Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Las brechas de identidad impulsan casi el 90% de las investigaciones del Informe Global de Respuesta a Incidentes 2026 de Unit 42

Las brechas de identidad impulsan casi el 90% de las investigaciones del Informe Global de Respuesta a Incidentes 2026 de Unit 42

by Patrick Spencer updated febrero 26, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 15 minutes

Los atacantes no necesitan forzar cerraduras cuando las puertas ya están abiertas. Esa es la incómoda realidad que revela el Informe Global de Respuesta a Incidentes 2026 de Unit 42 de Palo Alto Networks, publicado el 19 de febrero de 2026. Basado en más de 750 intervenciones de respuesta a incidentes en más de 50 países, el informe ofrece un veredicto que debería quitarle el sueño a cualquier CISO: las debilidades de identidad tuvieron un papel clave en casi el 90% de todas las investigaciones. No fueron exploits de vulnerabilidades. No fue magia de zero-day. Fue la identidad.

Los datos confirman lo que los equipos de respuesta en primera línea han dicho durante años: el camino más fiable para entrar en una empresa es por la puerta principal, usando credenciales robadas, sesiones secuestradas y permisos que debieron revocarse hace meses o años. Y la velocidad con la que los atacantes aprovechan estas brechas ha alcanzado un nuevo umbral. Las intrusiones más rápidas en 2025 pasaron de la primera vulneración a la exfiltración confirmada de datos en solo 72 minutos, cuatro veces más rápido que la misma métrica del año anterior.

Para los líderes de seguridad de datos, cumplimiento y privacidad, este informe es una llamada de atención respaldada por cifras contundentes.

Y es precisamente esta brecha —entre la defensa perimetral y la aplicación operativa de controles de identidad y datos— la que plataformas de gobernanza de datos como Kiteworks están diseñadas para cerrar.

