Las credenciales, las cuentas de servicio, las API keys y los agentes de Inteligencia Artificial se han convertido en una de las superficies de ataque más difíciles de controlar dentro de la empresa. El último informe State of Identity Security 2026 de Sophos pone cifras a un problema que muchos equipos de seguridad ya intuían: el 71 % de las organizaciones sufrió al menos una brecha relacionada con identidad durante el último año.
El estudio, basado en una encuesta a 5.000 responsables de IT y ciberseguridad de 17 países, señala que las organizaciones afectadas registraron una media de tres incidentes de identidad en doce meses. Un 5 % llegó a declarar seis o más brechas. La fotografía no apunta solo a usuarios engañados por phishing, sino a un crecimiento rápido de identidades no humanas: cuentas de servicio, tokens, claves API, credenciales de workloads y, cada vez más, agentes de IA con permisos para actuar dentro de sistemas corporativos.
El ransomware también entra por la identidad
Uno de los datos más relevantes del informe es la conexión entre identidad y ransomware. Entre las organizaciones encuestadas que sufrieron ransomware, el 67 % indicó que el incidente tuvo su origen en un ataque relacionado con identidad. Es una cifra que cambia el foco tradicional: el ransomware no empieza siempre con malware sofisticado o explotación de vulnerabilidades desconocidas. Muchas veces comienza con una credencial válida.
Sophos sitúa el coste medio de recuperación en 1,64 millones de dólares, con una mediana de 750.000 dólares. Además, el 73 % de las organizaciones afectadas asumió costes de al menos 250.000 dólares. Estas cifras incluyen el esfuerzo para recuperar sistemas, investigar el incidente, restaurar operaciones, reforzar controles y gestionar las consecuencias empresariales.
| Dato del informe | Resultado |
|---|---|
| Organizaciones con al menos una brecha de identidad | 71 % |
| Incidentes medios por organización afectada | 3 |
| Organizaciones con seis o más brechas | 5 % |
| Víctimas de ransomware cuyo caso empezó por identidad | 67 % |
| Coste medio de recuperación | 1,64 millones de dólares |
| Coste mediano de recuperación | 750.000 dólares |
| Afectados con costes de 250.000 dólares o más | 73 % |
| Monitorización continua de inicios de sesión anómalos | 24 % |
La lectura para los equipos de seguridad es directa: proteger endpoints, redes y aplicaciones sigue siendo necesario, pero ya no basta. Si un atacante consigue entrar con una identidad válida, muchas defensas tradicionales pierden eficacia. La actividad parece legítima, los accesos pasan por canales permitidos y la detección depende de observar comportamientos anómalos, cambios de contexto o privilegios mal utilizados.
El informe también apunta a consecuencias muy concretas. Entre las organizaciones que reconocieron una brecha de identidad con efecto directo en el negocio, las principales derivadas fueron robo de datos, ransomware y robo financiero. La identidad no es ya una pieza administrativa del área de IT; se ha convertido en un activo de riesgo financiero.
El problema silencioso de las identidades no humanas
El error humano sigue pesando. Sophos atribuye cerca del 43 % de los incidentes a empleados engañados para entregar credenciales. Pero el segundo gran factor, citado en el 41 % de los casos, es la mala gestión de identidades no humanas. Aquí entran claves API almacenadas en código, credenciales estáticas, cuentas de servicio abandonadas, tokens antiguos y permisos que nadie revisa porque no pertenecen a una persona concreta.
Este punto resulta especialmente delicado con la llegada de la IA agéntica. Un agente puede consultar datos, llamar a APIs, crear subagentes, ejecutar flujos de trabajo o interactuar con herramientas internas. Para hacerlo necesita permisos. Si esos permisos son amplios, persistentes y poco auditados, la organización acaba multiplicando sus puntos de exposición sin tener una visión completa de quién o qué puede acceder a cada sistema.
Sophos advierte de que solo una de cada tres organizaciones rota o audita regularmente cuentas de servicio e identidades no humanas. Apenas el 11 % lo hace de forma continua. Esa falta de control abre la puerta a escenarios muy comunes: una clave olvidada en un repositorio, un token de integración que nunca caduca, una cuenta de servicio con permisos heredados o un agente conectado a sistemas críticos sin trazabilidad suficiente.
