Los atacantes suelen obtener acceso mediante flujos de trabajo rutinarios, como inicios de sesión por correo electrónico, sesiones de navegador e integraciones de SaaS . Una sola credencial robada puede proporcionarles una vía rápida para moverse entre sistemas cuando los permisos de acceso son amplios y la visibilidad está fragmentada.
Ese patrón aparece en más de 750 intervenciones de respuesta a incidentes cubiertas en el Informe Global de Respuesta a Incidentes 2026 de Unit 42. En el 87 % de los casos, la actividad del atacante atravesó múltiples superficies de ataque, lo que significó que los investigadores tuvieron que rastrear el comportamiento en puntos finales, sistemas de identidad, redes y servicios en la nube dentro de la misma intrusión.
La identidad es la causa de la mayoría de las intrusiones
Las vulnerabilidades basadas en la identidad dominaron la actividad de respuesta a incidentes en 2025. Las vulnerabilidades de identidad desempeñaron un papel fundamental en casi el 90 % de las investigaciones. El acceso inicial se gestionó mediante técnicas basadas en la identidad en el 65 % de los casos, incluyendo phishing, robo de credenciales, intentos de fuerza bruta y actividad interna.
“En nuestras investigaciones, hemos visto una amplia gama de desafíos de seguridad de identidad que los atacantes buscan explotar, incluidos: permisos excesivos; falta de MFA o MFA que no es resistente al phishing (que depende de tokens de sesión que se pueden capturar a través de AitM); uso de contraseñas predeterminadas, credenciales reutilizadas o credenciales que no se rotan de forma rutinaria; configuraciones incorrectas de administración de identidad y acceso; concesiones de OAuth no administradas o no monitoreadas; no deshabilitar cuentas obsoletas o de iniciativa; cuentas compartidas con demasiadas personas que usan las mismas credenciales; Shadow IT o identidades locales no administradas”, dijo Sam Rubin , vicepresidente sénior de Consultoría e Inteligencia de Amenazas en Unit 42, Palo Alto Networks, a Help Net Security.
El phishing y la explotación de vulnerabilidades empataron como los principales vectores de acceso inicial, con un 22 % cada uno. El uso indebido de credenciales y la fuerza bruta se mantuvieron significativos, con credenciales previamente comprometidas en un 13 % y la fuerza bruta en un 8 %. La ingeniería social más allá del phishing continuó creciendo, alcanzando el 11 %.
El secuestro de sesiones y el robo de tokens permiten cada vez más a los atacantes eludir la MFA. El uso indebido de OAuth y los tokens de acceso de larga duración facilitan la persistencia dentro de las plataformas SaaS sin solicitudes de autenticación repetidas. Las relaciones de confianza entre aplicaciones también crean rutas de movimiento lateral.
Rubin dijo que el creciente predominio de los ataques de identidad refleja cómo han cambiado los entornos empresariales en los últimos años, creando más oportunidades para que los adversarios se introduzcan silenciosamente a través de vías de acceso legítimas.
“El creciente papel de la identidad como principal vector de ataque es resultado de un cambio fundamental en el entorno empresarial”, afirmó Rubin. “Esta dinámica se debe a dos factores clave”.
Afirmó que el primer factor impulsor es la rápida expansión de la adopción de SaaS, la infraestructura en la nube y las identidades de las máquinas, que en muchas organizaciones ya superan en número a las cuentas humanas. Este cambio ha creado lo que describió como un «estado fantasma masivo y sin gestión», donde cada integración representa «una nueva vía de acceso a la red, potencialmente sin supervisión».
Los entornos en la nube amplifican el riesgo. Un análisis de Unit 42 de más de 680 000 identidades en la nube reveló que el 99 % de los usuarios, roles y servicios en la nube tenían permisos excesivos, incluyendo accesos que no se habían utilizado durante 60 días o más. Las identidades con permisos excesivos crean rutas de escalada predecibles una vez que un atacante se establece.
El segundo factor, dijo Rubin, es que los adversarios han adaptado sus estrategias para aprovechar esta extensa huella de identidad, apoyándose en gran medida en credenciales robadas que les permiten mezclarse con actividades legítimas.
«No están entrando ilegalmente; están iniciando sesión», dijo Rubin. «Esta actividad, que a menudo se integra a la perfección con el tráfico empresarial normal, supone un grave desafío para la capacidad de detección incluso de los defensores de seguridad más experimentados».