5 conclusiones clave

  1. La identidad es la puerta principal del atacante — y está completamente abierta. Las debilidades de identidad tuvieron un papel clave en casi el 90% de las más de 750 investigaciones de respuesta a incidentes que Unit 42 gestionó en 2025. El 65% de los accesos iniciales se debieron a técnicas basadas en identidad — phishing, uso indebido de credenciales, fuerza bruta y configuraciones incorrectas de IAM. Los atacantes no necesitan cadenas de exploits sofisticadas cuando pueden iniciar sesión con credenciales robadas, sesiones secuestradas o privilegios mal definidos. Un análisis de más de 680,000 identidades en la nube reveló que el 99% tenía permisos excesivos. Kiteworks aborda esto directamente mediante la aplicación de acceso de mínimo privilegio, verificación continua para cada solicitud de datos y registros auditables integrales que rastrean cada interacción de identidad con datos confidenciales — brindando a los equipos de seguridad la visibilidad para detectar el uso indebido de credenciales antes de que se convierta en una filtración.
  2. Los ataques más rápidos ahora exfiltran datos en 72 minutos. El cuartil más rápido de intrusiones alcanzó la exfiltración confirmada de datos en solo 72 minutos en 2025 — frente a 285 minutos el año anterior, una aceleración de 4 veces. El tiempo medio hasta la exfiltración fue de dos días. Para organizaciones que operan bajo requisitos de notificación de brechas como la ventana de 72 horas del GDPR o leyes estatales de privacidad, una mediana de dos días significa que el reloj regulatorio comienza antes de que muchas organizaciones hayan confirmado el incidente. El monitoreo en tiempo real y las alertas automatizadas de Kiteworks detectan movimientos anómalos de datos en el momento — no después de la reconstrucción forense — permitiendo a los equipos de seguridad contener la exposición de datos dentro de la ventana cada vez más reducida en la que operan los atacantes.
  3. Más del 90% de las filtraciones fueron habilitadas por brechas prevenibles — no por exploits sofisticados. En más del 90% de las filtraciones, brechas prevenibles permitieron materialmente la intrusión: visibilidad limitada, controles aplicados de forma inconsistente o confianza excesiva en la identidad. No se trata de amenazas persistentes avanzadas rompiendo defensas de última generación. Se trata de configuraciones incorrectas, telemetría incompleta y accesos sobre-permisivos que crean el camino de menor resistencia. En el 87% de las investigaciones, los equipos de respuesta revisaron pruebas de dos o más fuentes distintas para reconstruir lo ocurrido. Kiteworks elimina estas brechas de visibilidad al consolidar todas las comunicaciones de contenido confidencial — correo electrónico, uso compartido de archivos, SFTP, APIs, transferencia de archivos gestionada — en una plataforma unificada con registros de auditoría centralizados, aplicación automatizada de políticas y clasificación de datos consistente en todos los canales.
  4. El riesgo en la cadena de suministro de software se ha expandido a la conectividad de confianza. El riesgo en la cadena de suministro ya no se limita al código vulnerable. Los atacantes explotan integraciones SaaS, herramientas de gestión de proveedores y dependencias de aplicaciones para eludir perímetros a gran escala. Los datos de aplicaciones SaaS fueron relevantes en el 23% de los casos de Unit 42 en 2025, frente al 6% en 2022. En una investigación, los atacantes aprovecharon tokens OAuth válidos de una plataforma comprometida para acceder a entornos posteriores — y la revisión posterior al incidente reveló casi 100 integraciones de terceros adicionales sin monitoreo. Kiteworks aborda el riesgo de proveedores y cadena de suministro mediante el monitoreo continuo de los patrones de acceso de datos de proveedores en todos los canales, señalando desviaciones de comportamiento que indican nuevas o cambiadas capacidades, y manteniendo registros auditables que documentan exactamente qué datos acceden los proveedores y cuándo.
  5. La extorsión se ha desvinculado del cifrado — el robo de datos es el nuevo poder de presión. El cifrado apareció solo en el 78% de los casos de extorsión en 2025, el mayor descenso en los cinco años del conjunto de datos. Los atacantes cada vez ven el cifrado como opcional — el robo de datos y la amenaza de exposición pública ya ofrecen suficiente presión. Las demandas de rescate medianas subieron a 1,5 millones de dólares y los pagos medianos casi se duplicaron hasta los 500,000 dólares. Incluso las organizaciones con sólidas capacidades de respaldo enfrentan extorsión basada en datos robados. Bajo el GDPR, leyes estatales de privacidad y regulaciones sectoriales, la exfiltración no autorizada de datos activa requisitos de notificación independientemente del cifrado. El modelo de seguridad centrado en los datos de Kiteworks — aplicando controles de acceso, clasificación de datos y cifrado a nivel de contenido — garantiza que incluso cuando los atacantes acceden a la red, los datos confidenciales permanezcan protegidos y auditables.

El problema de identidad es peor de lo que crees

Los datos de Unit 42 muestran con detalle cómo la identidad se ha convertido en la principal superficie de ataque. El 65% de los accesos iniciales en 2025 se debieron a técnicas basadas en identidad. Esto se desglosa en ingeniería social relacionada con identidad en un 33% (solo phishing representa el 22%), uso indebido de credenciales y fuerza bruta en un 21%, y fallos de políticas de identidad y riesgo interno en un 11%.

Pero el acceso inicial es solo el comienzo. Tras ingresar, los atacantes aprovechan las brechas de identidad para escalar privilegios, moverse lateralmente y llegar a datos confidenciales. El análisis de Unit 42 sobre más de 680,000 identidades en la nube reveló que el 99% de los usuarios, roles y servicios en la nube tenían permisos excesivos — algunos sin uso durante 60 días o más. No es un error. Noventa y nueve por ciento.

Roles sobre-permisivos, permisos heredados y concesiones heredadas sin retirar crean caminos de escalada repetibles. Los atacantes no necesitan herramientas sofisticadas cuando pueden simplemente escribir en IAM y escalar privilegios usando la propia arquitectura de acceso de la organización. El robo de tokens y concesiones ilícitas de OAuth les permiten eludir la autenticación multifactor, persistir sin inicios de sesión repetidos y operar silenciosamente.

Las implicaciones para la privacidad de datos son graves. Cuando una sola identidad comprometida puede convertirse en acceso amplio a entornos en la nube, aplicaciones SaaS y sistemas locales, el alcance de la posible exposición de datos se amplía drásticamente. Cada cuenta de servicio sin monitoreo y cada integración OAuth inactiva se convierte en un posible canal para que datos regulados salgan de la organización.

