Informe de respuesta ante incidentes 2026

4.1. Factores comunes que contribuyen al éxito de los ataques

El éxito de los atacantes rara vez se debe a exploits de día cero. En los incidentes a los que respondimos en 2025, descubrimos que, en más del 90 % de los casos, las brechas evitables en la cobertura y la aplicación inconsistente de los controles contribuyeron directamente a la intrusión.

Estas brechas determinan la facilidad con la que un atacante obtiene el acceso inicial, la rapidez con la que se mueve lateralmente y si los defensores pueden detectarlo y responder a tiempo. A lo largo de las investigaciones de este año, aparecieron repetidamente tres condiciones sistémicas.

1. Lagunas de visibilidad: la falta de contexto retrasa la detección.

Muchas organizaciones no aprovechan la telemetría necesaria para observar el comportamiento de los atacantes en las primeras fases. Los indicadores críticos del acceso inicial y la actividad temprana de los atacantes suelen pasar desapercibidos porque el SOC no ha puesto en práctica las señales en las capas de endpoints, redes, nube y SaaS. El resultado es una falta de contexto: los defensores pueden ver eventos individuales, pero carecen de la correlación necesaria para reconocer una intrusión activa.

Esta fragmentación obliga a los responsables de la respuesta a reconstruir manualmente los ataques a partir de herramientas dispares, lo que genera retrasos que los atacantes aprovechan. En el 87 % de los incidentes, los investigadores de Unit 42 revisaron las pruebas de dos o más fuentes distintas para establecer lo que había sucedido, y en los casos más complejos se llegaron a utilizar hasta 10. La falta de visibilidad unificada ralentizó constantemente la detección, lo que permitió a los adversarios iniciar movimientos laterales antes de que los defensores pudieran ver el panorama completo.

2. Complejidad del entorno: la inconsistencia crea el camino de menor resistencia

Las bases de referencia de seguridad rara vez se aplican de forma universal. Con el tiempo, la deriva del entorno, impulsada por los sistemas heredados, la adopción de tecnología o las actividades de fusión y adquisición, dificulta la aplicación de una norma coherente en toda la empresa.

En múltiples investigaciones, controles críticos como la protección de los endpoints se implementaron por completo en una unidad de negocio, pero faltaban o estaban degradados en otra. Esta inconsistencia crea un camino de menor resistencia. Más del 90 % de las violaciones de datos se produjeron por errores de configuración o lagunas en la cobertura de seguridad, más que por exploits novedosos.

3. Identidad: la confianza excesiva conduce al movimiento lateral

A lo largo de nuestras investigaciones, las debilidades en materia de identidad convirtieron repetidamente un punto de apoyo inicial en un acceso más amplio. El problema fundamental era a menudo la confianza excesiva: privilegios y vías de acceso demasiado permisivos o que permanecían vigentes mucho tiempo después de que fueran necesarios.

Los atacantes aumentaron sus privilegios haciendo un uso indebido de roles heredados que no se habían retirado y cuentas de servicio con permisos excesivos. En lugar de entrar por la fuerza, avanzaron utilizando accesos válidos en los que la organización había depositado demasiada confianza.

Estos fallos reflejan una deriva de la identidad. A medida que se acumulan los permisos y persisten las excepciones, los intrusos encuentran menos barreras. Casi el 90 % de los incidentes se remontan a un elemento relacionado con la identidad como fuente crítica de la investigación o vector de ataque principal.

4.2. Recomendaciones para los defensores

Las recomendaciones que siguen se centran en medidas prácticas para abordar las condiciones sistémicas descritas anteriormente.

1. Capacitar a las operaciones de seguridad para detectar y responder más rápidamente

Dado que los ataques más rápidos ahora extraen datos en aproximadamente una hora, las operaciones de seguridad deben moverse a la velocidad de las máquinas. Esto se consigue dotando al SOC de una visibilidad completa de toda la empresa, inteligencia artificial para identificar la señal en el ruido y automatización para impulsar una respuesta y una corrección inmediatas. La adopción de estas seis capacidades situará a su SOC en la mejor posición para tener éxito:

• Ingeste todos los datos de seguridad relevantes. Los atacantes no operan en silos, pero los defensores a menudo los supervisan. En 2025, las brechas de visibilidad, especialmente en las capas de SaaS, identidad en la nube y automatización, fueron uno de los principales factores que contribuyeron al éxito de los atacantes. A menudo existía telemetría crítica, pero permanecía atrapada en sistemas dispares, lo que impedía a los defensores correlacionar los cambios de identidad con los resultados de la automatización o los artefactos almacenados en el navegador, como los tokens de sesión.

