La velocidad se ha convertido en el arma principal del cibercrimen. Investigaciones recientes muestran que una cuarta parte de los ataques más rápidos logró sustraer información en apenas 72 minutos, mientras que la mayoría de las intrusiones se expandió simultáneamente por múltiples entornos digitales.
El reporte 2026 de Unit 42, brazo de investigación de Palo Alto Networks, examinó más de 750 incidentes gestionados entre 2024 y 2025 y detectó un patrón dominante: la identidad es hoy el activo más explotado por los atacantes.
Cuentas con permisos excesivos, tokens de sesión activos, integraciones OAuth mal gestionadas y credenciales reutilizadas permiten escalar privilegios y desplazarse lateralmente con apariencia legítima. De hecho, el análisis de más de 680.000 identidades en la nube evidenció que el 99% poseía más accesos de los necesarios.
El phishing continúa siendo una de las principales puertas de entrada, empatando con la explotación de vulnerabilidades en 22% de los casos. Sin embargo, el componente identitario concentra el 65% del acceso inicial, combinando evasión de MFA, credenciales filtradas y errores en la administración de accesos.
En paralelo, la lógica de extorsión cambia. Aunque el cifrado de sistemas persiste, crece la presión basada exclusivamente en la exfiltración de datos. Los montos reflejan la magnitud del impacto: demandas iniciales medianas de US$1,5 millones y pagos cercanos a US$500.000.
Según explicó Patrick Rinski, en América Latina la combinación de infraestructuras híbridas, servicios SaaS y proveedores externos incrementa la complejidad defensiva. Revisar conectores, cuentas de servicio y permisos heredados se vuelve crítico para evitar que un acceso inicial derive en una crisis operativa.
Las recomendaciones apuntan a fundamentos sólidos: mínimo privilegio, acceso just-in-time, autenticación robusta, sesiones de corta duración con evaluación continua de riesgo y automatización de la contención desde el SOC.
El mensaje es claro: el crimen digital opera con lógica industrial y cronómetros en marcha. En este entorno, la resiliencia no depende de soluciones aisladas, sino de visibilidad total, control riguroso de identidad y capacidad de respuesta en tiempo real.