Kiteworks aborda este riesgo en la capa de datos. Sus controles de acceso basados en atributos aplican el principio de mínimo privilegio para cada usuario, cuenta de servicio y sistema que accede a contenido confidencial. La verificación continua evalúa cada solicitud de datos según las políticas actuales — no basta con autenticar una vez y tener acceso para siempre. Y los registros auditables integrales rastrean cada interacción de identidad con datos protegidos, brindando a los equipos de seguridad la evidencia necesaria para detectar el uso indebido de credenciales antes de que escale a una filtración reportable.

Los ataques ahora abarcan todo, en todas partes

Uno de los hallazgos más impactantes del informe es la amplitud de las intrusiones modernas. El 87% de los incidentes investigados por Unit 42 involucraron actividad en múltiples superficies de ataque — endpoints, redes, infraestructura en la nube, aplicaciones SaaS y sistemas de identidad simultáneamente. El 67% tocó tres o más superficies. Algunos incidentes abarcaron hasta ocho.

Esta realidad multisuperficie tiene implicaciones directas para los marcos de cumplimiento diseñados en torno a modelos de seguridad perimetral. Cuando los atacantes encadenan identidades en la nube, tokens SaaS y Active Directory local en una sola intrusión, la exposición regulatoria no se limita a un sistema o una clasificación de datos. Se extiende por jurisdicciones, tipos de datos y unidades de negocio.

Casi la mitad de los incidentes (48%) involucraron actividad basada en navegador, reflejando la frecuencia con la que los ataques se cruzan con los flujos de trabajo diarios donde los empleados acceden al correo electrónico, aplicaciones en la nube y datos corporativos. El navegador se ha convertido en el nuevo escritorio corporativo — y en una de las superficies menos protegidas en la empresa.

La superficie de ataque en la nube sigue creciendo también. Aproximadamente el 35% de las investigaciones involucraron activos en la nube o SaaS, y los datos de aplicaciones SaaS fueron relevantes en el 23% de los casos en 2025, frente al 6% en 2022. Esa trayectoria de cuatro años cuenta una historia clara: a medida que las organizaciones trasladan datos confidenciales y procesos de negocio a herramientas en la nube, los atacantes los siguen.

Por eso Kiteworks consolida todas las comunicaciones de contenido confidencial — correo electrónico, uso compartido de archivos, SFTP, APIs, formularios web y transferencia de archivos gestionada — en una sola plataforma con políticas de seguridad unificadas y registros de auditoría centralizados. Cuando cada canal por el que se mueven los datos está gobernado por los mismos controles de acceso y monitoreado por la misma infraestructura de auditoría, los atacantes no pueden explotar las brechas entre herramientas aisladas. La telemetría unificada brinda a los equipos del SOC la visibilidad cruzada que Unit 42 identifica como la capacidad más crítica que falta en las organizaciones investigadas.

El problema de la velocidad: 72 minutos hasta el robo de datos

Los hallazgos sobre velocidad en este informe cambian fundamentalmente el cálculo de la respuesta a incidentes.

El cuartil más rápido de intrusiones alcanzó la exfiltración confirmada de datos en 72 minutos durante 2025. La misma métrica fue de 285 minutos en 2024. Es una aceleración de 4 veces en un solo año. La proporción de incidentes que alcanzan la exfiltración en menos de una hora también creció, del 19% al 22%.

Incluso el tiempo medio hasta la exfiltración fue de solo dos días. Para organizaciones sujetas a requisitos de notificación de brechas de datos — ya sea la ventana de 72 horas del GDPR, leyes estatales de privacidad o regulaciones sectoriales — una mediana de dos días significa que el reloj comienza a correr antes de que muchas organizaciones hayan confirmado siquiera que hay un incidente en curso.

