Los ciberataques alcanzaron en 2025 niveles de velocidad y sofisticación sin precedentes, con intrusiones capaces de comprometer sistemas y robar datos sensibles en apenas 72 minutos, según el informe “Global Incident Response Report 2026”, elaborado por Unit 42, el equipo de investigación de la empresa de ciberseguridad Palo Alto Networks.
El reporte, que analizó más de 750 incidentes registrados entre 2024 y 2025, confirma que el crimen digital ha evolucionado hacia operaciones altamente optimizadas, donde la rapidez en la exfiltración de datos y el abuso de credenciales legítimas se han convertido en los principales factores de éxito de los atacantes. En algunos casos, el robo de información ocurrió en poco más de una hora, reduciendo drásticamente el margen de respuesta de las organizaciones.
Las filtraciones de datos y los ataques de ransomware dominaron el panorama de amenazas, aunque con una evolución significativa en sus métodos. El informe destaca que el 25% de los ataques más veloces logró completar el robo de información en menos de dos horas, mientras que el 87% de las intrusiones se extendió simultáneamente a múltiples superficies, incluyendo navegadores web, aplicaciones en la nube e identidades digitales, lo que evidencia un enfoque integral por parte de los ciberdelincuentes.
Uno de los hallazgos más preocupantes es el papel central de las identidades digitales como punto de acceso. Casi el 90% de los incidentes analizados involucró fallas en la gestión de identidades, mientras que el 99% de las cuentas en la nube evaluadas tenía más permisos de los necesarios, facilitando que los atacantes escalaran privilegios, se desplazaran dentro de los sistemas y permanecieran ocultos utilizando accesos legítimos.
Las técnicas basadas en identidad representaron el 65% de los accesos iniciales, mediante métodos como phishing avanzado, uso de credenciales filtradas y ataques de fuerza bruta. Estas tácticas permiten incluso evadir sistemas de autenticación multifactor y explotar tokens de sesión o autorizaciones abiertas, ampliando el alcance de las intrusiones.
El informe también revela una transformación en los modelos de extorsión digital. Aunque el cifrado de datos sigue siendo común, su uso descendió al 78% de los casos, mientras que cada vez más grupos criminales optan por robar información y presionar directamente a las víctimas sin interrumpir sus operaciones. Esta estrategia aumenta la efectividad de la extorsión y reduce el riesgo para los atacantes.
En términos financieros, la mediana de las demandas iniciales de rescate alcanzó los 1,5 millones de dólares, mientras que el pago promedio efectivo se situó en 500.000 dólares, lo que refleja la magnitud económica del delito digital y su creciente rentabilidad.
El informe también advierte sobre la participación de actores vinculados a Estados, que emplean identidades falsas, infiltración en procesos de contratación y acceso a infraestructuras críticas para permanecer ocultos durante períodos prolongados, lo que dificulta su detección.
En América Latina, el fenómeno adquiere una dimensión particular debido a la rápida adopción de servicios en la nube, entornos híbridos y cadenas de suministro complejas. Según Patrick Rinski, líder de Unit 42 para la región, estas condiciones exigen reforzar el control de identidades, automatizar la respuesta a incidentes y cerrar brechas de exposición para evitar que una intrusión inicial escale hacia una crisis operativa.
Palo Alto Networks concluyó que el delito digital ya opera a escala industrial y que las organizaciones deben adaptarse a esta nueva realidad mediante controles de identidad más estrictos, autenticación multifactor resistente al phishing, automatización de la respuesta a incidentes y una gestión rigurosa de accesos y permisos en entornos digitales.
