* Read more * downloads [![Logo](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/incident-response-report/images/logo.png)](https://www.paloaltonetworks.com/unit42?ts=markdown "Palo Alto") ![Incident Response Report 2026 hero banner](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/ir-report-new/images/hero-banner.webp) # Informe de respuesta ante incidentes 2026 Informe de respuesta ante incidentes globales de 2026 * \[\]( "Copy Link")Enlace copiado al portapapeles * [](https://twitter.com/intent/tweet?url=https://www.paloaltonetworks.com/resources/research/unit-42-incident-response-report&text=Navigating+the+Evolving+Threat+Landscape:+Resilient+Cybersecurity+Tactics+for+CISOs&via=PaloAltoNtwks&hashtags=security "Twitter") * * [](https://start.paloaltonetworks.com/contact-unit42 "Contact Us") ## Resumen ejecutivo Vemos cuatro tendencias principales que darán forma al panorama de amenazas para 2026. * **En primer lugar, la IA se ha convertido en un multiplicador de fuerzas para los actores de amenazas.** Comprime el ciclo de vida del ataque, desde el acceso hasta el impacto, al tiempo que introduce nuevos vectores. Este cambio de velocidad es medible: en 2025, las velocidades de exfiltración de los ataques más rápidos se cuadruplicaron. * **En segundo lugar, la identidad se ha convertido en la vía más fiable para el éxito de los atacantes.** Las debilidades de la identidad desempeñaron un papel importante en casi el 90 % de las investigaciones de Unit 42. Los atacantes "inician sesión" cada vez más con credenciales y tokens robados, aprovechando la fragmentación de las identidades para escalar privilegios y moverse lateralmente. * **En tercer lugar, el riesgo de la cadena de suministro de software se ha ampliado más allá del código vulnerable al uso indebido de la conectividad de confianza.** Los atacantes aprovechan las integraciones de software como servicio (SaaS), las herramientas de los proveedores y las dependencias de las aplicaciones para eludir los perímetros a escala. Esto cambia el impacto de un compromiso aislado a una interrupción operativa generalizada. * **En cuarto lugar, los actores estatales están adaptando tácticas de sigilo y persistencia a los entornos operativos empresariales modernos.** Estos actores dependen cada vez más de la infiltración basada en personas (empleos falsos, identidades sintéticas) y de un compromiso más profundo de la infraestructura central y las plataformas de virtualización, con los primeros indicios del uso de técnicas de espionaje basadas en la inteligencia artificial para reforzar estos puntos de apoyo. Si bien estas cuatro tendencias representan un desafío, **el éxito de los atacantes rara vez se determina por un solo vector de ataque.** En más de 750 intervenciones de respuesta a incidentes (IR), el 87 % de las intrusiones implicaron actividades en múltiples superficies de ataque. Esto significa que los defensores deben proteger conjuntamente los endpoints, las redes, la infraestructura en la nube, las aplicaciones SaaS y la identidad. Además, casi la mitad (48 %) implicaba actividades basadas en el navegador, lo que refleja la frecuencia con la que los ataques se cruzan con flujos de trabajo rutinarios como el correo electrónico, el acceso a la web y el uso diario de SaaS. **La mayoría de las brechas se produjeron por exposición, no por la sofisticación de los atacantes.** De hecho, en más del 90 % de las brechas, las lagunas evitables facilitaron materialmente la intrusión: visibilidad limitada, controles aplicados de forma inconsistente o confianza excesiva en la identidad. Estas condiciones retrasaron la detección, crearon vías para el movimiento lateral y aumentaron el impacto una vez que los atacantes obtuvieron acceso. **Los responsables de seguridad deben cerrar las brechas en las que se basan los atacantes.** En primer lugar, hay que reducir la exposición protegiendo el ecosistema de aplicaciones, incluidas las dependencias e integraciones de terceros, y reforzando el navegador, donde ahora comienzan muchas intrusiones. Paralelamente, hay que reducir el área de impacto promoviendo el modelo de confianza cero y reforzando la gestión de identidades y accesos (IAM) para eliminar la confianza excesiva y limitar el movimiento lateral. Por último, como última línea de defensa, asegúrese de que el centro de operaciones de seguridad (SOC) pueda detectar y contener las amenazas a la velocidad de la máquina consolidando la telemetría y automatizando la respuesta. 1. Introducción --------------- En 2025, Unit 42 respondió a más de 750 incidentes cibernéticos importantes. Nuestros equipos trabajaron con grandes organizaciones que se enfrentaban a extorsiones, intrusiones en la red, robos de datos y amenazas avanzadas persistentes. Los objetivos abarcaban todos los sectores importantes y más de 50 países. En cada caso, la situación se había agravado hasta el punto de que el SOC solicitó refuerzos. Cuando recibimos esa llamada, nuestros responsables de respuesta a incidentes actúan rápidamente para investigar, contener y erradicar la amenaza. Ayudamos a las organizaciones a determinar qué ha ocurrido, restablecer las operaciones y reducir el riesgo de que se repita, reforzando los controles, la visibilidad y la resiliencia. Cada intrusión cuenta una historia: qué fue el objetivo del atacante, cómo obtuvo acceso, cómo se intensificó la actividad y qué podría haberla detenido antes. En conjunto, estas historias se convierten en tendencias y proporcionan información sobre el panorama global de las amenazas. Muestran qué está cambiando en las técnicas de los adversarios, los errores que cometen repetidamente las organizaciones y, lo que es más importante, qué pueden hacer los defensores para mantener la seguridad de sus organizaciones. Este informe resume esas lecciones. Durante el último año, la velocidad de los ataques siguió acelerándose. Los atacantes aún se encuentran en una fase