La relación entre esta debilidad y el coste del incidente también es clara. Según el informe, las organizaciones con mala gestión de identidades no humanas tienen un 22 % más de probabilidad de sufrir robo financiero y pagan unos 150.000 dólares más que la media para recuperarse. No es un problema teórico de arquitectura: tiene consecuencias económicas medibles.
La visibilidad sigue siendo el punto débil
La monitorización es otro agujero relevante. Solo el 24 % de las organizaciones monitoriza de forma continua intentos de inicio de sesión inusuales. Más de la mitad revisa este tipo de señales cada tres meses o incluso con menos frecuencia. En un contexto donde las credenciales robadas se usan en cuestión de minutos u horas, esa cadencia deja demasiado margen al atacante.
El informe también recoge que el 14 % de las organizaciones que sufrieron una brecha no pudo detectar y detener su ataque de identidad más importante antes de que causara daño. Las empresas más pequeñas, entre 100 y 250 empleados, tuvieron más dificultades de detección que las organizaciones medianas, algo lógico si se tiene en cuenta que suelen contar con menos personal especializado, menos automatización y menor capacidad de respuesta 24/7.
Por sectores, energía, petróleo, gas y utilities declararon la tasa más alta de brechas, con un 80 %. Les siguió el gobierno federal o central, con un 78 %. Son ámbitos donde la identidad tiene una importancia especial porque los accesos no protegen solo aplicaciones internas, sino infraestructuras esenciales, datos sensibles y procesos que no pueden detenerse sin consecuencias graves.
El estudio también vincula el cumplimiento normativo con el riesgo operativo. Las organizaciones que declararon tener muchas dificultades para cumplir requisitos regulatorios registraron una tasa de brechas del 82,4 %, frente al 68,3 % de aquellas con menor dificultad. El cumplimiento no equivale automáticamente a seguridad, pero cuando una empresa no logra ordenar procesos, evidencias, controles y responsabilidades, suele arrastrar debilidades que los atacantes pueden aprovechar.
La recomendación de Sophos pasa por un enfoque por capas: MFA para todas las cuentas, mínimo privilegio, eliminación rápida de identidades inactivas, inventario de identidades no humanas, sustitución de credenciales persistentes por credenciales de vida corta, plataformas de gestión de secretos, capacidades ITDR y modelos Zero Trust. La lista no es nueva, pero el contexto sí lo es. La IA está acelerando la creación de identidades y la velocidad de los ataques.
La conclusión incómoda es que muchas empresas han protegido mejor sus dispositivos que sus identidades. Y en un entorno de cloud, SaaS, APIs y agentes de Inteligencia Artificial, esa prioridad queda desfasada. El atacante moderno no siempre necesita forzar una puerta. A veces solo necesita encontrar una credencial olvidada, un token permanente o un agente con más permisos de los necesarios.
Preguntas frecuentes
¿Qué es una brecha relacionada con identidad?
Es un incidente en el que el atacante usa, roba, abusa o manipula una identidad digital, como una cuenta de usuario, una credencial administrativa, una API key, una cuenta de servicio o un token de acceso.
¿Qué son las identidades no humanas?
Son identidades usadas por sistemas, aplicaciones, servicios, workloads, scripts, APIs o agentes de IA. No pertenecen a una persona, pero pueden tener permisos para acceder a datos y ejecutar acciones.
¿Por qué la IA agéntica aumenta el riesgo?
Porque los agentes de IA pueden actuar de forma autónoma, crear subprocesos, consultar herramientas y usar credenciales. Si no se gobiernan bien, multiplican accesos difíciles de auditar.
¿Qué medidas básicas deberían aplicar las empresas?
Inventariar identidades humanas y no humanas, aplicar MFA, eliminar privilegios permanentes, rotar credenciales, usar gestores de secretos, monitorizar accesos anómalos y adoptar detección específica de amenazas de identidad.
vía: sophos