Esta aceleración está directamente relacionada con el problema de identidad. Cuando los atacantes se autentican con credenciales válidas, se saltan la fase ruidosa de explotación que las herramientas de seguridad tradicionales están diseñadas para detectar. Llegan dentro del perímetro con acceso de confianza y comienzan a recopilar datos de inmediato. No hay firma de malware que active una alerta. No hay exploit de vulnerabilidad que registrar. Solo hay un inicio de sesión que parece legítimo seguido de acceso a datos que también parece legítimo — hasta que los datos salen de la organización.

Unit 42 atribuye gran parte de esta aceleración al uso operativo de inteligencia artificial por parte de los actores de amenazas. En 2025, los atacantes pasaron de la experimentación al uso rutinario de IA en reconocimiento, ingeniería social, generación de scripts y resolución de problemas. La IA reduce la fricción en cada etapa del ciclo de ataque, permitiendo a los actores ejecutar múltiples operaciones en paralelo y comprimir el tiempo entre el acceso inicial y el impacto.

Las capacidades de monitoreo en tiempo real y alertas automatizadas de Kiteworks están diseñadas precisamente para este escenario. Cuando los patrones de acceso a datos se desvían de las líneas base establecidas — picos repentinos de volumen, horarios de acceso inusuales, consultas a clasificaciones de datos fuera del alcance habitual de un usuario — Kiteworks señala la anomalía de inmediato y activa acciones automáticas de contención. En un mundo donde la exfiltración ocurre en 72 minutos, la diferencia entre un incidente contenido y una filtración reportable es si tu detección opera en tiempo real o depende de la revisión de registros después del hecho.

Más del 90% de las filtraciones eran prevenibles — y eso debería doler

Aquí está el hallazgo que más debería doler: en más del 90% de las filtraciones, brechas prevenibles permitieron materialmente la intrusión. No amenazas persistentes avanzadas. No exploits de estados-nación. Brechas prevenibles — visibilidad limitada, controles aplicados de forma inconsistente y confianza excesiva en la identidad.

Unit 42 identificó tres condiciones sistémicas que aparecieron repetidamente en las investigaciones.

Primero, brechas de visibilidad. La telemetría crítica a menudo existía pero estaba atrapada en herramientas aisladas, impidiendo a los defensores correlacionar señales entre identidad, endpoint, nube y capas SaaS. En el 87% de las investigaciones, los equipos de respuesta tuvieron que revisar pruebas de dos o más fuentes distintas para reconstruir lo ocurrido, con casos complejos que requerían hasta diez.

Segundo, complejidad ambiental. Las bases de seguridad rara vez se aplicaban de forma universal. La protección de endpoints podía estar completamente implementada en una unidad de negocio pero ausente o degradada en otra. Esta inconsistencia crea un camino de menor resistencia que los atacantes encuentran y explotan de forma fiable.

Tercero, deriva de identidad. Los permisos se acumulan con el tiempo a medida que cambian los roles, persisten las excepciones y las concesiones heredadas no se retiran. El resultado es un entorno de identidades donde casi cada cuenta tiene más acceso del necesario, y donde una credencial comprometida proporciona mucho más alcance del que debería.

Para los equipos de cumplimiento y privacidad, este hallazgo cambia la conversación. El riesgo no es que los adversarios sean demasiado sofisticados para detenerlos. El riesgo es que la higiene fundamental — implementación consistente de controles, revisiones oportunas de permisos, telemetría unificada — no se mantiene en toda la empresa. Estas son las brechas que llevan a filtraciones reportables, sanciones regulatorias y obligaciones de notificación a clientes.

Kiteworks aborda directamente las tres condiciones sistémicas. Su plataforma unificada elimina las brechas de visibilidad al consolidar las comunicaciones de contenido confidencial en una sola infraestructura de auditoría. La aplicación automatizada de políticas asegura que los controles se apliquen de forma consistente en todos los canales y unidades de negocio — no solo en los que se priorizaron durante la última revisión de seguridad. Y sus controles de acceso basados en atributos combaten la deriva de identidad al aplicar permisos a nivel de datos que no dependen de roles heredados ni privilegios acumulados — el acceso se evalúa según la política vigente para cada solicitud, siempre.

El riesgo en la cadena de suministro se expande a la conectividad de confianza

El informe documenta una expansión significativa del riesgo en la cadena de suministro de software más allá del código vulnerable, incluyendo integraciones SaaS, herramientas de gestión de proveedores y dependencias de aplicaciones.

