México ya se encuentra entre los países más afectados por brechas de identidad a nivel global. De acuerdo con el nuevo reporte State of Identity Security 2026 de Sophos, el 83.3% de las organizaciones mexicanas sufrió al menos un incidente relacionado con identidades durante el último año, colocándose como el segundo país más afectado del estudio, solo detrás de Suiza.
El dato coloca a México muy por encima del promedio global (70.9%) y refleja cómo el robo de contraseñas, cuentas comprometidas y accesos automatizados se han convertido en una de las principales puertas de entrada para ransomware, robo de información y fraude financiero. El estudio, realizado entre 5,000 líderes de TI y ciberseguridad en 17 países, revela además que dos de cada tres ataques de ransomware comenzaron a partir del compromiso de identidades, confirmando un cambio importante en las tácticas de los ciberdelincuentes: hoy el objetivo ya no es únicamente vulnerar sistemas, sino secuestrar accesos.
“Las identidades se han convertido en la principal superficie de ataque en la ciberseguridad moderna”, señaló Ross McKerchar, Chief Information Security Officer de Sophos. “El problema se está agravando con la proliferación de identidades no humanas y agentes de IA que reciben privilegios más rápido de lo que los equipos de seguridad pueden supervisar”.
Riesgos en cuentas automatizadas
IA, APIs y cuentas automatizadas: el nuevo dolor de cabeza para las empresas. Uno de los hallazgos más importantes del reporte es el crecimiento acelerado de las llamadas identidades no humanas (NHI): cuentas de servicio, APIs, tokens y accesos automatizados utilizados por aplicaciones cloud, infraestructura tecnológica y herramientas de inteligencia artificial.
De acuerdo con el análisis, muchas organizaciones no tienen visibilidad suficiente sobre estos accesos, pese a que ya son utilizados masivamente dentro de entornos corporativos. La investigación encontró que el 41% de las brechas estuvo relacionado con una mala gestión de identidades no humanas, solo el 24% de las organizaciones monitorea continuamente comportamientos sospechosos de inicio de sesión, apenas una de cada tres empresas cambia o audita regularmente cuentas automatizadas, y solo el 11% realiza monitoreo continuo sobre identidades no humanas. Además, las organizaciones con prácticas deficientes de gestión de No Human Identities tienen 22% más probabilidades de sufrir robo financiero y pagan, en promedio, 150 mil dólares más para recuperarse de un incidente cibernético.
Consecuencias e impacto económico
El ransomware ahora entra por las contraseñas. El reporte también confirma que el ransomware continúa evolucionando. Actualmente, el acceso inicial suele originarse mediante el robo o abuso de contraseñas válidas, en lugar de ataques tradicionales basados únicamente en malware. Entre las principales consecuencias de las brechas de identidad reportadas por las organizaciones se encuentran el robo de datos (49%), ransomware (48%) y robo financiero (47%).
El impacto económico también sigue creciendo. Sophos estima que el costo promedio de recuperación tras una brecha relacionada con identidades alcanzó los 1.64 millones de dólares.
Detección y recomendaciones
México destaca en detección… pero sigue altamente expuesto. Pese al alto nivel de incidentes, México mostró uno de los mejores desempeños en capacidad de detección dentro del estudio. Solo el 9.8% de las organizaciones mexicanas afirmó no haber logrado detectar o detener el ataque antes de que ocurrieran daños, colocándose entre los países con menor índice de fallas de detección, únicamente detrás del Reino Unido.
Sin embargo, Sophos advierte que el volumen de ataques y la rápida expansión de identidades automatizadas podrían dificultar cada vez más la capacidad de respuesta de las empresas. Ante este escenario, Sophos recomienda fortalecer las estrategias de seguridad de identidad mediante medidas como autenticación multifactor (MFA), modelos Zero Trust, monitoreo continuo de accesos y herramientas de Identity Threat Detection and Response (ITDR).
