez es una vulnerabilidad oscura y nunca antes vista. En cambio, es lo de siempre: una cuenta en la nube mal configurada, una credencial de administrador pasada por alto, la herramienta de un proveedor de confianza que se sale de control. Según el Informe Global de Respuesta a Incidentes 2026 de Unit 42 de Palo Alto Networks, casi el 90% de las principales brechas del año pasado no fueron provocadas por hackers de élite, sino por vacíos de identidad y exposiciones prevenibles - ahora potenciados por inteligencia artificial que avanza a una velocidad sin precedentes.

Datos clave

• Las debilidades de identidad jugaron un papel en casi el 90% de más de 750 investigaciones cibernéticas en 2025.
• Los ataques impulsados por IA comprimieron los tiempos de robo de datos a tan solo 1,2 horas - cuatro veces más rápido que el año anterior.
• Más del 90% de las brechas se originaron en malas configuraciones o controles débiles, no en habilidades avanzadas de hacking.
• El dominio del ransomware está disminuyendo: la encriptación se usó en el 78% de los casos de extorsión, pero el robo de datos y el acoso están en aumento.
• Las demandas de rescate medianas alcanzaron los 1,5 millones de dólares, con pagos medianos que se duplicaron a 500.000 dólares.

Los investigadores de Unit 42 respondieron a cientos de incidentes en 50 países y en todas las industrias, y sus hallazgos son contundentes: la IA se ha convertido en el nuevo multiplicador de fuerza de los atacantes. Ya no es solo una novedad, los adversarios ahora despliegan IA de forma rutinaria para automatizar escaneos de vulnerabilidades en minutos tras la divulgación de una nueva falla, realizar reconocimientos en paralelo sobre miles de objetivos y crear cebos de phishing hiperrealistas o identidades falsas. ¿El resultado? El tiempo entre el primer paso de un atacante y el robo de tus datos se ha reducido drásticamente - muchas veces a poco más de una hora.

Aun así, la mayoría de las brechas exitosas siguen explotando lo básico: servicios en la nube mal configurados, cuentas con privilegios excesivos, identidades de máquina obsoletas e integraciones SaaS mal gobernadas. En más del 90% de los casos, estos vacíos prevenibles - no el malware sofisticado - abrieron la puerta. Los atacantes se mueven entre endpoints, la nube y SaaS, con el 87% de los incidentes abarcando múltiples superficies de ataque. El phishing y las vulnerabilidades de software siguen siendo los principales puntos de acceso inicial, cada uno representando el 22% de los casos.

La IA no solo acelera los ataques - también baja la barrera de entrada. Delincuentes menos experimentados ahora pueden aprovechar malware potenciado por IA, ingeniería social y herramientas de suplantación de identidad, mientras actores estatales de China, Corea del Norte e Irán experimentan con identidades sintéticas e infraestructura de comando automatizada. Las amenazas basadas en navegador y nativas de la nube están en aumento, con atacantes explotando tokens OAuth y claves API para evadir las defensas tradicionales y mezclarse con el tráfico legítimo.

El impacto financiero es igualmente preocupante. Aunque el ransomware ya no es una táctica garantizada, la extorsión sigue siendo lucrativa: las demandas aumentan y los atacantes dependen cada vez más del robo de datos y amenazas reputacionales para presionar a las víctimas, incluso cuando los sistemas permanecen en línea. Casi la mitad de las víctimas restauraron desde copias de seguridad, pero más de una cuarta parte encontró sus respaldos comprometidos - prueba de que el robo de datos, y no solo la encriptación de archivos, impulsa la extorsión moderna.

El informe de Unit 42 insta a las organizaciones a ir más allá de los perímetros obsoletos. La receta: adoptar autenticación multifactor resistente al phishing, gestionar rigurosamente las credenciales de máquinas y API, implementar privilegios cero permanentes y monitorear continuamente la actividad sospechosa en cada capa - identidad, nube, SaaS y endpoints. Por encima de todo, los defensores deben asumir que los atacantes se mueven rápido, apuntan primero a la identidad y tratan la encriptación como solo una herramienta más en un arsenal en expansión.

El mensaje es claro y urgente. En un mundo donde la IA acelera cada etapa del ciclo de vida del ataque, la velocidad, la visibilidad y una gobernanza disciplinada de la identidad marcan la diferencia entre un incidente menor y una brecha devastadora. El eslabón más débil no es la tecnología - son los vacíos que dejamos atrás.

WIKICROOK

• Brecha de Identidad: Una brecha de identidad es un vacío de seguridad causado por identidades mal gestionadas o con privilegios excesivos, permitiendo el acceso no autorizado a sistemas o datos si se explota.
• Privilegios Cero Permanentes: Privilegios cero permanentes significa que no existen derechos de acceso permanentes; los permisos se otorgan solo cuando son necesarios y por tiempo limitado, reduciendo los riesgos de seguridad.
• Phishing: El phishing es un delito cibernético en el que los atacantes envían mensajes falsos para engañar a los usuarios y hacer que revelen datos sensibles o hagan clic en enlaces maliciosos.
• Token OAuth: Un token OAuth es una clave digital que permite a las aplicaciones acceder de forma segura a tus datos sin necesidad de tu contraseña cada vez.
• Ataque a la Cadena de Suministro de Software: Un ataque a la cadena de suministro de software apunta al proceso de desarrollo comprometiendo herramientas o componentes que usan los desarrolladores, permitiendo a los atacantes distribuir malware de forma masiva.