Unit 42, el equipo de investigación y respuesta a incidentes de Palo Alto Networks, publicó su Global Incident Response Report 2026, un análisis de más de 750 casos atendidos entre 2024 y 2025 que muestra un cambio de ritmo en el delito digital y confirma que la identidad es hoy la vía más usada para entrar y moverse dentro de las organizaciones.
En 2025, el 25% más veloz de los ataques robó datos en 72 minutos y el 87% de las intrusiones cruzó múltiples superficies a la vez, demostrando una agilidad sin precedentes en la ejecución de los robos.
Factores determinantes en la seguridad de la nube
Casi el 90% de las investigaciones incluyó fallas de identidad como factor determinante, revelando además que el 99% de las identidades en la nube tenía privilegios excesivos o estaba sobrepermisada.
Los atacantes actuales combinan navegación web, aplicaciones en la nube e identidades como si todo fuera un mismo escritorio, aprovechando que el navegador concentra el trabajo diario para saltar de un sistema a otro en minutos si se reutilizan credenciales.
Métodos de acceso y tácticas de extorsión
El phishing y las vulnerabilidades empataron con un 22% cada uno como puntos de entrada, mientras que las técnicas basadas en identidad concentraron el 65% del acceso inicial combinando diversas modalidades de engaño.
La extorsión también ha cambiado, pues aunque el cifrado sigue presente, bajó a un 78% de los casos, ya que los grupos cibercriminales ahora presionan directamente con el robo de datos y el contacto con las víctimas.
Riesgos en entornos híbridos y automatización
En América Latina, la adopción acelerada de SaaS y las cadenas de suministro complejas exigen cerrar brechas de exposición y automatizar la contención para evitar que un acceso inicial se convierta en una crisis.
El análisis de miles de identidades halló que el exceso de permisos facilita escalar privilegios y permite a los intrusos permanecer ocultos usando tokens de sesión que evitan las autenticaciones interactivas tradicionales.
