Las brechas de seguridad relacionadas con la identidad están en aumento, y los servicios de asistencia técnica de las organizaciones se están convirtiendo en un objetivo común para los ciberdelincuentes, según un nuevo informe de RSA.
El informe, basado en una encuesta global a 2.100 profesionales de ciberseguridad, identidad, gestión de acceso y TI, reveló que más de dos tercios de las organizaciones participantes en el proyecto (69%) habían sufrido una brecha de seguridad relacionada con la identidad en los últimos tres años, lo que representa un aumento del 27% con respecto al Informe RSA ID IQ del año pasado.
“Hay un aumento en las brechas de seguridad relacionadas con la identidad porque los ciberdelincuentes son cada vez más hábiles para eludir las medidas de seguridad habituales”, declaró Laura Marx, directora de Marketing y Crecimiento de RSA.
“Existe una gran cantidad de información accesible sobre las personas, lo que alimenta la inteligencia de los ciberdelincuentes y les permite asumir el rol de alguien con los conocimientos suficientes para eludir una medida de seguridad habitual”, declaró.
Varios factores convergentes están impulsando el aumento de las filtraciones de identidad, añadió David Bellini, director ejecutivo de CyberFOX, empresa de gestión de identidades, en Tampa, Florida. «La expansión del teletrabajo y los servicios en la nube ha incrementado drásticamente la superficie de ataque», declaró.
También señaló que muchas organizaciones aún dependen de sistemas de identidad heredados que carecen de protecciones modernas como la autenticación multifactor (MFA) o el análisis de comportamiento. Los atacantes utilizan cada vez más la ingeniería social y tácticas de evasión de la asistencia técnica para explotar vulnerabilidades humanas, en lugar de técnicas.
La identidad se convierte en el nuevo perímetro.
«El aumento interanual del 27% en las filtraciones de identidad no me sorprende, y creo que continuará durante un tiempo», observó Mark St. John, cofundador y director de operaciones de Neon Cyber, proveedor de herramientas de seguridad basadas en navegador, en Fort Worth, Texas.
«Apenas estamos empezando a ver los resultados de los últimos años de volcado de datos y pulverización de contraseñas, junto con la nueva generación de ingeniería social impulsada por IA», declaró. “Hemos dejado un tesoro de datos de identidad disponibles para que los atacantes diseñen un ataque de identidad convincente contra prácticamente cualquier persona”.
“Los datos de identidad, junto con nuestro deseo de adoptar rápidamente las aplicaciones SaaS, seguirán siendo fructíferos para atacantes de todos los tamaños y habilidades”, afirmó. “Las organizaciones ya tenían bastantes dificultades para impedir que los atacantes accedieran a las aplicaciones e infraestructura alojadas en sus propias instalaciones. La explosión y propagación de las aplicaciones SaaS, más allá de la visibilidad total de las organizaciones, es la próxima superficie de ataque de riesgo”.
“Dadas las complejidades del panorama moderno de la identidad, es muy fácil para los atacantes explotar las identidades y utilizarlas para traspasar los silos organizacionales y tecnológicos, aprovechando las rutas de acceso a privilegios asociadas a ellas”, añadió James Maude, director de tecnología de BeyondTrust, fabricante de soluciones de gestión de cuentas privilegiadas y gestión de vulnerabilidades, en Carlsbad, California.
Argumentó que la identidad se ha convertido en el nuevo perímetro. “Tanto las organizaciones como las personas están empezando a darse cuenta de esto y a comprender y proteger mejor su superficie de ataque de identidad”, declaró.
Aumento de los Costos de las Vulneraciones.
Mike Malone, CEO y fundador de Smallstep —una empresa de ciberseguridad con sede en San Francisco especializada en la gestión de certificados y la automatización de infraestructuras seguras— coincidió en que la identidad se ha convertido en el nuevo perímetro de la seguridad. «Sin embargo, la mayoría de las organizaciones aún solo protegen la mitad», declaró.
«Han realizado el arduo trabajo de implementar la identidad del usuario mediante SSO [inicio de sesión único] y MFA, pero no han aplicado el mismo rigor a los dispositivos», explicó. «Cada portátil, teléfono o servidor se convierte en un posible punto ciego si no se verifica criptográficamente. Los atacantes comprenden esa brecha y la explotan para operar lateralmente o suplantar sistemas de confianza».
«El trabajo híbrido, la expansión de la nube y la TI en la sombra han multiplicado el número de endpoints no gestionados, mientras que los marcos de identidad más antiguos, como los certificados SCEP, nunca se diseñaron para la escala actual», continuó. “El resultado es un entorno donde las organizaciones no siempre pueden determinar si una solicitud válida de un usuario proviene de una máquina confiable o del portátil de un atacante, lo que impulsa el aumento de las violaciones de identidad, muchas de las cuales pasan desapercibidas”.
