El cronómetro ya no corre a ritmo humano. El Informe Global de Respuesta a Incidentes 2026 publicado por Unit 42, la unidad de inteligencia de amenazas de Palo Alto Networks, lanza una advertencia que debería cambiar la forma en que cualquier organización entiende el riesgo digital: los ciberataques más rápidos analizados este año pasaron del acceso inicial a la exfiltración completa de datos en tan solo 72 minutos, cuatro veces menos que en 2024, donde ese mismo recorrido requería cerca de cinco horas. La IA no solo ha llegado al arsenal ofensivo: ya dicta el ritmo de la batalla.
La IA como acelerador de todas las fases del ataque
El informe, elaborado a partir del análisis de más de 750 incidentes críticos en 50 países, documenta algo que los equipos de seguridad temían pero no habían visto aún con tanta crudeza en datos reales: la inteligencia artificial está integrada en cada etapa del ciclo de vida del ataque. Desde el reconocimiento inicial hasta la exfiltración, los adversarios utilizan agentes autónomos que correlacionan identidades humanas y de máquina, escalan privilegios y ejecutan acciones con mínima intervención humana.
El resultado práctico es demoledor. Lo que antes requería días de trabajo manual —mapear la red, identificar cuentas con permisos excesivos, preparar el vector de salida de los datos— ahora se comprime en minutos gracias a la automatización ofensiva. El margen de reacción para los defensores se ha evaporado.
Tu identidad digital es el nuevo perímetro vulnerable
Uno de los datos más significativos del informe redefine dónde empieza realmente un ataque. El 65% de los accesos iniciales se producen mediante técnicas basadas en identidad: ingeniería social, abuso de credenciales, phishing dirigido. Solo el 22% explota vulnerabilidades técnicas en el software.
La narrativa clásica de "parchea tus sistemas y estarás protegido" ha quedado obsoleta. El vector de entrada dominante no es un fallo en el código, sino una contraseña reutilizada, un token OAuth mal revocado o una cuenta de servicio con permisos que nadie ha auditado en meses. Unit 42 analizó 680.000 usuarios, roles y servicios en la nube y encontró que en el 99% de los casos las cuentas tenían permisos excesivos, incluyendo muchas que llevaban más de 60 días sin utilizarse.
El 87% de los ataques opera en múltiples frentes simultáneos
La complejidad de los ataques actuales también ha dado un salto cualitativo. Según Unit 42, el 87% de los incidentes combina actividad simultánea en endpoints, nube, plataformas SaaS y sistemas de identidad. En los casos más sofisticados, los investigadores rastrearon operaciones maliciosas desplegadas en hasta diez frentes distintos al mismo tiempo.
Esta multicanal hace que las soluciones de seguridad aisladas sean estructuralmente insuficientes. Un firewall que no habla con el SIEM, un sistema de identidades que no comparte telemetría con la protección del endpoint: cada herramienta desconectada es una zona ciega que los atacantes aprenden a explotar antes de que los defensores la descubran.
La respuesta: velocidad de máquina contra velocidad de máquina
El informe de Unit 42 no se limita al diagnóstico. La conclusión operativa es clara: si los atacantes operan a velocidad de máquina, la defensa también tiene que hacerlo. Un analista humano que recibe una alerta, la investiga y escala el incidente no puede competir con un agente autónomo que exfiltra datos en 72 minutos.
La respuesta pasa por SOCs potenciados con IA que detecten y contengan ataques en minutos, una gestión centralizada de identidades que incluya tanto cuentas humanas como de máquina, y una revisión periódica de permisos que elimine el exceso de confianza implícita acumulado con los años. El 90% de las brechas analizadas tiene su origen en configuraciones incorrectas o permisos mal gestionados, no en exploits de día cero. El problema, en la mayoría de los casos, ya estaba dentro.
0 Comentarios