Los datos de aplicaciones SaaS fueron relevantes en el 23% de los casos de Unit 42 en 2025. En una investigación, los atacantes aprovecharon tokens OAuth válidos de una plataforma de ventas comprometida para acceder a entornos de Salesforce posteriores. La actividad parecía automatización rutinaria de CRM. La revisión posterior al incidente reveló casi 100 integraciones de terceros adicionales conectadas a Salesforce — muchas inactivas, sin monitoreo o propiedad de exempleados.

Las herramientas de proveedores, especialmente las plataformas de monitoreo y gestión remota, también surgieron como un vector de riesgo significativo. Unit 42 identificó que el 39% de las técnicas de comando y control estaban relacionadas con herramientas de acceso remoto, que se mezclan con el tráfico administrativo rutinario y son difíciles de distinguir de la actividad legítima de proveedores.

Para las organizaciones que gestionan obligaciones de privacidad de datos, estos hallazgos resaltan un punto ciego crítico. Las integraciones de terceros a menudo heredan los mismos permisos otorgados durante la configuración inicial, a veces incluyendo la capacidad de leer datos confidenciales, gestionar usuarios o modificar registros. Cuando un proveedor upstream es comprometido, esos permisos heredados se convierten en el vector de ataque — y la organización afectada puede tener visibilidad limitada sobre qué datos fueron accedidos o exfiltrados.

El riesgo de dependencias open-source agrava el problema. La investigación de Unit 42 indica que más del 60% de las vulnerabilidades en aplicaciones nativas de la nube residen en librerías transitivas — las dependencias indirectas que tu código utiliza. Los actores de amenazas también están inyectando código malicioso en paquetes upstream que se ejecutan durante los pasos de compilación e instalación, comprometiendo pipelines antes de la implementación.

Kiteworks aborda el riesgo de proveedores y cadena de suministro mediante el monitoreo continuo de todos los canales a través de los cuales los proveedores interactúan con los datos de la organización. Cuando las cuentas de proveedores muestran comportamientos inusuales — cambios en el volumen de datos, frecuencia de acceso o patrones de consulta — Kiteworks señala la desviación de inmediato y documenta la evidencia. Esto brinda a los equipos de seguridad la visibilidad para identificar cuándo un producto de proveedor ha cambiado de forma que afecta cómo se procesan los datos confidenciales, y el registro de auditoría para demostrar cumplimiento o revelar exposición.

La extorsión se desvincula del cifrado — el robo de datos es el nuevo poder de presión

La economía del cibercrimen está cambiando de formas que afectan directamente las estrategias de protección de datos. El cifrado apareció solo en el 78% de los casos de extorsión en 2025, un descenso notable respecto a los niveles cercanos o superiores al 90% mantenidos entre 2021 y 2024.

Los atacantes cada vez ven el cifrado como opcional. El robo de datos y la amenaza de exposición pública ya ofrecen suficiente presión. Las demandas iniciales de rescate medianas subieron de 1,25 millones a 1,5 millones de dólares, mientras que los pagos medianos casi se duplicaron de 267,500 a 500,000 dólares.

Este cambio tiene implicaciones importantes para la privacidad de datos. Incluso las organizaciones con sólidas capacidades de respaldo y recuperación — la defensa tradicional contra ransomware — ahora enfrentan extorsión basada en la amenaza de exposición de datos. Aproximadamente el 41% de las víctimas pudieron restaurar desde copias de seguridad sin pagar, pero eso no eliminó la presión creada por los datos robados. Y en el 26% de los casos de extorsión, los atacantes apuntaron específicamente a los sistemas de respaldo.

La amenaza de exposición de datos crea obligaciones regulatorias y legales independientemente de si los sistemas fueron cifrados. Bajo el GDPR, leyes estatales de privacidad y regulaciones sectoriales, la exfiltración no autorizada de datos personales activa requisitos de notificación, escrutinio regulatorio y posibles sanciones — aunque el atacante nunca haya desplegado ransomware.

