Primero, la escala del daño ya es mensurable. Dos tercios de los incidentes de ransomware confirmados en la encuesta tuvieron origen en una identidad comprometida
El punto de quiebre
Durante años, la narrativa dominante en seguridad ofensiva se centró en vulnerabilidades de software: CVEs, zero-days, exploits de kernel. Ese modelo sigue vigente, pero dejó de ser el camino preferido para los atacantes más efectivos. Según el informe Estado de la Seguridad de la Identidad 2026 de Sophos, basado en 5.000 profesionales de TI y ciberseguridad en 17 países, el vector primario ahora es la identidad comprometida. Los atacantes ya no rompen la puerta: usan una llave válida.
El cambio es estructural. Las organizaciones han multiplicado sus superficies de identidad —no solo con usuarios humanos, sino con claves API embebidas en código, cuentas de servicio huérfanas, tokens de larga duración en pipelines CI/CD y, más recientemente, agentes de IA que generan subagentes con credenciales propias sin supervisión humana continua. Los frameworks de identidad existentes no fueron diseñados para este escenario, y los datos lo confirman con una precisión incómoda.
Donde se acelero el cambio
Tres fuerzas convergen para hacer este problema urgente ahora mismo.
Primero, la escala del daño ya es mensurable. Dos tercios de los incidentes de ransomware confirmados en la encuesta tuvieron origen en una identidad comprometida. El coste medio de recuperación fue de 1,64 millones de dólares, con una mediana de 750.000 dólares y el 73 % de los afectados enfrentando costes de al menos 250.000 dólares. Estas cifras no describen ataques a Fortune 500: el estudio incluye empresas de entre 100 y 5.000 empleados.
Segundo, la detección es sistemáticamente tardía o inexistente. Solo el 24 % de las empresas supervisa de forma continua los intentos de inicio de sesión inusuales; el resto realiza esas verificaciones trimestral o con menor frecuencia, una cadencia irrelevante frente a ataques automatizados que se ejecutan en minutos. El 14 % de las empresas afectadas no logra detectar ni detener el ataque antes de que se produzca daño real.
Tercero, la gestión de identidades no humanas (NHI) es el punto ciego que crece más rápido. En el 41 % de los incidentes, la causa raíz fue una NHI mal gestionada: claves API en repositorios, credenciales estáticas en scripts de despliegue, cuentas de servicio sin ciclo de vida definido. Las organizaciones con mala gestión de NHI tienen un riesgo 22 % mayor de sufrir robo financiero y pagan en promedio 150.000 dólares más en recuperación. Solo una de cada tres empresas rota o revisa periódicamente sus NHI; apenas el 11 % lo hace de forma continua.
La IA agéntica amplifica esta vulnerabilidad de manera directa. Un agente puede crear subagentes autónomamente, cada uno generando credenciales con permisos amplios y persistentes. Si tu organización ya está adoptando frameworks de agentes, el inventario de NHI crece más rápido que la capacidad de los equipos de seguridad para rastrearlo.
Donde golpea esto a Líderes de Ingeniería de Software
Este problema no vive solo en el equipo de seguridad. Para los líderes de ingeniería, los vectores de riesgo más directos son los que el equipo crea por defecto en el ciclo de desarrollo.
Las claves API hardcodeadas —práctica común durante sprints de alta velocidad— son la materialización exacta de lo que el informe identifica como causa raíz en el 41 % de los incidentes NHI. Los pipelines CI/CD con tokens de larga duración, los secretos en variables de entorno sin rotación automatizada y los service accounts con permisos sobre-aprovisionados son deuda técnica de seguridad con impacto cuantificable.
El error humano representa el 43 % de los incidentes, lo que señala un problema de diseño de proceso: si el comportamiento por defecto de un ingeniero expone credenciales, el control preventivo correcto está en el tooling y en el golden path, no en el entrenamiento. Las organizaciones que hacen difícil hacer lo correcto pagan el precio en la columna de costes de recuperación.
La velocidad con que los productos integran capacidades de IA agéntica crea una nueva categoría de deuda de identidad que se acumula en tiempo real. Cada framework de agentes desplegado sin gobernanza de credenciales es una cuenta de servicio sin auditoría esperando ser explotada.
Que aun podria cambiar la lectura
El informe tiene limitaciones que afectan la precisión de sus implicaciones. Es una encuesta de autopercepción, no un análisis forense de incidentes confirmados, lo que introduce sesgo de reporte. Las cifras de coste de recuperación reflejan la mediana de empresas encuestadas, no datos verificados por terceros. Tampoco está desagregado por sector de software ni por perfil de arquitectura, por lo que extrapolar el riesgo específico de un equipo SaaS frente a una organización de infraestructura crítica requiere cautela.
Lo que permanece sin confirmar: si la adopción de ITDR a nivel de equipo de ingeniería —no solo de operaciones de seguridad— reduce materialmente la tasa de incidentes, o si el 22 % de mayor riesgo para NHI es uniforme entre organizaciones que ya usan plataformas de gestión de secretos. Ambas preguntas tienen implicaciones directas en la priorización de inversión.
La pregunta que esto deja a tu equipo
¿Cuántas identidades no humanas activas tiene hoy tu sistema —claves API, tokens de servicio, credenciales de pipeline, agentes con permisos— y cuántas de ellas tienen un ciclo de vida definido con rotación automatizada y mínimo privilegio?
Si la respuesta requiere más de 10 minutos para construirse, la respuesta operativa ya está implícita en los datos del informe.
Fuentes
- B2b-cyber-security — Estudio sobre robo de identidad: Más del 70 por ciento de las empresas afectadas (Link)
