El informe analiza más de 750 casos atendidos entre 2024 y 2025 y confirma un cambio estructural en la dinámica de los ataques: la identidad —cuentas, permisos y credenciales que permiten acceder a sistemas y datos— se ha convertido en el principal vector de ingreso y desplazamiento dentro de las organizaciones.
Casi el 90% de las investigaciones incluyó fallas de identidad como factor determinante. Además, el análisis de más de 680.000 identidades en la nube reveló que el 99% tenía privilegios excesivos.
Este sobrepermisamiento facilita la escalada de privilegios, el movimiento lateral y la permanencia encubierta mediante accesos válidos. Los atacantes aprovechan sesiones activas, tokens OAuth y credenciales filtradas para evitar autenticaciones adicionales y desplazarse entre entornos híbridos, SaaS e infraestructura tradicional como si se tratara de un solo espacio de trabajo.
Las técnicas basadas en identidad concentraron el 65% del acceso inicial. Phishing y explotación de vulnerabilidades empataron como principales vectores con 22% cada uno. Dentro de los ataques vinculados a identidad, destacan el uso de credenciales filtradas (13%) y fuerza bruta (8%), además de errores en la administración de accesos.
El reporte de Palo Alto Networks, también advierte que los atacantes ya no dependen exclusivamente del cifrado para extorsionar. Aunque el ransomware sigue presente, el cifrado bajó a 78% de los casos —cuando antes superaba el 90%—. Cada vez más grupos presionan únicamente con robo de datos y contacto directo con la víctima, incluso mientras los sistemas permanecen operativos.
En términos financieros, la mediana de la demanda inicial se ubicó en US$1,5 millones, mientras que la mediana de pago fue de US$500.000, reflejando procesos de negociación más agresivos.
Otro dato relevante es la creciente utilización de herramientas que simulan actividades administrativas legítimas. El 39% de las técnicas de comando y control empleó herramientas de acceso remoto que pueden confundirse con tareas de gestión habituales. Asimismo, la información alojada en aplicaciones SaaS fue relevante en 23% de los casos analizados.
Integraciones OAuth, claves API, soluciones RMM/MDM y paquetes de terceros pueden heredar permisos y abrir puertas de confianza con un único punto comprometido. En economías como Perú y América Latina, donde predominan entornos híbridos y cadenas de suministro complejas, esta superficie ampliada incrementa el riesgo operativo.
El informe también observa una evolución en actores vinculados a Estados, que priorizan la permanencia prolongada y el bajo perfil. Entre las tácticas detectadas figuran el uso de identidades falsas, infiltración en procesos de contratación y acceso a capas de virtualización e infraestructura crítica, elevando el nivel de sofisticación y la dificultad de detección.
Más allá del volumen de incidentes, la variable crítica es la velocidad. Cuando el tiempo entre acceso inicial y exfiltración se mide en minutos, la diferencia entre incidente y crisis operacional puede definirse en la primera hora.
El análisis sugiere tres frentes prioritarios para las organizaciones:
La conclusión es clara: el delito digital opera a escala industrial y con tiempos de impacto récord. En este entorno, la resiliencia no depende exclusivamente de nuevas herramientas, sino de fundamentos bien ejecutados: visibilidad integral, control efectivo de identidades y capacidad de reacción inmediata.
Es una prueba
Mantente siempre informado con EJECUTIVO TI y conoce el lado mas importante de la noticia. Somos una plataforma de informaciones relacionadas con la coyuntura económica, el accionar empresarial y desarrollo de la tecnología en el país.
Los derechos son reservados. La información puede reproducirse, mencionando la fuente.
Ejecutivo TI es una publicación de Eficacia AMD.
Developed by
