Marc Sureda
La empresa de ciberseguridad Sophos ha publicado su informe sobre el estado de la seguridad de las identidades correspondiente al año 2026, basándose en las consultas realizadas a 5.000 responsables de tecnologías de la información y ciberseguridad en 17 países. Los datos reflejan que el 70% de las organizaciones españolas padecieron al menos una brecha de seguridad vinculada a la identidad durante los últimos 12 meses. Esta cifra se sitúa prácticamente en la misma línea que la media mundial, establecida en el 71%. La recurrencia de estos incidentes es notable, dado que las entidades afectadas registraron una media de tres ataques distintos, e incluso un 5% de la muestra global admitió haber sido víctima de seis o más vulneraciones a lo largo del año.
Al analizar el origen de estas intrusiones, los investigadores constatan que los ataques se ven facilitados fundamentalmente por el engaño a los empleados y por una administración inadecuada de las identidades no humanas. El error humano, habitualmente materializado cuando los trabajadores son manipulados para entregar sus credenciales de acceso, está presente en cerca del 43% de los incidentes. Por otro lado, en el 41% de los casos, la vulnerabilidad provino de una mala gestión de los accesos técnicos y automatizados.
Las consecuencias económicas de estas brechas alcanzan cifras muy severas para las arcas corporativas. El coste medio para la recuperación de los sistemas tras un ataque de este tipo asciende a 1,64 millones de dólares a escala global. De hecho, el 73% de los damnificados tuvo que desembolsar cantidades de 250.000 dólares o superiores. Gran parte de este impacto financiero se debe a que la usurpación de credenciales es actualmente el vector principal para los ataques de secuestro de datos o ransomware. Dos tercios de las víctimas de este tipo de extorsión confirmaron que la intrusión inicial se produjo a través de accesos comprometidos. El secuestro de sistemas, junto con el robo de información confidencial y la sustracción de capital financiero, conforman las consecuencias más graves que paralizan la actividad de los negocios afectados.
El desafío de la automatización y la inteligencia artificial
Las identidades no humanas comprenden elementos técnicos como las claves de interfaces de programación (API) integradas en el código fuente, las contraseñas estáticas o las cuentas de servicio que han quedado huérfanas pero siguen activas en el sistema. Una gestión deficiente de estos recursos incrementa en un 22% las probabilidades de sufrir robos financieros y encarece en unos 150.000 dólares adicionales los procesos de restauración. Ross McKerchar, CISO de Sophos afirma: “La identidad se ha convertido en la principal superficie de ataque, y los datos muestran que la mayoría de organizaciones están perdiendo terreno. El problema de las identidades no humanas es especialmente urgente. Los agentes de IA reciben privilegios más rápido de lo que los equipos de seguridad pueden controlar, y las organizaciones que no se adelanten a esta realidad pagarán un precio cada vez más alto”.
Las infraestructuras tradicionales de identidad no fueron diseñadas para este volumen de automatización, provocando que en la actualidad solo una de cada tres corporaciones audite regularmente estas cuentas de servicio, y apenas un 11% lo haga de manera continua.
Esta falta de control se traduce en graves carencias de visibilidad en las redes corporativas. Solo el 24% de las compañías monitoriza de forma ininterrumpida los intentos de inicio de sesión inusuales. Mientras que más de la mitad revisa estos registros cada 3 meses o incluso con menor asiduidad. En España, casi una de cada 5 empresas atacadas no logró detectar la amenaza a tiempo para evitar los daños en sus infraestructuras. A nivel global, las entidades de menor tamaño (aquellas de entre 100 y 250 empleados) presentan una tasa de fracaso en la detección que casi duplica a la de las medianas empresas.
Así mismo, los sectores críticos como el energético, el de los hidrocarburos y las utilidades públicas muestran el mayor índice de incidentes (80%), seguidos de cerca por las administraciones públicas (78%). Las dificultades para cumplir con las normativas vigentes también actúan como un indicador claro de riesgo: aquellas organizaciones que consideran un gran desafío adaptarse a la legislación reportaron una tasa de brechas superior al 82%, 14 puntos por encima de las que manifestaron tener menores dificultades de cumplimiento.
Para reducir la superficie de exposición, resulta imprescindible instaurar una arquitectura defensiva en múltiples niveles que abarque tanto los accesos humanos como los automatizados. Esto implica la adopción universal de la autenticación de múltiples factores (MFA), la estricta aplicación del principio de mínimo privilegio para que cada usuario o programa acceda solo a los recursos estrictamente necesarios, y la desactivación y eliminación de cualquier identidad inactiva.
En el ámbito de las conexiones entre sistemas, es necesario catalogar e inventariar todas las identidades no humanas, sustituyendo las credenciales permanentes o de larga duración por alternativas temporales. Igualmente, se aconseja la implementación de plataformas especializadas en la gestión de secretos digitales para administrar estas credenciales a gran escala. Ante la acelerada proliferación de conexiones impulsadas por la inteligencia artificial, el despliegue de herramientas de detección y respuesta frente a amenazas de identidad (ITDR), junto con la transición hacia un modelo de seguridad de confianza cero (donde ninguna conexión se da por válida por defecto), se consolidan como las líneas de defensa más críticas para garantizar la continuidad del negocio.