El modelo de seguridad centrado en los datos de Kiteworks está diseñado para esta realidad. Al aplicar cifrado, controles de acceso y clasificación de datos a nivel de contenido, Kiteworks garantiza que incluso cuando los atacantes acceden a la red, los datos en sí permanezcan protegidos. Si los datos son exfiltrados, los registros auditables integrales documentan exactamente qué se llevó, cuándo y por qué canal — proporcionando la evidencia forense que exigen los reguladores y reduciendo el alcance de las obligaciones de notificación de filtraciones.

De la exposición a la acción: qué deben hacer los líderes de seguridad ahora

El informe de Unit 42 presenta recomendaciones específicas organizadas en torno a tres prioridades: reducir la exposición, limitar el área de impacto y construir capacidad de respuesta que opere a velocidad de máquina. Para los líderes de seguridad de datos y cumplimiento, las siguientes acciones son las más urgentes.

Implementa MFA resistente a phishing y aplica acceso de mínimo privilegio. Prioriza FIDO2/WebAuthn para roles privilegiados. Elimina los derechos de administrador permanentes en favor de acceso privilegiado just-in-time. Kiteworks aplica acceso de mínimo privilegio en la capa de datos, asegurando que cada solicitud se evalúe según la política vigente sin importar los permisos a nivel de red del usuario.

Haz inventario y rota identidades de máquina. Establece descubrimiento continuo para cuentas de servicio, roles de automatización y claves API. Rota credenciales estáticas de cualquier cuenta de servicio privilegiada que no haya cambiado en 90 días. Los registros auditables integrales de Kiteworks proporcionan la base para este inventario al registrar cada interacción de datos en todos los canales.

Implementa monitoreo continuo para el acceso de proveedores y terceros. Ve más allá de las evaluaciones puntuales. Kiteworks monitorea los patrones de acceso a datos de proveedores de forma continua en correo electrónico, uso compartido de archivos, APIs, SFTP y transferencia de archivos gestionada. Cuando el comportamiento de un proveedor cambia, Kiteworks señala la desviación y documenta la evidencia.

Consolida la telemetría en una vista unificada. La visibilidad fragmentada fue un factor clave en el éxito de los atacantes en 2025. La plataforma unificada de Kiteworks consolida los registros de auditoría en todos los canales de contenido confidencial, eliminando las herramientas aisladas que obligan a los equipos de respuesta a reconstruir ataques manualmente desde fuentes dispersas.

Invierte en prevención, no solo en respuesta. Reequilibra el gasto hacia madurez de gobernanza, gestión de activos, clasificación de datos y supervisión de la cadena de suministro. Kiteworks ofrece la infraestructura preventiva — aplicación automatizada de políticas, clasificación de datos, controles de acceso y monitoreo de proveedores — que evita filtraciones en vez de solo documentarlas después del hecho.

Prepárate para cronogramas de exfiltración inferiores a una hora. Con los ataques más rápidos exfiltrando datos en 72 minutos, la detección y contención deben operar en tiempo real. Las capacidades automatizadas de alerta y contención de Kiteworks detectan movimientos anómalos de datos en el momento, no después de la revisión forense.

La brecha de exposición no se cerrará sola

El Informe Global de Respuesta a Incidentes 2026 de Unit 42 deja algo ineludiblemente claro: la identidad es el campo de batalla, y la mayoría de las organizaciones están perdiendo. No porque los atacantes sean brillantes, sino porque lo básico no se está haciendo de forma consistente. Los permisos se acumulan. Las integraciones no se monitorean. La visibilidad sigue fragmentada. Y cuando el atacante inicia sesión con una credencial válida, la ventana entre el acceso y el robo de datos ahora se mide en minutos, no en días.

Para cada líder responsable de la seguridad de datos, cumplimiento o privacidad, el mensaje es el mismo: la brecha entre tu programa de gobernanza de identidades en papel y la realidad de tu entorno de identidades en producción es donde está tu próxima filtración. Ciérrala antes de que alguien más la encuentre primero.