El informe de RSA también reveló que los costos de las filtraciones de identidad han aumentado. Casi la mitad de las organizaciones (45%) afirmó que el costo de una filtración relacionada con la identidad superó el costo típico de una filtración según la definición de IBM, y el 24% indicó que los costos superaron los 10 millones de dólares, un aumento interanual de tres puntos porcentuales desde la encuesta del año anterior.
“Cuestan más que una filtración típica porque se extienden más y profundizan dentro de la organización”, explicó Marx de RSA. “Si se obtienen las credenciales de alguien y se logra penetrar en los repositorios de datos de un sistema, es extremadamente costoso remediar o rectificar la situación, ya que la identidad realmente lo afecta todo”.
“Un usuario comprometido puede tener acceso privilegiado a múltiples sistemas de seguridad, o puede tener acceso a múltiples bases de datos o información privada”, añadió Ambuj Kumar, fundador de Simbian, proveedor de agentes autónomos de IA para ciberseguridad, en Mountain View, California.
“Todos estos serían fácilmente accesibles y estarían disponibles para el atacante”, declaró. Si se ve comprometido, un usuario ‘correcto’ puede causar mucho más daño que una simple filtración de datos.
Brad Lassiter, director ejecutivo de LastTech, una empresa de servicios de TI de la ciudad de Nueva York, sostuvo que la identidad es fundamental en el entorno moderno de ciberseguridad y TI. «Muchas organizaciones invierten recursos en proteger sus computadoras y datos, olvidando que la identidad de un usuario es la clave para acceder a todo», declaró.
«Una filtración de datos tradicional significa que un atacante ha obtenido algunos datos», afirmó. «Una filtración de identidad, ya sea una vulneración del correo electrónico u otro acceso a la identidad, permite el acceso sin restricciones a todos los datos de ese usuario, a todos los datos a los que puede acceder, así como a la influencia que ejerce sobre los sistemas y otros usuarios».
Los servicios de asistencia se convierten en objetivos prioritarios.
El informe de RSA también señaló que, tras las filtraciones de alto perfil en MGM Resorts, Caesars Entertainment Group y Marks & Spencer, las organizaciones están cada vez más preocupadas por la seguridad de los servicios de asistencia. Casi dos tercios de los encuestados (65%) afirmaron estar seriamente preocupados por un ataque similar a sus centros de ayuda, y el 51% considera que los ataques que evaden el servicio de asistencia son el riesgo más importante.
“El centro de ayuda se ha convertido en una vulnerabilidad clave para las organizaciones, ya que un agente de amenazas puede engañar a un centro de ayuda para que les otorgue privilegios”, señaló Marx de RSA. “Puede tratarse de un agente de amenazas que se hace pasar por un empleado que necesita acceder a archivos y datos, o que se hace pasar por alguien que trabaja en un centro de ayuda para que un empleado le proporcione credenciales para acceder a la organización”.
Los centros de servicio son vulnerables a ataques de ingeniería social, añadió Andy Thompson, investigador sénior de ciberseguridad en CyberArk, empresa de seguridad informática de Newton, Massachusetts. «Como su nombre indica, su prioridad es brindar servicio, más que seguridad», declaró. «A menudo, se les evalúa por acuerdos de nivel de servicio que podrían incitarlos a cerrar tickets que de otro modo no cerrarían».
«Además», continuó, «muchos centros de servicio son remotos o están en el extranjero. Estos usuarios no tienen ni idea de con quién están hablando y les resulta difícil validar eficazmente la identidad de sus clientes».
A pesar de las amenazas que plantea una gestión de identidades deficiente, los investigadores de RSA descubrieron que más de la mitad de las organizaciones encuestadas (57%) no han convertido la autenticación sin contraseña en su método principal. Una abrumadora mayoría de los encuestados (90%) reportó dificultades para avanzar hacia la autenticación sin contraseña.
«A pesar de sus beneficios, la adopción de la autenticación sin contraseña se ve obstaculizada por la infraestructura heredada, la resistencia de los usuarios y la complejidad de la integración», afirmó Bellini de CyberFOX. Muchas organizaciones aún dependen de sistemas que no son compatibles con métodos de autenticación modernos.
El director ejecutivo de RSA, Greg Nelson, señaló que el Informe RSA ID IQ de 2026 subraya que la identidad simplemente falla en demasiadas organizaciones con demasiada frecuencia. «La probabilidad de una filtración, y el coste de la inacción, son demasiado altos para que los líderes toleren el statu quo», declaró. «En cambio, estos nuevos hallazgos deberían instar a las organizaciones a actuar con rapidez para mantenerse seguras».