  Para detectar las intrusiones modernas, las organizaciones deben recopilar y normalizar las señales de los proveedores de identidad, las plataformas en la nube y las aplicaciones SaaS en una vista unificada. Esta consolidación cierra los puntos débiles que explotan los atacantes, lo que permite a los defensores identificar tempranamente las rutas de escalada. Ya sea que se utilice la detección basada en reglas o la inteligencia artificial, la calidad de la información depende totalmente de la integridad de los datos que la alimentan.

• Prevenga, detecte y priorice las amenazas con capacidades impulsadas por IA. Los altos volúmenes de alertas y las herramientas fragmentadas permiten a los atacantes ocultarse al distribuir su actividad entre distintos sistemas. Sin correlación, estas acciones parecen no estar relacionadas, lo que retrasa la escalada. Las capacidades impulsadas por IA son esenciales para unir estas señales dispares en una vista operativa unificada.

  El análisis del comportamiento ayuda a detectar anomalías sutiles, como el uso inusual de tokens o el movimiento lateral a través de la automatización de la nube, que la detección basada en reglas a menudo no logra detectar.

  La IA refuerza la defensa al correlacionar eventos entre las capas de identidad, endpoints, nube y red, dando prioridad a los incidentes de alta fidelidad sobre el ruido de fondo. Esto permite a los equipos de seguridad distinguir instantáneamente los ataques coordinados de la actividad rutinaria, lo que garantiza que los analistas centren sus esfuerzos en las amenazas que suponen un mayor riesgo en lugar de perseguir falsos positivos.

• Habilite la respuesta a amenazas en tiempo real con la automatización. Los retrasos en la contención suelen deberse a una falta de claridad en la responsabilidad y a pasos de validación manuales que no pueden seguir el ritmo de la automatización de los atacantes. Una respuesta eficaz requiere asignar una autoridad explícita para las acciones de contención automatizadas, como revocar tokens o aislar cargas de trabajo, de modo que la ejecución pueda continuar sin vacilaciones.

  Al sustituir el criterio ad hoc por manuales estandarizados y validados, las organizaciones se aseguran de que la respuesta siga una secuencia auditable. Sin embargo, para hacer frente al ritmo de las amenazas modernas, es necesario implementar la IA agencial como acelerador de defensa definitivo. Estos sistemas autónomos investigan dinámicamente las alertas complejas, correlacionando datos entre dominios a la velocidad de una máquina para obtener una visión completa.

  Una vez validados, los agentes están autorizados a ejecutar acciones de contención dinámicas y quirúrgicas, desde aislar los sistemas afectados mediante microsegmentación hasta revocar automáticamente las credenciales comprometidas. Este enfoque disciplinado e inteligente reduce drásticamente la deriva operativa, limita el tiempo de permanencia de los atacantes y evita que los compromisos aislados se conviertan en incidentes más amplios.

• Transición de la seguridad reactiva a la proactiva. Para pasar de la defensa reactiva, las organizaciones deben ir más allá de las pruebas de penetración tradicionales y pasar a las pruebas adversarias continuas. Las auditorías puntuales rara vez captan la interacción entre la deriva de identidades y los errores de configuración de la nube que los atacantes aprovechan en las intrusiones del mundo real. Los defensores deben validar el rendimiento de los controles en condiciones realistas, asegurándose de que los canales de telemetría y los flujos de trabajo de respuesta funcionan según lo previsto.

  La proactividad se extiende a la recuperación. Las organizaciones resilientes verifican que los sistemas estén libres de accesos residuales, como credenciales comprometidas o configuraciones alteradas, antes de restaurar los servicios. Asegurarse de que la corrección aborde las causas fundamentales, en lugar de limitarse a restaurar instantáneas obsoletas, ayuda a prevenir una rápida reinfección y favorece la resiliencia a largo plazo.

