La ciberseguridad corporativa se enfrenta a un desafío creciente y alarmante: las brechas de identidad. Un reciente informe de Sophos, "The State of Identity Security 2026", publicado a mediados de mayo de 2026, revela que el 71% de las organizaciones a nivel global sufrió al menos una brecha de seguridad relacionada con la identidad en los últimos doce meses. Esta cifra subraya un cambio fundamental en el panorama de amenazas, donde la identidad se ha convertido en el principal vector de ataque, y la proliferación de la inteligencia artificial (IA) agéntica está acelerando esta tendencia.

Los hallazgos de Sophos, basados en una encuesta a 5.000 líderes de TI y ciberseguridad en 17 países, pintan un panorama preocupante. No solo la mayoría de las empresas ha sido impactada, sino que un promedio de tres incidentes de este tipo afectó a las organizaciones en el último año, y un 5% reportó seis o más brechas. Esta recurrencia indica que los enfoques actuales de seguridad de identidad son insuficientes frente a la sofisticación de los atacantes.

Qué es exactamente una brecha de identidad

Una brecha de identidad ocurre cuando las credenciales de un usuario, ya sean humanas o no humanas, son comprometidas y utilizadas por actores maliciosos para obtener acceso no autorizado a sistemas, datos o redes. El informe "The State of Identity Security 2026" de Sophos destaca que la principal causa de estas brechas es una combinación de error humano, responsable del 43% de los incidentes, y una gestión deficiente de las identidades no humanas (NHIs, por sus siglas en inglés), que contribuyó al 41% de las brechas.

Las identidades no humanas incluyen claves API, cuentas de servicio, tokens OAuth y agentes de IA, que a menudo superan en número a las identidades humanas en una proporción de hasta 100 a 1. Sin embargo, solo un tercio de las organizaciones audita o rota estas credenciales regularmente.

Un dato crítico del informe es la fuerte correlación entre las brechas de identidad y los ataques de ransomware. El 67% de las víctimas de ransomware confirmaron que su incidente se originó a partir de un compromiso de identidad, estableciendo una conexión directa entre el robo de credenciales y la parálisis operativa que causan estos ataques.

Por qué esta cifra importa

La prevalencia del 71% no es solo un número; representa una vulnerabilidad sistémica que las organizaciones no pueden ignorar. La identidad se ha convertido en el nuevo perímetro de seguridad, especialmente con la adopción masiva de la nube y el teletrabajo. Cada credencial y cuenta de servicio es un punto de entrada potencial.

Las consecuencias financieras de estas brechas son significativas. El costo promedio de recuperación de una brecha de identidad alcanzó los 1,64 millones de dólares, con un costo medio de 750.000 dólares. Además, el 73% de las organizaciones afectadas incurrieron en costos de recuperación superiores a los 250.000 dólares. Estos costos no solo incluyen la remediación técnica, sino también la interrupción del negocio, la pérdida de datos y el daño a la reputación.

El informe también revela que solo el 24% de las organizaciones monitorea continuamente los intentos de inicio de sesión inusuales, y más de la mitad lo hace cada tres meses o menos. Esta falta de visibilidad y detección temprana es un factor clave que permite a los atacantes operar sin ser detectados durante períodos prolongados.

El rol de la IA agéntica y las identidades no humanas

El informe de Sophos pone un énfasis particular en cómo la IA agéntica está exacerbando el riesgo de las brechas de identidad. La IA agéntica se refiere a sistemas de IA capaces de actuar de forma autónoma para lograr objetivos, y su creciente integración en entornos empresariales introduce nuevas y complejas identidades que deben ser gestionadas.

Ross McKerchar, director de seguridad de la información de Sophos, advierte que "el problema de las identidades no humanas es particularmente urgente. Se están concediendo privilegios a los agentes de IA más rápido de lo que los equipos de seguridad pueden rastrearlos, y las organizaciones que no se anticipen a esto encontrarán que es una brecha cada vez más costosa de cerrar".

Los atacantes están aprovechando la automatización y la IA para acelerar sus ataques. Si bien la IA generativa ha mejorado la velocidad y el refinamiento de las técnicas de phishing y la ingeniería social, Sophos no ha encontrado evidencia de que haya producido técnicas de ataque fundamentalmente nuevas hasta el momento. Sin embargo, su capacidad para escalar y refinar los ataques existentes es innegable. La debilidad en la gestión de las NHI facilita la explotación de estas por parte de la IA agéntica maliciosa, lo que puede llevar a la exfiltración de datos, el despliegue de ransomware y el fraude financiero.

Implicaciones y defensas recomendadas

Las implicaciones de estos hallazgos son profundas para la industria. La identidad ya no es un componente secundario de la seguridad, sino el foco central. Los sectores de infraestructura crítica, como energía, petróleo/gas y servicios públicos, reportaron las tasas de brechas más altas (80%), seguidos por el gobierno federal/central (78%). Esto destaca la necesidad urgente de fortalecer las defensas en estos sectores vitales.

Para mitigar los riesgos relacionados con la identidad, Sophos recomienda un enfoque de seguridad por capas que abarque tanto las identidades humanas como las no humanas. Las medidas clave incluyen:

  • Autenticación multifactor (MFA): Implementar MFA en todas las cuentas para añadir una capa adicional de seguridad.
  • Principio de mínimo privilegio: Asegurar que los usuarios y las NHI solo tengan los permisos estrictamente necesarios para realizar sus funciones.
  • Eliminación de identidades inactivas: Deshabilitar o eliminar rápidamente las cuentas y credenciales que ya no se utilizan.
  • Inventarios de activos y credenciales de NHI: Mantener un registro exhaustivo de todas las identidades no humanas y sus privilegios.
  • Credenciales de corta duración: Utilizar credenciales temporales o de un solo uso para las NHI siempre que sea posible.
  • Plataformas de gestión de secretos: Adoptar soluciones para gestionar y proteger de forma segura las claves API y otras credenciales de NHI.
  • Detección y respuesta a amenazas de identidad (ITDR): Implementar capacidades ITDR para monitorear continuamente el entorno y detectar actividades sospechosas relacionadas con la identidad.
  • Modelo de seguridad Zero Trust: Adoptar un enfoque de confianza cero, donde ningún usuario o dispositivo es confiable por defecto, independientemente de su ubicación.

La visibilidad sigue siendo una debilidad crítica, ya que solo el 24% de las organizaciones monitorea continuamente los intentos de inicio de sesión inusuales. Mejorar la monitorización y la capacidad de detección es fundamental para cerrar las brechas antes de que causen daños significativos.

El informe también destaca que las organizaciones con desafíos significativos en el cumplimiento normativo experimentaron tasas de brechas más altas (82.4%), lo que sugiere que las deficiencias en el cumplimiento a menudo son un indicador de riesgos de seguridad más amplios.

La ciberseguridad ya no puede centrarse únicamente en la protección del perímetro de la red; debe girar en torno a la protección de la identidad, tanto humana como de máquina. La IA agéntica, aunque representa una amenaza, también ofrece oportunidades para mejorar las defensas mediante la automatización de la detección y la respuesta. Sin embargo, la clave reside en una gestión proactiva y exhaustiva de todas las identidades digitales, reconociendo que cada una de ellas es una puerta potencial para los atacantes. La advertencia de Sophos es clara: la era de la identidad como superficie de ataque principal ya está aquí, y la preparación es la única defensa sostenible.