Kiteworks proporciona la infraestructura operativa que cierra esta brecha. Registros auditables integrales que demuestran que los controles se aplican. Monitoreo continuo que detecta cambios de comportamiento antes de que se conviertan en violaciones de cumplimiento. Controles de acceso de mínimo privilegio que impiden que identidades comprometidas lleguen a datos más allá de su propósito autorizado. Y la infraestructura escalable y automatizada que hace que la gobernanza de datos de nivel empresarial sea accesible para organizaciones de cualquier tamaño.

Las organizaciones que evitarán la próxima filtración serán aquellas que pasen de los documentos de política a la aplicación operativa. Que construyan la infraestructura para igualar sus ambiciones de gobernanza. Que traten la seguridad de datos no como un trámite de cumplimiento, sino como una prioridad de negocio — y desplieguen las plataformas para respaldarlo.

Para descubrir cómo Kiteworks puede ayudarte, agenda una demo personalizada hoy.

Preguntas frecuentes

El abuso de tokens OAuth y los ataques de concesión ilícita están entre las técnicas basadas en identidad más efectivas porque atacan la capa de autorización y no la de autenticación — lo que significa que la MFA no los detiene. En un ataque típico, un actor de amenazas engaña a un usuario para que autorice una aplicación maliciosa a través de un flujo legítimo de consentimiento OAuth, o compromete una plataforma de proveedor que ya tiene tokens OAuth válidos para entornos SaaS posteriores. Una vez que el atacante tiene un token de acceso válido, puede consultar APIs, leer datos confidenciales y moverse lateralmente sin activar alertas de autenticación — porque desde la perspectiva del sistema, cada solicitud está legítimamente autorizada. La investigación de Unit 42 encontró casi 100 integraciones de terceros inactivas y sin monitoreo conectadas a una sola instancia de Salesforce. Detener esto requiere tres controles que operan independientemente de la MFA: inventario y revisión continua de todas las concesiones OAuth y las integraciones de terceros, revocando las concesiones inactivas; monitoreo de comportamiento que establezca líneas base para cada integración y señale desviaciones en volumen, patrones de consulta o clasificación de datos accedidos; y registros auditables que documenten cada llamada API y evento de acceso a datos realizado por cada integración, haciendo visible el acceso no autorizado en el momento en que ocurre y no semanas después durante la reconstrucción forense.

El hallazgo de Unit 42 de que el 99% de los usuarios, roles y servicios en la nube tienen permisos excesivos — algunos sin uso durante 60 días o más — refleja un problema estructural que las revisiones puntuales de acceso no pueden resolver. Los permisos se acumulan por herencia de roles, aprobaciones excepcionales que nunca expiran y concesiones heredadas de exempleados o sistemas fuera de servicio. La remediación efectiva a escala requiere tres cosas. Primero, descubrimiento continuo en vez de auditorías periódicas: herramientas automatizadas que identifiquen cada identidad IAM — usuarios humanos, cuentas de servicio, claves API, roles de automatización — y mapeen lo que realmente accedió en los últimos 30, 60 y 90 días frente a lo que permiten sus permisos. Segundo, aplicación en la capa de datos como control compensatorio: incluso donde la limpieza de IAM no está completa, los controles de acceso basados en atributos en la capa de datos aplican lo que una identidad realmente puede alcanzar dentro de un sistema, desacoplando el acceso a datos de los permisos a nivel de infraestructura. Tercero, privilegio just-in-time: eliminar los derechos de administrador permanentes en favor de acceso elevado por tiempo limitado que expira automáticamente. Esto elimina el privilegio acumulado que hace tan valiosas las credenciales comprometidas para los atacantes — una credencial robada de una cuenta con acceso JIT no proporciona elevación persistente.