• Mejore el SOC para obtener resultados de alto rendimiento. Durante los incidentes activos, una contención inconsistente o una propiedad poco clara crean oportunidades para que los atacantes restablezcan el acceso. Los SOC de alto rendimiento eliminan esta variabilidad al garantizar que las medidas de respuesta se apliquen de manera uniforme, independientemente del analista o la hora del día.

  La coherencia bajo presión es fundamental, ya que evita que los compromisos aislados se conviertan en crisis más amplias.

  Para lograrlo, es necesario salvar las barreras operativas entre los departamentos de seguridad, TI y DevOps. Los manuales de procedimientos deben reflejar cómo funcionan los sistemas en la actualidad, en lugar de cómo se diseñaron originalmente, de modo que las acciones automatizadas se ajusten a la lógica empresarial real. Otorgar a los analistas una mayor responsabilidad, como la respuesta integral a incidentes en lugar de la simple clasificación de alertas, mejora la retención, aumenta la versatilidad e impulsa resultados empresariales medibles.

• Refuerce su equipo con un contratista de IR. El contratista adecuado amplía sus capacidades más allá de la respuesta ante emergencias. Para mantenerse a la vanguardia, las organizaciones deben probar y validar los controles frente a los comportamientos específicos que utilizan los actores de amenazas en el mundo real. Las evaluaciones periódicas de la seguridad ofensiva, la seguridad de la IA, los procesos del SOC y la seguridad en la nube ayudan a confirmar que los canales de telemetría y los flujos de trabajo de respuesta funcionan según lo previsto en condiciones de ataque realistas.

  Su socio de retención de IR debe proporcionar un acceso rápido a especialistas para realizar comprobaciones proactivas de preparación, ingeniería de detección y validación, lo que garantiza que las mejoras defensivas se mantengan a lo largo del tiempo. Al combinar las pruebas continuas con la experiencia retenida, las organizaciones mejoran su resiliencia.

Al alinear su SOC con estos principios básicos, transforma su defensa en un motor de respuesta de alta velocidad capaz de superar a los adversarios y detener las amenazas antes de que se intensifiquen.

2. Adopte el modelo Confianza Cero para limitar el área de impacto

El modelo Confianza Cero es una necesidad estratégica en un entorno en el que la identidad se ha convertido en la principal superficie de ataque. El objetivo es eliminar las relaciones de confianza implícitas entre usuarios, dispositivos y aplicaciones, y validar continuamente cada etapa de una interacción digital.

En realidad, lograr el modelo Confianza Cero es complejo. Sin embargo, incluso los pequeños avances reducirán la superficie de ataque, limitarán el movimiento lateral y minimizarán el impacto de cualquier acceso inicial a su entorno. Al eliminar la suposición de seguridad dentro del perímetro, los defensores obligan a los atacantes a esforzarse más por cada centímetro de acceso, lo que ralentiza su velocidad y crea más oportunidades para la detección.

• Verifique continuamente los usuarios, los dispositivos y las aplicaciones. Los atacantes suelen aprovechar la confianza estática que persiste después de un inicio de sesión inicial. Una vez dentro, utilizan tokens de sesión robados o credenciales válidas para hacerse pasar por usuarios legítimos, a menudo eludiendo por completo los controles perimetrales. Los puntos de control estáticos en la puerta principal ya no son suficientes.

  La verificación continua trata la confianza como algo dinámico, revisando las decisiones a medida que cambian las condiciones durante una sesión. La validación del contexto de identidad, el estado del dispositivo y el comportamiento de la aplicación en tiempo real permite a las organizaciones detectar cuándo se secuestra una sesión legítima o cuándo el comportamiento del usuario se desvía de la norma. Como resultado, las cuentas o dispositivos comprometidos solo siguen siendo útiles para los atacantes durante un periodo limitado, lo que reduce las oportunidades de ampliar el acceso o manipular los datos.

• Aplique el principio del mínimo privilegio para limitar los movimientos de los atacantes. Los permisos excesivos actúan como un multiplicador de fuerza para los atacantes. En muchos incidentes ocurridos en 2025, los intrusos eludieron los controles internos aprovechando la deriva de identidades, utilizando privilegios acumulados y roles no retirados que las organizaciones no eliminaron. En lugar de recurrir a exploits complejos, se movieron lateralmente a través de rutas de acceso válidas pero sobreprovisionadas.

