Foto: cortesía de Sophos.
México ya se encuentra entre los países más afectados por brechas de identidad a nivel global. De acuerdo con el nuevo reporte State of Identity Security 2026 de Sophos, el 83.3% de las organizaciones mexicanas sufrió al menos un incidente relacionado con identidades durante el último año, colocándose como el segundo país más afectado del estudio, solo detrás de Suiza.
El dato coloca a México muy por encima del promedio global (70.9%) y refleja cómo el robo de contraseñas, cuentas comprometidas y accesos automatizados se han convertido en una de las principales puertas de entrada para ransomware, robo de información y fraude financiero. El estudio, realizado entre 5,000 líderes de TI y ciberseguridad en 17 países, revela además que dos de cada tres ataques de ransomware comenzaron a partir del compromiso de identidades, confirmando un cambio importante en las tácticas de los ciberdelincuentes: hoy el objetivo ya no es únicamente vulnerar sistemas, sino secuestrar accesos.
“Las identidades se han convertido en la principal superficie de ataque en la ciberseguridad moderna. El problema se está agravando con la proliferación de identidades no humanas y agentes de IA que reciben privilegios más rápido de lo que los equipos de seguridad pueden supervisar”, señaló Ross McKerchar, Chief Information Security Officer de Sophos.
IA, APIs y cuentas automatizadas: el nuevo dolor de cabeza para las empresas
Uno de los hallazgos más importantes del reporte es el crecimiento acelerado de las llamadas identidades no humanas (NHI): cuentas de servicio, APIs, tokens y accesos automatizados utilizados por aplicaciones cloud, infraestructura tecnológica y herramientas de inteligencia artificial.
De acuerdo con el análisis, muchas organizaciones no tienen visibilidad suficiente sobre estos accesos, pese a que ya son utilizados masivamente dentro de entornos corporativos.
La investigación encontró que:
El 41% de las brechas estuvo relacionado con una mala gestión de identidades no humanas
Solo el 24% de las organizaciones monitorea continuamente comportamientos sospechosos de inicio de sesión
Apenas una de cada tres empresas cambia o audita regularmente cuentas automatizadas
Solo el 11% realiza monitoreo continuo sobre identidades no humanas
Además, las organizaciones con prácticas deficientes de gestión de No Human Identities tienen 22% más probabilidades de sufrir robo financiero y pagan, en promedio, 150 mil dólares más para recuperarse de un incidente.
El ransomware ahora entra por las contraseñas
El reporte también confirma que el ransomware continúa evolucionando. Actualmente, el acceso inicial suele originarse mediante el robo o abuso de contraseñas válidas, en lugar de ataques tradicionales basados únicamente en malware. Entre las principales consecuencias de las brechas de identidad reportadas por las organizaciones se encuentran:
Robo de datos (49%)
Ransomware (48%)
Robo financiero (47%)
El impacto económico también sigue creciendo. Sophos estima que el costo promedio de recuperación tras una brecha relacionada con identidades alcanzó los 1.64 millones de dólares.
México destaca en detección, pero sigue altamente expuesto
Pese al alto nivel de incidentes, México mostró uno de los mejores desempeños en capacidad de detección dentro del estudio. Solo el 9.8% de las organizaciones mexicanas afirmó no haber logrado detectar o detener el ataque antes de que ocurrieran daños, colocándose entre los países con menor índice de fallas de detección, únicamente detrás del Reino Unido.
Sin embargo, Sophos advierte que el volumen de ataques y la rápida expansión de identidades automatizadas podrían dificultar cada vez más la capacidad de respuesta de las empresas.
Ante este escenario, Sophos recomienda fortalecer las estrategias de seguridad de identidad mediante medidas como autenticación multifactor (MFA), modelos Zero Trust, monitoreo continuo de accesos y herramientas de Identity Threat Detection and Response (ITDR). También enfatiza la necesidad de que las organizaciones tengan visibilidad total sobre cuentas automatizadas, APIs y accesos generados por herramientas de IA.