La actividad del navegador es un punto de entrada en crecimiento
La actividad basada en el navegador influyó en el 48% de las investigaciones, frente al 44% del año anterior. Muchos ataques comenzaron cuando los usuarios visitaron sitios maliciosos a través de resultados de motores de búsqueda, hicieron clic en enlaces patrocinados o descargaron herramientas manipuladas.
La Unidad 42 describió incidentes en los que los atacantes utilizaron envenenamiento SEO para redirigir a los usuarios a sitios web falsificados. En un caso, un empleado que buscaba un restaurante fue redirigido a una página maliciosa que lo incitó a ejecutar código copiado. En otro caso, una herramienta administrativa falsificada se compartió internamente, lo que provocó la implementación de ransomware después de que un usuario con privilegios ejecutara el software.
Estos casos muestran cómo la navegación web habitual puede convertirse en el punto de partida para malware residente en la memoria, robo de credenciales y una vulneración más amplia.
La IA está acelerando los plazos de intrusión
La velocidad de los ataques continuó aumentando en 2025, y la IA fue parte de ese cambio. Los investigadores observaron que los actores de amenazas usaban la IA para acelerar el reconocimiento, escribir mensajes de ingeniería social y generar scripts utilizados durante la implementación de ransomware.
El tiempo disponible para los defensores se está acortando. El 25 % de las intrusiones más rápidas logró la exfiltración de datos en 72 minutos en 2025. La misma métrica fue de 285 minutos en 2024. Una simulación independiente describió un ataque asistido por IA que logró la exfiltración en 25 minutos.
Los actores de amenazas también comenzaron a automatizar las operaciones de extorsión. Los negociadores de la Unidad 42 observaron un tono y una cadencia constantes en las comunicaciones de rescate, lo que sugiere una automatización parcial o una comunicación de negociación asistida por IA.
Las técnicas de IA se están expandiendo a nuevos territorios. Los investigadores describieron una actividad que se aprovecha de la IA, donde los atacantes hacen un uso indebido de plataformas legítimas de IA empresarial. Las credenciales comprometidas pueden convertir a los asistentes internos de IA en una herramienta de reconocimiento, permitiendo a los adversarios consultar documentación interna, guías del sistema o manuales de operaciones a gran escala.
La exposición a la cadena de suministro sigue expandiéndose
El riesgo en la cadena de suministro continúa trascendiendo los paquetes de software vulnerables. Las integraciones SaaS, las herramientas de gestión remota y las plataformas de proveedores ofrecen cada vez más vías para la vulnerabilidad en etapas posteriores.
Los datos de aplicaciones SaaS influyeron en el 23 % de los casos en 2025, frente al 18 % en 2024 y el 6 % en 2022. Las aplicaciones OAuth y las integraciones de API suelen tener permisos amplios que permanecen activos incluso después de que los empleados se vayan o cambien los flujos de trabajo. Los conectores inactivos crean rutas de acceso ocultas que muchas organizaciones no supervisan.
Las herramientas de monitorización y gestión remotas de proveedores también siguen siendo atractivas. La Unidad 42 descubrió que el 39 % de las técnicas de comando y control estaban relacionadas con herramientas de acceso remoto.
La proliferación de dependencias de código abierto sigue aumentando el riesgo en los procesos de compilación. Los investigadores afirmaron que más del 60 % de las vulnerabilidades en las aplicaciones nativas de la nube residen en dependencias transitivas. Los atacantes también han inyectado código malicioso en paquetes upstream que se ejecutan durante la instalación, lo que les da acceso a los entornos de compilación antes de la implementación.
Las tácticas de extorsión están cambiando
El cifrado se observó en el 78% de los incidentes de extorsión en 2025, una cifra inferior a la del 90% de años anteriores. El robo de datos se mantuvo estable, presente en más de la mitad de los casos año tras año.
La mediana de las demandas de rescate aumentó de $1,25 millones en 2024 a $1,5 millones en 2025. La mediana de los pagos aumentó de $267.500 a $500.000. Las organizaciones que negociaron lograron una reducción mediana del 61 % entre la demanda inicial y el pago final.
La recuperación de copias de seguridad siguió siendo un factor clave para la resiliencia. Alrededor del 41 % de las víctimas restauraron sistemas a partir de copias de seguridad. Los atacantes afectaron las copias de seguridad en el 26 % de los casos de extorsión, lo que generó tiempo de inactividad adicional y presión durante la recuperación.
Fuente y redacción: helpnetsecurity.com