  La aplicación del privilegio mínimo reduce esta superficie de ataque al limitar a los usuarios, servicios y aplicaciones al acceso necesario para su función. Esto debe extenderse más allá de los usuarios humanos para incluir las identidades de las máquinas y las cuentas de servicio, que a menudo conservan permisos amplios y mal supervisados. La eliminación de derechos innecesarios elimina las rutas de acceso directas en las que se basan los atacantes, lo que les obliga a utilizar técnicas más visibles y difíciles que son más fáciles de detectar para los defensores.

• Aplique una inspección coherente en el tráfico confiable y no confiable. Aplique una inspección coherente en el tráfico confiable y no confiable. Los atacantes saben que, aunque el perímetro está protegido, el tráfico interno "este-oeste" entre las cargas de trabajo a menudo pasa sin inspección. Aprovechan esta confianza utilizando conexiones internas cifradas para moverse lateralmente y almacenar datos sin activar alarmas.

  Para lograr un análisis de amenazas coherente y generalizado, las organizaciones deben consolidar toda la seguridad de la red, la nube y el servicio de acceso seguro (SASE) en una única plataforma unificada. Esta estructura unificada ofrece una inspección coherente de la capa 7 en todas partes, aplicando automáticamente la política a través de un único plano de gestión.

  Esta consolidación permite el cambio estratégico hacia servicios de seguridad avanzados prestados en la nube. Este cambio permite el análisis en línea y en tiempo real de todo el tráfico, incluyendo el descifrado y la inspección cruciales del tráfico que se mueve entre las cargas de trabajo internas. Esta capacidad elimina los puntos donde se esconden los atacantes, deteniendo de forma proactiva el phishing desconocido, el malware de día cero y la actividad C2 evasiva.

• Controle el acceso y el movimiento de los datos para reducir el impacto. Los resultados más perjudiciales en muchos incidentes no se producen en el momento inicial del ataque, sino durante el acceso posterior a los datos, su preparación y su exfiltración. Los atacantes suelen buscar repositorios con controles débiles o flujos mal supervisados para recopilar silenciosamente información confidencial antes de ser detectados.

  Una gobernanza más estricta sobre cómo se accede, se comparte y se transfiere la información reduce estas oportunidades al limitar dónde puede moverse la información confidencial y en qué condiciones. Cuando las vías de datos se controlan estrictamente y se supervisan de forma constante, los atacantes tienen menos opciones para preparar o extraer activos valiosos, lo que reduce la escala y la gravedad de las pérdidas potenciales, incluso cuando se produce una vulneración.

Al eliminar sistemáticamente la confianza implícita, se priva a los atacantes de la movilidad en la que se basan, lo que garantiza que un único punto de vulneración dé lugar a un incidente contenido en lugar de a una crisis que afecte a toda la empresa.

3. Detenga los ataques de identidad con una gestión de identidades y accesos más sólida

La identidad es ahora el perímetro de seguridad, pero con demasiada frecuencia sigue estando mal protegida. Las debilidades de identidad fueron un factor determinante en más de la mitad de las intrusiones investigadas en 2025, principalmente porque los almacenes de identidades se expandieron más rápido que los controles destinados a gobernarlos.

Los atacantes se movían constantemente a través de las brechas creadas por esta deriva de la gobernanza, aprovechando los permisos heredados y las cuentas de servicio no supervisadas para eludir las defensas del perímetro. Para detener esto, las organizaciones deben gestionar la identidad no como una lista estática de credenciales, sino como un activo operativo dinámico a lo largo de todo el ciclo de vida.

• Centralice la gestión de identidades para personas y máquinas. No se puede controlar lo que no se ve. Cuando los datos de identidad están fragmentados entre directorios heredados, proveedores de nube y entornos SaaS, los atacantes aprovechan los puntos débiles resultantes.