Un tiempo medio de dos días hasta la exfiltración confirmada crea una exposición aguda a la notificación de filtraciones porque la mayoría de los marcos regulatorios inician el conteo en el momento en que se toma conciencia de una filtración de datos personales — no cuando hay certeza forense confirmada. Bajo el GDPR, las organizaciones deben notificar a su autoridad supervisora dentro de las 72 horas de tener conocimiento de una filtración que involucre datos personales. Si la exfiltración ocurre el primer día y la detección el segundo, la ventana de 72 horas puede ya estar corriendo. Las leyes estatales de privacidad de EE. UU. — incluidas las basadas en el marco de la CCPA de California — imponen requisitos de notificación en un plazo de 30 a 72 horas para ciertas categorías de datos confidenciales. El problema de cumplimiento se agrava por la brecha de telemetría: en el 87% de las investigaciones de Unit 42, los equipos de respuesta tuvieron que reconstruir los eventos desde dos o más fuentes aisladas. Sin registros auditables unificados que capturen cada evento de acceso a datos en correo electrónico, SFTP, APIs y canales de transferencia de archivos gestionada, las organizaciones no pueden determinar qué datos fueron accedidos o exfiltrados lo suficientemente rápido para cumplir con los plazos de notificación — creando una violación regulatoria secundaria además de la filtración original.

La telemetría fragmentada habilita a los atacantes porque obliga a los defensores a operar con imágenes incompletas mientras los atacantes tienen visibilidad total del entorno que han comprometido. En el 87% de las investigaciones de Unit 42, reconstruir lo ocurrido requirió pruebas de dos o más fuentes distintas; los casos complejos necesitaron hasta diez. Cada límite entre fuentes representa una brecha donde la actividad del atacante no se registró, no generó alertas o no se conectó a señales adyacentes. Una infraestructura de auditoría unificada que cierre esta brecha requiere cinco capacidades: cobertura integral en todos los canales por los que se mueven datos confidenciales — correo electrónico, uso compartido de archivos, SFTP, APIs, MFT y formularios web — para que no exista un camino de exfiltración fuera del registro forense; capacidad de búsqueda en tiempo real en vez de procesamiento por lotes, para que las líneas de tiempo forenses estén disponibles en minutos y no en horas cuando se sospecha un incidente; clasificación de datos consistente que etiquete los registros por sensibilidad en todos los canales, permitiendo delimitar de inmediato qué categorías de datos fueron accedidas; correlación de identidad que vincule cuentas de servicio, tokens API y usuarios humanos a un registro común de identidad; e integración DLP que señale violaciones de políticas en el momento en que ocurren y no solo al descubrirlas retrospectivamente. Sin estas cinco capacidades, los investigadores siempre estarán reconstruyendo el ataque desde fragmentos — después de que ya haya tenido éxito.

El cambio hacia la extorsión con cifrado opcional — presente solo en el 78% de los casos de 2025, frente a más del 90% en años previos — invalida la suposición de que las capacidades de respaldo y recuperación constituyen una defensa completa contra ransomware. Cuando el 41% de las víctimas puede restaurar desde copias de seguridad sin pagar pero aún enfrenta extorsión por datos robados, el ataque ya ha tenido éxito en su objetivo principal antes de la demanda de rescate. Para la privacidad de datos y el cumplimiento, la implicación es directa: la exfiltración no autorizada de datos personales activa obligaciones de notificación bajo el GDPR, HIPAA, leyes estatales de privacidad y regulaciones sectoriales, independientemente de si se desplegó ransomware o los sistemas fueron cifrados. Las organizaciones que tratan la respuesta a ransomware como un problema principalmente de recuperación están ignorando la exposición de notificación, regulatoria y reputacional que el robo de datos crea independientemente del cifrado. El cambio necesario es pasar de una defensa centrada en respaldos a una prevención centrada en los datos: aplicar controles de acceso y DLP en la capa de contenido para que, incluso si un atacante accede a la red, no pueda llegar a datos más allá del alcance de la identidad comprometida, y registros auditables integrales que delimiten de inmediato qué fue accedido si ocurre exfiltración — permitiendo una notificación de filtración defendible en vez de divulgaciones basadas en el peor escenario.

Recursos adicionales

  • Artículo del Blog Arquitectura Zero Trust: Nunca confíes, siempre verifica
  • Video Microsoft GCC High: Desventajas que impulsan a los contratistas de defensa hacia ventajas más inteligentes
  • Artículo del Blog Cómo proteger datos clasificados una vez que DSPM los detecta
  • Artículo del Blog Generando confianza en la IA generativa con un enfoque Zero Trust
  • Video La guía definitiva para el almacenamiento seguro de datos confidenciales para líderes de TI

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks