Sophos, líder global en ciberseguridad, publica hoy el State of Identity Security 2026i, un estudio independiente realizado mediante consultas a 5.000 responsables de TI y ciberseguridad en 17 países (incluido España).

El informe revela que el 70% de las organizaciones españolas (71% de media mundial) sufrieron al menos una brecha relacionada con la identidad en el último año y que, de media, las organizaciones registraron tres incidentes distintos. Por su parte, un 5% de los encuestados (media global) afirmaron haber sufrido seis o más brechas. Estos ataques están impulsados principalmente por el error humano y la deficiente gestión de identidades no humanas (NHIs, Non-Human Identities), un reto que se agrava a medida que la IA agéntica acelera los procesos de ataque.

A nivel global, dos tercios de las víctimas de ransomware (el 67%) confirmaron que el incidente tuvo su origen en un ataque de identidad, estableciendo así el compromiso de identidad como el principal vector de ataques de ransomware. Los investigadores de Sophos X-Ops han observado esta tendencia de forma consistente a lo largo del último año.

Las consecuencias financieras son significativas: el coste medio de recuperación a escala global alcanzó los 1,64 millones de dólares, con una media de 750.000 dólares, y el 73% de los afectados se enfrentó a costes de 250.000 dólares o más.

“La identidad se ha convertido en la principal superficie de ataque, y los datos muestran que la mayoría de organizaciones están perdiendo terreno”, afirma Ross McKerchar, CISO de Sophos. “El problema de las identidades no humanas es especialmente urgente. Los agentes de IA reciben privilegios más rápido de lo que los equipos de seguridad pueden controlar, y las organizaciones que no se adelanten a esta realidad pagarán un precio cada vez más alto”.

Principales conclusiones

• El robo de datos y financiero dominan las consecuencias de las brechas: el 10% de las organizaciones se han enfrentado a una brecha de identidad con impacto en el negocio durante el último año, siendo las principales consecuencias el robo de datos (49%), el ransomware (48%) y el robo financiero (47%).

• La visibilidad sigue siendo un punto crítico: sólo el 24% de las organizaciones monitoriza continuamente los intentos de inicio de sesión inusuales, y más de la mitad lo revisa cada tres meses o con menor frecuencia.

• Brechas en la detección: el 14% de las organizaciones que sufrieron una brecha nopudierondetectar y detener su ataque de identidad más significativo antes de que se produjera el daño. Las organizaciones más pequeñas (de 100 a 250 empleados) casi duplican la tasa de fallo endetecciónfrentea las medianas.En España, el 18% de las empresas no pudieron detectar y detener el ataque de identidad, es decir, casi una de cada cinco no fue capaz de pararlo a tiempo.

• Las infraestructuras críticas, las más expuestas: los sectores de energía, petróleo/gas y utilities (80%) y las administraciones públicas (78%) registraron las tasas de brechas más altas en todos los sectores analizados.

• Las dificultades de cumplimiento anticipan un mayor riesgo: las organizaciones que ven el cumplimento con las regulaciones como ‘muy desafiante ’tuvieron una tasa de brechas del 82,4%,14 puntos porcentuales por encima de las que reportaron menor dificultad (68,3%).

El error humano (empleados engañados para que facilitaran sus credenciales) se citó en casi el 43% de los incidentes. Una gestión deficiente de las NHIs, que incluye claves API almacenadas en el código, credenciales estáticas y cuentas de servicio huérfanas, se mencionó en el 41% de los casos. Las organizaciones con una gestión deficiente de las NHIs tienen un 22% más de probabilidades de sufrir robos financieros, y pagan aproximadamente 150.000 dólares más de lo habitual en la recuperación.

El problema de la gestión de NHIs se está agravando. Los agentes de IA pueden crear de forma autónoma subagentes, cada uno de los cuales genera nuevas credenciales con un acceso amplio y persistente y una supervisión humana inconsistente. Los marcos de identidad existentes no se diseñaron para esto, y las organizaciones ya van con retraso: sólo 1 de cada 3 organizaciones rota o audita regularmente las cuentas de servicio y las identidades no humanas, mientras únicamente el 11% lo hacen manera continua.

Recomendaciones

Para reducir la exposición a ataques relacionados con la identidad, las organizaciones deben implementar un enfoque multicapa que cubra tanto las identidades humanas como las no humanas. Los pasos esenciales incluyen adoptar la autenticación multi-factor (MFA) en todas las cuentas de usuario, aplicar el principio de mínimo privilegio y desactivar o eliminar las identidades inactivas.

En lo relativo a las identidades no humanas, las organizaciones deben inventariar y clasificar todas las NHIs, sustituir las credenciales de larga duración por alternativas de corta vida e implantar plataformas de gestión de secretos para gestionar las credenciales NHIs a escala. A medida que la IA agéntica acelera la proliferación de NHIs, desplegar capacidades de Detección y Respuesta a Amenazas de Identidad (ITDR) y adoptar un modelo de seguridad Zero Trust constituyen capas de defensa cada vez más críticas.