  Centralizar las identidades de usuarios y máquinas en directorios autorizados simplifica la autenticación y elimina las rutas de acceso ocultas que son difíciles de supervisar de forma coherente. Esta consolidación también debe incluir integraciones de terceros y conectores API para que todas las entidades que solicitan acceso, ya sean personas, cuentas de servicio o agentes de IA, sean visibles para los equipos de seguridad. Con un plano de control unificado, la IA defensiva puede correlacionar las anomalías de inicio de sesión con actividades sospechosas, convirtiendo la identidad en una señal operativa activa en lugar de una lista estática de credenciales.

• Combata la deriva de la gobernanza con una gestión continua del ciclo de vida. La deriva de la gobernanza, en la que los cambios operativos avanzan más rápido que los controles diseñados para guiarlos, siguió siendo un factor importante que favoreció a los atacantes.

  Las transiciones de roles, los ciclos de implementación rápidos y los atajos cotidianos ampliaron la brecha entre la política escrita y el acceso real. Los permisos que tenían las herramientas de flujo de trabajo y los conectores de servicios a menudo superaban lo que pretendía la política. Esto creó vías de escalada que los atacantes explotaron a través de permisos heredados y cuentas de servicio no supervisadas. Tratar la identidad como un ciclo de vida, limitando la automatización a las necesidades actuales y retirando el acceso excesivo con el tiempo, ayuda a cerrar estas brechas y a restringir el movimiento de los atacantes después del acceso inicial.

• Detecte y responda a las amenazas basadas en la identidad. La IA defensiva funciona con mayor eficacia en entornos en los que las identidades se gestionan como activos operativos en lugar de credenciales estáticas. En nuestras investigaciones, las organizaciones con bases sólidas en materia de identidad mostraron una relación más temprana entre las anomalías de inicio de sesión, la actividad de automatización y los eventos de identidad periféricos, lo que contribuyó a una contención más rápida.

  Cuando la gobernanza era sólida, los procesos de detección producían indicadores más claros y fiables que ayudaban a los equipos a identificar antes los comportamientos de escalada. Por el contrario, una gobernanza débil creaba ruido que ocultaba estas señales. Las revisiones periódicas mantienen los permisos alineados con los requisitos reales, lo que mejora la precisión de las señales de detección y garantiza que los controles asistidos por IA funcionen de forma eficaz.

• Asegure la integridad de la IA y la automatización. A medida que las organizaciones incorporan agentes de IA y flujos de trabajo automatizados en sus procesos centrales, estos sistemas se convierten en objetivos atractivos para la manipulación. En nuestras investigaciones, observamos cuentas de asistentes implementadas con un amplio acceso predeterminado y herramientas de automatización que se ejecutaban sin validación de integridad.

  Para evitar que estas herramientas se conviertan en vectores de ataque, los equipos de seguridad deben aplicar el mismo rigor de gobernanza a los sistemas de IA que a los usuarios humanos. Esto incluye validar explícitamente los pasos de automatización antes de que entren en producción, aplicar controles de integridad a los flujos de trabajo habilitados para IA y garantizar que las cuentas de asistente estén protegidas contra el uso indebido.

Al tratar la identidad como un sistema operativo dinámico en lugar de un directorio estático, se eliminan las vías ocultas en las que se basan los atacantes y se permite a los equipos de seguridad detectar el uso indebido en el momento en que se produce.

4. Proteja el ciclo de vida de las aplicaciones, desde Code to Cloud

Proteger la empresa moderna requiere algo más que asegurar la infraestructura. Requiere asegurar la fábrica que la construye.

En 2025, los atacantes se centraron cada vez más en la cadena de suministro de software y las API en la nube para eludir los perímetros tradicionales, inyectando vulnerabilidades en el código o aprovechando las integraciones débiles antes de que llegaran a la fase de producción. Para contrarrestar esto, las organizaciones deben ampliar las medidas de seguridad desde las primeras etapas del desarrollo hasta el tiempo de ejecución, tratando los modelos de IA, las canalizaciones de compilación y el código de terceros con el mismo rigor que los sistemas internos.

• Evite que los problemas de seguridad lleguen a la fase de producción. La seguridad debe funcionar al mismo ritmo que el desarrollo. La integración de medidas de protección en DevOps y en los procesos de integración e implementación continuos (CI/CD) ayuda a identificar y corregir vulnerabilidades en el código personalizado, los componentes de código abierto y las configuraciones de IA antes de su implementación.

  El mismo enfoque se aplica a los sistemas de IA, donde la evaluación temprana de la seguridad y la configuración del modelo reduce el riesgo posterior. El refuerzo de las herramientas de desarrollo y la gestión de las dependencias de código abierto ayudan a eliminar los puntos débiles que los atacantes aprovechan para ganarse la confianza dentro de los flujos de trabajo empresariales.

• Proteja el software y la cadena de suministro de IA. Aunque no es el vector de ataque más común, los compromisos de la cadena de suministro tienen el mayor impacto, especialmente para organizaciones que, por lo demás, son maduras. Las debilidades en los sistemas de compilación, los servicios de integración y los repositorios relacionados con la IA permiten a los atacantes llegar a entornos descendentes sin interactuar nunca con un firewall.

  Para reducir esta exposición es necesario realizar estrictos controles de procedencia. Los entornos de compilación y los procesos de implementación deben contar con controles de identidad y protecciones de integridad claros. Las bibliotecas de software externas, los conectores API y los componentes de IA deben evaluarse en cuanto a patrones de acceso y prácticas de actualización antes de su adopción. Una gobernanza eficaz de la cadena de suministro proporciona a los procesos de detección una base de referencia confiable, lo que facilita la identificación de cuándo una dependencia de confianza comienza a comportarse de forma inesperada.

• Identifique y bloquee los ataques en tiempo de ejecución. Una vez que las aplicaciones están en funcionamiento, la atención se centra en la contención. Los atacantes suelen intentar persistir y ampliar el acceso haciendo un uso indebido de identidades legítimas en la nube, API o permisos de carga de trabajo.

  La detección en tiempo real, combinada con controles de tiempo de ejecución coherentes, como la supervisión del comportamiento, los límites claros de la red y las restricciones a las interacciones inesperadas con las API, ayuda a frustrar estas tácticas. Las mismas protecciones deben extenderse a los entornos de alojamiento de IA, donde la supervisión de la deriva de los modelos y el acceso no autorizado a los datos limita los movimientos de los atacantes incluso después del compromiso inicial.

• Automatice la detección y la respuesta en la nube. En la nube, la velocidad es la única métrica que importa. Los retrasos en el aislamiento de las cargas de trabajo afectadas o en la revocación de las identidades utilizadas indebidamente dan a los atacantes el margen que necesitan para escalar.

  La automatización permite a los equipos de SecOps detectar y responder a las amenazas basadas en la nube de forma continua, utilizando controles nativos de la nube para contener los incidentes rápidamente. Acciones como aislar los contenedores comprometidos o revocar los tokens de sesión sospechosos ayudan a evitar que los problemas localizados se conviertan en interrupciones más amplias o en pérdidas de datos.

• Cree una cultura de IA y desarrollo seguros. La IA es ahora un activo operativo, no solo una herramienta. A medida que los asistentes y las indicaciones automatizadas se integran en los flujos de trabajo diarios, introducen riesgos de comportamiento que los controles técnicos por sí solos no pueden resolver.

  Una cultura de seguridad sólida trata los sistemas de IA con la misma disciplina que las infraestructuras críticas. Esto incluye revisar cómo se utilizan los asistentes, evitar la exposición de datos confidenciales en las indicaciones y validar el código generado por la IA. Cuando los equipos comprenden que el juicio humano sigue siendo fundamental para el uso eficaz de la IA, los controles de gobernanza se refuerzan en lugar de eludirse, lo que garantiza que el impulso de la automatización no supere la capacidad de supervisarla.

Al integrar la seguridad en la estructura de sus entornos de desarrollo y tiempo de ejecución, contribuye a garantizar que la velocidad de la IA y la innovación en la nube impulsen el crecimiento empresarial en lugar de suponer un riesgo sistémico.

5. Proteja la superficie de ataque y la interfaz humana

Para proteger la organización, ahora es necesario mirar más allá de los ordenadores portátiles corporativos. La superficie de ataque moderna se ha ampliado para incluir dispositivos de contratistas no gestionados, activos en la nube de acceso público y el propio navegador web, que se ha convertido en el espacio de trabajo principal de la empresa.

Como defensores, nos enfrentamos a un doble reto. Debemos gestionar rigurosamente las exposiciones externas que los atacantes escanean constantemente, al tiempo que protegemos la interfaz humana donde los usuarios interactúan con los datos, la IA y la web abierta. Para proteger este entorno en expansión, la seguridad debe ampliar su alcance desde el borde externo hasta la sesión del navegador.

• Reduzca la superficie de ataque con una gestión activa de la exposición. Unit 42 descubrió que las vulnerabilidades del software representaron el 22 % del acceso inicial a los incidentes de este año, lo que subraya la urgente necesidad de ir más allá del simple descubrimiento y pasar a la priorización activa de los riesgos. Una gestión eficaz de la exposición cubre esta brecha mediante la creación de un inventario completo y continuo de la huella digital, incluida la infraestructura oculta y las herramientas de IA no autorizadas que los escáneres tradicionales pasan por alto.

  Es fundamental que esta estrategia filtre el ruido, utilizando la inteligencia de amenazas para priorizar solo aquellos activos que están siendo objeto de ataques activos (como los KEV de la CISA) y que carecen de controles compensatorios. Al centrar los recursos limitados en los riesgos explotables y críticos para el negocio, los equipos pueden cerrar la ventana de oportunidad antes de que un atacante encuentre una puerta abierta.

• Proteja la interfaz humana. El navegador es el nuevo endpoint y el nuevo escritorio corporativo. Es aquí donde los empleados acceden a los datos, donde los contratistas realizan su trabajo y, lamentablemente, donde los ataques de ingeniería social como el phishing son más efectivos.

  Para proteger esta interfaz se necesita un navegador seguro de nivel empresarial que establezca un espacio de trabajo corporativo totalmente aislado y protegido tanto para dispositivos gestionados como no gestionados. Esta potente capa aplica controles de datos en tiempo real, independientemente del hardware subyacente. Puede desactivar la función de copiar y pegar en páginas confidenciales, impedir la descarga de archivos de fuentes desconocidas e identificar sitios de phishing avanzados que eluden los filtros de correo electrónico estándar. Al reforzar el navegador, las organizaciones obtienen una visibilidad granular del uso de la IA en la sombra y evitan directamente que los datos corporativos confidenciales se filtren a herramientas GenAI no autorizadas.

• Acceso seguro de terceros y no gestionado. El modelo rígido de enviar ordenadores portátiles corporativos a todos los contratistas o objetivos de adquisición ya no es sostenible ni seguro. Las organizaciones necesitan una forma de aplicar el acceso de confianza cero en dispositivos no gestionados sin el coste y la complejidad de las soluciones de infraestructura de escritorio virtual (VDI) heredadas.

  Al proteger el espacio de trabajo a través del navegador, las empresas pueden conceder a los contratistas y a los usuarios de BYOD un acceso seguro a las aplicaciones corporativas, al tiempo que mantienen los datos empresariales estrictamente aislados de los entornos personales. Este enfoque acelera la integración de fusiones y adquisiciones, así como la incorporación de contratistas, al tiempo que garantiza que un dispositivo personal comprometido no pueda utilizarse como puerta de entrada a la red corporativa.

• Recopile telemetría unificada y automatice la respuesta. Para los endpoints que gestiona, los datos son el combustible para la defensa. La detección de ataques sofisticados depende de la recopilación de telemetría de alta fidelidad en todos los procesos, conexiones de red y comportamientos de identidad, y de la unificación de esos datos en una plataforma central.

  Cuando estos datos son analizados por motores impulsados por IA, las anomalías que serían invisibles de forma aislada se convierten en claros indicadores de vulneración. Sin embargo, la detección es solo la mitad de la batalla.

  Para minimizar los daños, los mecanismos de respuesta deben automatizarse. Los equipos de seguridad deben estar capacitados para aislar los endpoints comprometidos, iniciar análisis forenses y remediar las amenazas a la velocidad de la máquina, asegurando que una infección localizada no se convierta en una brecha sistémica.

Al proteger el navegador como espacio de trabajo principal y gestionar rigurosamente la superficie de ataque externa, protege a los usuarios y activos que los controles tradicionales de los endpoints ya no pueden alcanzar.