temprana en la adopción de técnicas basadas en la inteligencia artificial, pero su impacto ya es visible. La inteligencia artificial reduce la fricción en las operaciones de reconocimiento, ingeniería social, scripting, resolución de problemas y extorsión. Permite una mayor escala y la capacidad de lanzar múltiples ataques simultáneamente. El resultado es una ventana cada vez más reducida para la detección y la contención, en la que lo que ocurre en los primeros minutos tras el acceso inicial puede determinar si un incidente se convierte en una brecha. Al mismo tiempo, la mayoría de las violaciones siguen caminos conocidos. Y es por eso que nuestra conclusión más importante sigue siendo la misma: la seguridad tiene solución. En más del 90 % de los incidentes, los errores de configuración o las fallas en la cobertura de seguridad permitieron materialmente la intrusión. Los atacantes se están adaptando, pero la mayoría de las veces tienen éxito al explotar brechas evitables: implementación inconsistente de controles, telemetría incompleta, confianza excesiva en la identidad y conectividad no gestionada de terceros en SaaS y la nube. Este informe está organizado como una guía práctica sobre el panorama actual de amenazas: * **Amenazas y tendencias emergentes:** cómo está evolucionando la técnica de los atacantes: la IA como multiplicador de fuerzas, la identidad como la vía más fiable hacia el éxito, la ampliación del riesgo de la cadena de suministro de software a través de la conectividad de confianza y la evolución de las tácticas de los Estados-nación. * **Dentro de la intrusión:** una visión global de las tácticas, técnicas y procedimientos observados en las investigaciones de Unit 42: qué es lo que atacan los atacantes, cómo entran, a qué velocidad se mueven y qué impacto tienen. * **Recomendaciones para los defensores:** medidas concretas para cerrar las brechas que permiten el compromiso, limitar el área de impacto y desarrollar una capacidad de respuesta lo suficientemente rápida como para detener los incidentes antes de que se agraven. Unit 42 opera las 24 horas del día, los 7 días de la semana, para proteger el mundo digital de las ciberamenazas. El objetivo de este informe es sencillo: convertir lo que aprendemos en primera línea en decisiones que detengan los incidentes antes de que se conviertan en violaciones. ![Sam Rubin](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/ir-report-new/images/sam-rubin.webp) ### Sam Rubin Vicepresidente sénior de Consultoría e Inteligencia de Amenazas Unit 42 2. Amenazas y tendencias emergentes ----------------------------------- ### Tendencia 1. La IA se ha convertido en un multiplicador de fuerzas para los atacantes. La IA está cambiando la economía de las intrusiones. Aumenta la velocidad, la escala y la eficacia de los atacantes, al tiempo que abre vectores de ataque completamente nuevos. Aunque gran parte de esta actividad se produce en la infraestructura del adversario, más allá de nuestra capacidad de observación directa, las investigaciones y estudios de Unit 42 revelan un cambio claro. En 2025, los actores de amenazas pasaron de la experimentación al uso operativo rutinario. La IA no es un "botón fácil" para los atacantes, pero reduce enormemente la fricción. Permite a los actores de amenazas moverse más rápido, iterar con mayor frecuencia y operar con menos limitaciones humanas. ## La IA aumenta la velocidad y la escala de los ataques La IA comprime el ciclo de vida del ataque y reduce el esfuerzo manual necesario para operar en múltiples objetivos. **Explotación más rápida de las vulnerabilidades:** el intervalo entre la divulgación y la explotación sigue reduciéndose. Los actores de amenazas están automatizando el ciclo "monitorizar → comparar → probar → convertir en arma". [La investigación de Unit 42](https://www.paloaltonetworks.com/blog/2022/12/active-attack-surface-management-with-cortex-xpanse/) reveló que los atacantes comienzan a buscar vulnerabilidades recién descubiertas en los 15 minutos siguientes al anuncio de un CVE. Los intentos de explotación suelen comenzar antes de que muchos equipos de seguridad hayan terminado de leer el aviso de vulnerabilidad. **Objetivos paralelos:** el tiempo del operador es una limitación menor. Los flujos de trabajo asistidos por IA permiten a los actores realizar reconocimientos e intentos de acceso inicial en cientos de objetivos de forma paralela, para luego concentrar sus esfuerzos donde encuentran una señal débil. **Ransomware a escala:** vemos cómo los actores utilizan la IA para reducir el trabajo manual durante la implementación (generación de scripts, plantillas) y la extorsión (coherencia de los mensajes). El cambio no es que el ransomware sea nuevo, sino que **el tiempo de operador necesario para ejecutarlo a escala está disminuyendo.** Automatización del ransomware En una investigación sobre ransomware, Unit 42 recuperó scripts operativos utilizados para desplegar cargas útiles, coordinar movimientos laterales y deteriorar los controles de seguridad a escala. Varios elementos eran compatibles con el desarrollo asistido por IA, incluidos comentarios inusualmente exhaustivos, variantes basadas en plantillas y lógica de respaldo centrada en la eficiencia. El efecto neto fue una ejecución similar a la de una máquina en cientos de sistemas, lo que redujo el tiempo y el esfuerzo que normalmente se requieren para llevar a cabo una implementación en varias fases. El negociador con IA En un caso de extorsión, los negociadores de Unit 42 observaron respuestas que eran inusualmente consistentes en tono, gramática, cadencia y tiempo de respuesta en todos los intercambios. Estos patrones son consistentes con mensajes basados en plantillas o asistidos por IA. Incluso la automatización parcial es importante: permite a los actores llevar a cabo más negociaciones simultáneas y aplicar una presión más disciplinada, sin tener que involucrar a un operador humano en cada hilo. **Lo que esto significa en tiempo de impacto:** el año pasado, [Unit 42 simuló](https://www.paloaltonetworks.com/blog/2025/02/incident-response-report-attacks-shift-disruption/) un ataque asistido por IA que redujo el tiempo de exfiltración a 25 minutos. Los datos de IR del mundo real reflejan esta aceleración: el 25 % más rápido de las intrusiones alcanzó la exfiltración en 1,2 horas, frente a las 4,8 horas del año natural anterior. ## La IA mejora los resultados de los atacantes La IA está aumentando la tasa de éxito de las técnicas de ataque conocidas. **Ingeniería social hiperpersonalizada:** hemos dejado atrás el "phishing con mejor gramática". Los actores pueden automatizar la recopilación de inteligencia de código abierto (OSINT), incluido el contexto profesional y organizativo, para crear señuelos que se ajusten al papel y las relaciones del objetivo. **Identidades sintéticas:** Los actores de amenazas como [Muddled Libra](https://unit42.paloaltonetworks.com/threat-actor-groups-tracked-by-palo-alto-networks-unit-42/) y [los trabajadores de TI norcoreanos](https://unit42.paloaltonetworks.com/north-korean-synthetic-identity-creation/) utilizan cada vez más técnicas de deepfake para robar credenciales y superar los procesos de contratación a distancia. **Desarrollo de malware:** En la campaña [Shai-Hulud](https://unit42.paloaltonetworks.com/npm-supply-chain-attack/), Unit 42 evaluó que los atacantes utilizaron un modelo de lenguaje grande (LLM) para generar scripts maliciosos. **Menor barrera de entrada:** los LLM maliciosos diseñados específicamente y los ataques de jailbreak siguen reduciendo las habilidades necesarias para producir señuelos persuasivos y variantes de código funcionales. El efecto neto es que más actores son capaces de ejecutar técnicas creíbles más rápidamente y con menos errores. "Extorsión por ambiente" Un actor poco sofisticado extrajo datos confidenciales, pero no tenía ningún plan para la extorsión. Para salvar esta brecha, utilizó un LLM para redactar una estrategia de extorsión profesional, con plazos y tácticas de presión. El resultado fue surrealista: el actor grabó un vídeo amenazante desde su cama, visiblemente ebrio, leyendo palabra por palabra el guion generado por la IA desde una pantalla. La amenaza carecía de profundidad técnica, pero el modelo aportaba coherencia. La IA no hizo más inteligente al atacante, solo le hizo parecer lo suficientemente profesional como para resultar peligroso. **Conclusión:** la IA mejora las tasas de éxito de los atacantes en cada etapa. Mejora la calidad de los señuelos, acorta el tiempo necesario para adaptar las herramientas y reduce la dependencia de la intervención constante del operador, lo que hace que la extorsión sea más consistente y escalable. ## La IA crea nuevos vectores de ataque La adopción de la IA en las empresas crea una nueva clase de riesgo: Living off the AI land (LOTAIL). Al igual que los atacantes hacen un uso indebido de PowerShell o Windows Management Instrumentation (WMI), ahora están utilizando como arma plataformas de IA legítimas y asistentes integrados. **Convertir su plataforma de IA en un arma:** los actores de amenazas utilizan credenciales válidas para hacer un uso indebido de las plataformas de IA empresariales. Por ejemplo, [una investigación reciente de Unit 42 sobre Google Vertex AI](https://unit42.paloaltonetworks.com/privilege-escalation-llm-model-exfil-vertex-ai/) demostró cómo los atacantes podían hacer un uso indebido de los permisos de trabajo personalizados para escalar privilegios y utilizar un modelo malicioso como troyano para filtrar datos confidenciales. **El copiloto del atacante:** con credenciales comprometidas, un intruso puede utilizar un asistente interno para obtener contexto a la velocidad de la máquina, incluyendo la solicitud de guías de integración, manuales de administración o mapas de red. El asistente se convierte en un multiplicador de fuerzas, lo que permite a los intrusos comprender el entorno con menos errores. El infiltrado asistido por IA Un infiltrado utilizó el asistente de IA de su propia empresa como arma para llevar a cabo un ataque. El análisis forense reveló que el infiltrado utilizó la herramienta para investigar los sistemas internos, generar un script personalizado de denegación de servicio (DoS) y solucionar errores en tiempo real. El asistente cubrió una laguna de conocimientos, lo que permitió al actor atacar infraestructuras básicas contra las que probablemente no habría podido actuar con tanta eficacia sin el apoyo de la IA. **El riesgo es evidente:** si una herramienta puede ayudar a los empleados a realizar su trabajo, también puede ayudar a los intrusos a comprender su entorno y actuar con menos errores. ## Contramedidas: defensa contra amenazas impulsadas por IA Estas tácticas lo ayudarán a defenderse de los ataques asistidos por IA: **Contrarrestar la velocidad de ataque acelerada por IA** * **Automatizar los parches externos:** exija la aplicación automática de parches para CVE críticos en activos accesibles desde Internet para cerrar la ventana de explotación de 24 horas. * **Contención autónoma:** implemente una respuesta impulsada por IA para reducir el tiempo medio de detección/respuesta (MTTD/MTTR) y aislar las amenazas antes de que puedan automatizar el movimiento lateral. **Defensa contra técnicas mejoradas** * **Seguridad del correo electrónico basada en el comportamiento:** pase de los filtros basados en firmas a motores que identifican anomalías en los patrones de comunicación. * **Concienciación basada en la intención:** ir más allá de la simple formación de los empleados para detectar errores tipográficos. Pasar a la verificación fuera de banda (OOB) para todas las solicitudes sensibles (por ejemplo, transferencias bancarias, restablecimiento de credenciales o contratación remota). **Proteja la superficie de ataque de la IA** * **Supervise la telemetría de los modelos:** correlacione las llamadas o scripts inusuales de la API de IA procedentes de los resultados de los modelos con técnicas de evasión conocidas. * **Visibilidad inmediata:** alerte sobre consultas sensibles a los LLM internos (por ejemplo, "encontrar todas las contraseñas") y aplique límites de permiso estrictos para los tokens y las cuentas de servicio. ### Tendencia 2. La identidad es la vía más fiable para el éxito de los atacantes Durante el último año, las debilidades en materia de identidad desempeñaron un papel importante en casi el 90 % de las investigaciones que llevó a cabo Unit 42. En nuestros casos, la identidad determinó las intrusiones de principio a fin. Sirvió como vía de acceso, camino hacia la escalada de privilegios y mecanismo para el movimiento lateral utilizando un acceso válido. A medida que las organizaciones se adentran en entornos SaaS, en la nube e híbridos, el perímetro de la red pierde importancia. La identidad, el vínculo entre usuarios, máquinas, servicios y datos, se ha convertido en el perímetro práctico. En muchos casos, los actores de amenazas no necesitan una cadena de exploits sofisticada. Inician sesión con credenciales robadas, sesiones secuestradas o privilegios mal definidos. El acceso autenticado cambia la dinámica de una intrusión. Permite a los adversarios moverse más rápido, mezclarse con la actividad normal y ampliar su área de impacto con menos obstáculos. Esta tendencia se está acelerando a medida que las identidades de las máquinas, las aplicaciones de IA integradas y los activos de identidad fragmentados amplían el número de vías de acceso que los atacantes pueden explotar. ## La vía de acceso: acceso inicial basado en la identidad Los datos de casos de Unit 42 muestran que el 65 % del acceso inicial se basa en técnicas relacionadas con la identidad. Mientras que los defensores se centran en corregir las vulnerabilidades, los actores de amenazas suelen eludir los controles de software dirigiéndose a los usuarios y las rutas de autenticación. Observamos las siguientes vías principales de acceso inicial: * **Ingeniería social relacionada con la identidad (33 %):** el phishing basado en la identidad (22 %) y otras técnicas de ingeniería social (11 %) siguen siendo los principales impulsores de las brechas de seguridad modernas. En lugar del simple robo de credenciales, estas tácticas se centran cada vez más en eludir la autenticación multifactorial (MFA) y el secuestro de sesiones, lo que permite a los atacantes eludir los controles de autenticación y moverse lateralmente aprovechando los flujos de trabajo de identidad de confianza. * **Uso indebido de credenciales y fuerza bruta (21 %):** las credenciales comprometidas anteriormente (13 %) y la actividad de fuerza bruta (8 %) permiten a los atacantes obtener acceso con poca interacción. Mediante el uso de cuentas válidas obtenidas de violaciones anteriores o mercados clandestinos, los actores inician sesión directamente en redes privadas virtuales (VPN), puertas de enlace de acceso remoto y portales en la nube, eludiendo las defensas perimetrales tradicionales sin activar la detección temprana. * **Política de identidad y riesgo interno (11 %):** derivados de fallos en la confianza interna y en la arquitectura, estos vectores implican el aprovechamiento de permisos válidos. Los atacantes aprovechan los errores de configuración de IAM (3 %), como políticas excesivamente permisivas, para escalar privilegios y heredar accesos, mientras que las amenazas internas (8 %) implican el abuso de credenciales legítimas. La gestión de identidades y la gestión de vulnerabilidades no son luchas separadas. Una credencial filtrada puede crear la misma exposición que un sistema conectado a Internet sin parches. ## El camino a seguir: la identidad convierte el acceso en impacto Tras el acceso inicial, las brechas de identidad son una de las formas más comunes en que los atacantes convierten un punto de apoyo en una violación de alto impacto. En los entornos modernos, las acciones autenticadas determinan la velocidad y el radio de impacto. El análisis de [Unit 42](https://www.paloaltonetworks.com/resources/research/unit-42-cloud-threat-report-volume-6) de más de 680 000 identidades en cuentas en la nube reveló que el 99 % de los usuarios, roles y servicios en la nube tenían permisos excesivos, algunos de los cuales no se habían utilizado durante 60 días o más. Esto crea un entorno en el que el movimiento lateral es más fácil de lo que debería ser, ya que muchas identidades tienen privilegios que no necesitan en el día a día. Los atacantes explotan tanto las identidades humanas como las de las máquinas como palancas operativas: * **Elevación de privilegios:** las funciones con un alcance excesivo, los permisos heredados y las concesiones heredadas no retiradas crean vías repetibles para obtener privilegios más elevados. Una vez que un atacante puede escribir en IAM, a menudo puede escalar rápidamente sin necesidad de implementar herramientas novedosas. * **Reutilización de credenciales y movimiento lateral:** los actores suelen probar las credenciales comprometidas en otros sistemas. Esto es especialmente cierto cuando las contraseñas se reutilizan en entornos de producción y no producción, o cuando aún existen cuentas compartidas. * **Uso indebido de tokens y OAuth:** los tokens de sesión robados y las concesiones OAuth ilícitas permiten a los atacantes eludir la autenticación interactiva (incluida la MFA), persistir sin tener que iniciar sesión repetidamente y operar con menos alertas evidentes. Las rutas de confianza (por ejemplo, cuentas administrativas compartidas, acceso delegado y herramientas de terceros) se convierten en vías rápidas para el movimiento lateral. Sin límites estrictos de privilegios y una segmentación sólida de las identidades, una sola identidad comprometida puede ampliarse hasta convertirse en un acceso amplio. ## La superficie de ataque de la identidad en expansión El panorama de la identidad se está expandiendo y fragmentando. A medida que las organizaciones adoptan la nube, el SaaS y los flujos de trabajo habilitados para la IA, la identidad se traslada a áreas que a menudo quedan fuera de una gobernanza coherente, creando zonas en las que los atacantes operan con menor visibilidad. Tres tendencias están impulsando este cambio: * **El auge de las identidades de máquinas e IA:** las identidades no humanas, como las cuentas de servicio, las funciones de automatización, las claves API y los agentes de IA emergentes, suelen superar en número a los usuarios humanos. Estas identidades suelen tener privilegios excesivos, dependen de credenciales de larga duración y se supervisan de forma inconsistente. Para un atacante, comprometer una cuenta de servicio puede ser más ventajoso y discreto que comprometer a una persona. * **Identidades ocultas:** la adopción de la nube y la IA ha aumentado el volumen de cuentas no autorizadas, entornos de desarrollo y conectores de terceros. Estas identidades ocultas suelen eludir los procesos estándar de incorporación, revisión y registro, creando rutas de acceso que el SOC podría no ver hasta después del impacto. * **Silos de identidad:** la mayoría de las empresas operan con múltiples sistemas de identidad (por ejemplo, Active Directory, Okta, IAM nativo de la nube). Cuando la autenticación y la autorización están fragmentadas, también lo está la visibilidad. Los atacantes pueden moverse entre entornos en las instalaciones y en la nube dejando rastros incompletos en cualquier plano de control individual. Una configuración incorrecta a escala convierte la identidad de un elemento de control en un problema. Cuando se combinan las identidades de las máquinas, el acceso oculto y los activos de identidad fragmentados, los atacantes obtienen vías más fiables para persistir y expandirse. Y los defensores pierden la visibilidad integral. ## Contramedidas: interrumpir las técnicas basadas en la identidad Estas medidas tácticas pueden interrumpir las técnicas relacionadas con la identidad observadas en los casos de Unit 42: * **Implementar MFA resistente al phishing:** la MFA estándar no es suficiente contra las tácticas modernas de elusión y adversario en el medio. Dar prioridad a las claves de hardware FIDO2/WebAuthn o a las claves de acceso para roles de alto valor (administradores, ejecutivos, desarrolladores). * **Inventario y rotación de identidades de máquinas:** Establezca un descubrimiento continuo de identidades no humanas (cuentas de servicio, roles de automatización, claves API). Rote inmediatamente las credenciales estáticas de cualquier cuenta de servicio privilegiada que no haya cambiado en 90 días y reduzca la vida útil de las credenciales siempre que sea posible. * **Fortalezca la sesión:** los atacantes pivotan cada vez más después del inicio de sesión robando tokens y haciendo un uso indebido de las concesiones de OAuth. Reduzca la duración de las sesiones para las aplicaciones sensibles y aplique un acceso condicional que evalúe continuamente el estado, la ubicación y el riesgo del dispositivo durante la sesión. * **Elimine los derechos de administrador permanentes:** traslade el acceso privilegiado a un modelo justo a tiempo. Elimine las concesiones de administrador persistentes y exija una elevación con límite de tiempo con aprobaciones y registros sólidos, de modo que una cuenta comprometida tenga un privilegio mínimo por defecto. ### Tendencia 3. Los ataques a la cadena de suministro de software provocan cada vez más interrupciones en las fases posteriores El riesgo de la cadena de suministro ya no se limita al código vulnerable. En 2025, la cadena de suministro se amplió para incluir integraciones SaaS, planes de gestión de proveedores y ecosistemas de dependencia complejos. El patrón definitorio fue la interrupción en las fases posteriores y la evaluación paralela. Cuando un proveedor de la fase inicial informaba de un compromiso o una interrupción, los clientes a menudo se veían obligados a detenerse y responder a una pregunta básica: ¿nos afecta? En muchos casos, tenían una visibilidad limitada de su propia exposición. El nuevo modo de fallo no es un solo cliente comprometido. Hay muchos clientes que se ven empujados a una clasificación paralela mientras que la situación en las fases iniciales sigue sin estar clara. Esto convierte a la cadena de suministro en un objetivo de gran valor tanto para los Estados nacionales como para los grupos delictivos. Un solo compromiso puede crear una oportunidad de uno a muchos, que se materializa a través de la conectividad de confianza en la que se basan las empresas modernas. ## Integraciones SaaS: permisos heredados a escala Los entornos SaaS se unen mediante aplicaciones OAuth, claves API y automatización de flujos de trabajo. Estas conexiones suelen proporcionar acceso a datos y procesos empresariales. Para los atacantes, las integraciones comprometidas pueden convertirse en una vía de movimiento lateral que parece una automatización normal. Esta exposición se refleja en las investigaciones de Unit 42. Los datos de las aplicaciones SaaS fueron relevantes en el 23 % de los casos en 2025, frente al 18 % en 2024, el 12 % en 2023 y solo el 6 % en 2022. El aumento constante muestra cómo los atacantes están superando los perímetros tradicionales y concentrándose en las herramientas basadas en la nube, donde ahora se desarrolla el trabajo moderno. El riesgo son los permisos heredados. Cuando una organización integra una aplicación de terceros a través de OAuth, esa aplicación recibe los derechos que se le concedieron originalmente, lo que a veces incluye la capacidad de leer datos confidenciales, gestionar usuarios o modificar registros. Si el proveedor ascendente se ve comprometido, esos mismos permisos pueden ser utilizados indebidamente en el lado descendente. El riesgo oculto de la integración En una investigación reciente relacionada con una plataforma de interacción comercial comprometida (integración de Salesloft/Drift), los atacantes aprovecharon tokens OAuth válidos para acceder a entornos Salesforce descendentes. La actividad se asemejaba a la automatización rutinaria del gestor de relaciones con los clientes (CRM) y se mezclaba con el tráfico de integración esperado. La revisión posterior al incidente reveló un problema más profundo: la organización descubrió casi 100 integraciones de terceros adicionales conectadas a Salesforce, muchas de ellas inactivas, sin supervisar o propiedad de antiguos empleados. ## Código abierto e IA: proliferación de dependencias y compromiso en el tiempo de compilación El código abierto sigue siendo la base del desarrollo moderno, pero el riesgo se concentra cada vez más en las dependencias indirectas. [La investigación de Unit 42](https://start.paloaltonetworks.com/unit-42-cloud-threat-report-volume-7) indica que más del 60 % de las vulnerabilidades en las aplicaciones nativas de la nube residen en bibliotecas transitivas. Estas bibliotecas son las dependencias "silenciosas" que se incorporan a través de los paquetes en los que se basa su código. Los actores de amenazas también están inyectando código malicioso en paquetes ascendentes para ejecutarlo durante las etapas de instalación y compilación, lo que compromete los procesos antes de la implementación. La velocidad de desarrollo agrava este riesgo. A medida que la codificación asistida por GenAI se generaliza, los equipos están incorporando más código y más dependencias con mayor rapidez. A menudo, esto se hace sin examinar suficientemente la procedencia, la fiabilidad de los mantenedores y el comportamiento de los paquetes descendentes. El paquete malicioso Investigamos una campaña en la que los actores de amenazas subieron versiones maliciosas de paquetes npm legítimos. Uno de los paquetes, incrustado en lo más profundo de un árbol de dependencias, ejecutaba código controlado por el atacante inmediatamente después de su instalación. Dado que esta actividad se produce durante la compilación y la instalación, puede eludir las detecciones en tiempo de ejecución y establecer un punto de apoyo en múltiples entornos de compilación antes de que nadie vea una alerta. ## Herramientas de proveedores: canales de gestión convertidos en armas Las herramientas de proveedores, especialmente las plataformas de supervisión y gestión remotas (RMM) y de gestión de dispositivos móviles (MDM), están diseñadas para realizar acciones administrativas privilegiadas a escala. Cuando los atacantes obtienen acceso a la infraestructura de gestión de un proveedor (o al inquilino del cliente), pueden introducir malware, ejecutar comandos o cambiar configuraciones de forma que se mezclen con el tráfico administrativo rutinario. Esta tendencia está respaldada por nuestras observaciones sobre el terreno: identificamos que el 39 % de las técnicas de comando y control (C2) estaban relacionadas con herramientas de acceso remoto (T1219). Las empresas también heredan el riesgo de las aplicaciones opacas de terceros que se ejecutan dentro de flujos de trabajo críticos. Cuando los clientes no pueden inspeccionar el código base o las hipótesis de seguridad de un proveedor, las puertas traseras latentes, las credenciales codificadas o las interfaces expuestas pueden pasar desapercibidas. La aplicación heredada En una investigación multinacional, una aplicación heredada de facturación de terceros expuso una interfaz no documentada y no autenticada a Internet. Los controles existentes no la detectaron porque el tráfico parecía coherente con el comportamiento normal de la aplicación. Una evaluación más profunda reveló fallos estructurales, incluidos puntos de inyección de SQL y funcionalidad de shell oculta. Estos problemas habían persistido durante años porque el cliente no podía inspeccionar el código subyacente. ## El impacto: de la respuesta a la interrupción del negocio Los incidentes en la cadena de suministro amplifican la interrupción debido a la incertidumbre. Cuando un proveedor se ve comprometido, los equipos posteriores operan en un vacío de información. El resultado es que las organizaciones entran en "modo de evaluación" a escala, ya que los equipos detienen los cambios, revisan las integraciones, aíslan las dependencias e intentan confirmar la ausencia de impacto antes de reanudar las operaciones normales. Tres deficiencias sistémicas agravan esa carga: * **Deficiencias en el inventario:** muchas organizaciones carecen de una visión unificada de las conexiones SaaS, los agentes de proveedores y las bibliotecas transitivas, lo que ralentiza la respuesta a la pregunta "¿dónde se utiliza esto?" * **Opacidad de los permisos:** los privilegios efectivos de las integraciones, los agentes y las herramientas son difíciles de determinar rápidamente sin una revisión manual, lo que hace que el impacto real no esté claro. * **Brechas de telemetría:** dado que la actividad llega a través de canales de confianza (actualizaciones, llamadas a API, herramientas administrativas), los registros suelen parecer legítimos, lo que puede retrasar la detección y aumentar el tiempo de investigación. **De cara al futuro:** este reto se agravará a medida que las organizaciones adopten flujos de trabajo basados en IA y agentes externos. El riesgo de la cadena de suministro incluirá cada vez más no solo la integridad del código, sino también la integridad de los modelos, los conectores y las acciones delegadas que se ejecutan en nombre de una organización. ## Contramedidas: proteger la cadena de suministro de software Para defender la cadena de suministro es necesario reducir el **tiempo necesario para evaluar la exposición** y el **área de impacto.** * **Mapear la propiedad y el alcance del SaaS:** inventariar las aplicaciones e integraciones OAuth (gestión y detección de la postura de seguridad del SaaS). Asignar propietarios. Eliminar las integraciones inactivas y las vinculadas a usuarios que ya no están. * **Diseñar planes de corte de emergencia:** predefinir cómo revocar tokens, desactivar conectores y aislar agentes de proveedores sin improvisar durante un incidente ascendente. * **Registrar la actividad de los proveedores y las integraciones con profundidad de auditoría:** asegurarse de poder responder qué se ejecutó, dónde y quién lo hizo. Alertar sobre cambios de permisos, concesiones de tokens y acciones administrativas anómalas. * **Fortalezca la ingestión de compilaciones:** utilice el análisis de la composición del software (SCA) y los controles de procedencia. Fije las versiones, restrinja los nuevos repositorios y exija la revisión de las nuevas dependencias, especialmente aquellas que se ejecutan en el momento de la instalación o la compilación. ### Tendencia 4. Los actores estatales están adaptando sus tácticas a los entornos modernos. [Las operaciones estatales](https://unit42.paloaltonetworks.com/threat-actor-groups-tracked-by-palo-alto-networks-unit-42/) se expandieron en 2025, avanzando en campañas de espionaje, posicionamiento previo y acceso. En las campañas afiliadas a China, Corea del Norte e Irán, se destacaron tres cambios: * Mayor uso del acceso basado en la identidad. * Mayor compromiso de las capas de infraestructura y virtualización. * Primeros experimentos con técnicas de espionaje basadas en la inteligencia artificial destinadas al sigilo y la persistencia. Los grupos alineados con China pasaron de la actividad a nivel de usuario a las plataformas de infraestructura y virtualización. Los operadores norcoreanos e iraníes ampliaron el uso de señuelos de reclutamiento, personalidades sintéticas y malware personalizado para establecer el acceso. También observamos técnicas emergentes basadas en la inteligencia artificial, como la creación de identidades deepfake y la generación automatizada de C2. Estos avances reflejan un cambio hacia métodos de acceso que son significativamente más difíciles de detectar y validar para los defensores. ## China: centrada en el perímetro y la virtualización Las actividades de amenazas relacionadas con China siguieron dando prioridad al acceso a largo plazo y la recopilación de datos. En 2025 se produjo un cambio notable, pasando del espionaje centrado en el correo electrónico a una explotación más profunda de las capas de aplicaciones, infraestructura y virtualización. [Phantom Taurus](https://unit42.paloaltonetworks.com/phantom-taurus/) ejemplificó este cambio, pasando de campañas centradas en la recopilación de correos electrónicos confidenciales a atacar directamente bases de datos y servidores web para recopilar y extraer información. Su malware NET-STAR utilizó técnicas de evasión avanzadas, lo que supuso un riesgo significativo para las organizaciones con infraestructura web expuesta. De manera similar, observamos una campaña persistente de un año de duración contra organizaciones de tecnología de la información, SaaS y externalización de procesos empresariales (rastreada por Unit 42 como grupo de actividades CL-STA-0242). El grupo detrás de la campaña comprometió las plataformas de virtualización operadas por proveedores de servicios de TI e implementó el malware BRICKSTORM, que ocultaba el tráfico C2 dentro de sesiones web cifradas normales, lo que dificultaba mucho más su detección a través de la supervisión de la red. [La CISA](https://www.cisa.gov/news-events/alerts/2025/12/04/prc-state-sponsored-actors-use-brickstorm-malware-across-public-sector-and-information-technology) ha atribuido públicamente la actividad de BRICKSTORM a actores patrocinados por el Estado chino. Estos cambios ilustran un alejamiento continuo de la recopilación a nivel de usuario hacia compromisos más profundos de la infraestructura y los entornos virtualizados, donde el acceso a largo plazo es más duradero y más difícil de detectar para los defensores. ## Corea del Norte: Recursos Humanos como arma, parte I Las amenazas de Corea del Norte siguieron siendo un desafío constante para las empresas en 2025. A pesar de la amplia cobertura mediática, las medidas policiales y las sanciones multilaterales, continuaron múltiples campañas de larga duración. Unit 42 rastreó al menos dos campañas: * [**Wagemole**](https://unit42.paloaltonetworks.com/tag/wagemole/): agentes norcoreanos obtuvieron empleos remotos no autorizados en organizaciones estadounidenses y europeas y desviaron secretamente los ingresos al régimen. El acceso obtenido a través de estos puestos de contratistas y empleados permitió tanto pagos financieros no autorizados como espionaje. Wagemole, que [se dio a conocer](https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters/) públicamente en 2023, siguió activo en 2025, y nosotros identificamos y eliminamos actividades relacionadas en más de 20 entornos empresariales. * [****Contagious Interview****](https://unit42.paloaltonetworks.com/tag/contagious-interview/): desde al menos 2022, los operadores han atacado a desarrolladores de software y personal de TI mediante entrevistas de trabajo ficticias que distribuyen malware a través de retos de programación. Solo en 2025, eliminamos infecciones de Contagious Interview de más de 10 redes empresariales, lo que pone de relieve los riesgos asociados a la ejecución de código no verificado en los sistemas corporativos. ## Irán: Recursos Humanos como arma, parte II La actividad amenazante de Irán se mantuvo alta en 2025, ya que múltiples grupos continuaron sus operaciones contra sectores estratégicos. Cabe destacar a Screening Serpens y Curious Serpens, que utilizaron señuelos relacionados con el empleo para atacar a proveedores aeroespaciales y de comunicaciones por satélite. Esta actividad refleja el interés que Irán ha mostrado desde hace tiempo por las organizaciones que manejan información técnica y operativa sensible. Unit 42 rastreó las siguientes campañas: * **Screening Serpens (también conocido como Smoke Sandstorm, UNC1549):** este grupo se dirigió a organizaciones gubernamentales de Oriente Medio creando portales de empleo fraudulentos que imitaban a conocidas empresas aeroespaciales y de defensa. Estos sitios distribuían malware empaquetado como material de solicitud de empleo, a menudo firmado con certificados de firma de código válidos para aumentar su credibilidad. Los errores de seguridad operativa permitieron a los investigadores de Unit 42 revisar toda la cadena de infección, que incitaba a los candidatos a descargar un archivo de encuesta o un paquete de documentos infectados. * **Curious Serpens (también conocido como APT33, Peach Sandstorm):** Curious Serpens atacó a un proveedor de comunicaciones mediante señuelos de contratación de empleo enviados por correo electrónico y publicados en sitios web orientados a la carrera profesional. La operación instaló una puerta trasera modular capaz de recopilar información y preparar cargas útiles de seguimiento. Los operadores se basaron en ejecutables firmados legítimos, carga lateral de DLL y técnicas de evasión, lo que demuestra una inversión continua en un conjunto de herramientas especializadas diseñadas para eludir los controles de seguridad modernos. El currículum de confianza En una investigación de Screening Serpens, un atacante se puso en contacto con un empleado a través de LinkedIn y su correo electrónico personal con un archivo de currículum personalizado que instalaba malware y permitía utilizar herramientas legítimas de gestión remota. Una vez dentro, el operador recopiló credenciales, examinó el entorno, implementó una puerta trasera personalizada e intentó eliminar los rastros de actividad, lo que indica un énfasis en la persistencia y el sigilo. El uso de temas laborales realistas y binarios firmados aumenta la probabilidad de que las víctimas abran archivos maliciosos. Esto pone de relieve la necesidad de que los sectores sensibles supervisen las actividades relacionadas con la contratación y verifiquen cualquier documento o código de origen externo. ## Adopción de la inteligencia artificial por parte de los Estados-nación Las pruebas de la adopción a gran escala de la IA por parte de los actores estatales siguen siendo limitadas, pero 2025 ofreció los primeros indicios de que algunos grupos están empezando a integrar la IA en sus operaciones. Gran parte de esta actividad es difícil de observar para los defensores, ya que muchos de los posibles casos de uso (como el desarrollo de malware, la generación de infraestructuras o el análisis de datos exfiltrados) se producen fuera de los entornos empresariales y más allá de la visibilidad convencional. A medida que avanzan las capacidades, comprender dónde están experimentando los Estados-nación con la IA es cada vez más importante para anticipar las técnicas futuras. Los atacantes parecen más interesados en utilizar la IA para reforzar la persistencia y construir bases más duraderas. Los operadores de los Estados-nación han mostrado una creciente dependencia de los puntos de entrada basados en la identidad y la credibilidad, y un mayor compromiso de la infraestructura virtualizada y de aplicaciones. Estos métodos de acceso ya son difíciles de validar para los defensores, y es probable que la IA los haga más eficientes y difíciles de interrumpir. Uno de los ejemplos públicos más claros surgió en julio, cuando las autoridades ucranianas, en un [aviso del CERT-UA](https://cert.gov.ua/article/6284730), informaron de que un malware ruso sospechoso conocido como LAMEHUG utilizaba un LLM para generar instrucciones C2 a través de una API. Atribuida a Fighting Ursa (también conocida como APT28, Fancy Bear), la actividad sustituyó a un operador humano por un flujo de trabajo automatizado. Los operadores norcoreanos también mostraron signos de experimentación con la IA. En la [investigación](https://unit42.paloaltonetworks.com/north-korean-threat-actors-lure-tech-job-seekers-as-fake-recruiters/) de Unit 42 relacionada con la campaña Wagemole, los investigadores identificaron cuentas sospechosas de Corea del Norte que utilizaban servicios de manipulación de imágenes basados en la IA para crear personajes deepfake con fines de fraude laboral. En una operación relacionada, al estilo de Contagious Interview, los atacantes fabricaron una empresa completa y la difundieron en múltiples plataformas de redes sociales utilizando identidades generadas por IA, cuentas reutilizadas y perfiles modificados pertenecientes a profesionales reales. El resultado fue una fachada corporativa convincente diseñada para aumentar la confianza y mejorar la tasa de éxito de las operaciones de acceso impulsadas por la contratación. ## Contramedidas: defensa contra adversarios estatales Centrar las defensas en las rutas de acceso, las capas de infraestructura y los canales de confianza que utilizan los operadores estatales para obtener y mantener un acceso a largo plazo. * **Reforzar la verificación en los flujos de trabajo de identidad y contratación:** reforzar los controles en la incorporación de contratistas y la contratación externa para detectar identidades falsas, deepfakes y señuelos relacionados con el trabajo antes de que lleguen a los sistemas centrales. * **Ampliar la supervisión en la infraestructura virtualizada y de aplicaciones:** Establecer una base de referencia y registrar la actividad en las plataformas de virtualización, las aplicaciones web y los entornos de los proveedores de servicios. Alertar sobre las desviaciones que indiquen persistencia o movimiento lateral. * **Reforzar y supervisar el uso de herramientas y canales de confianza:** Revisar cómo se utilizan los binarios firmados, el tráfico cifrado, las herramientas de gestión remota y las plataformas de colaboración. Señalar los patrones que sugieran un uso indebido de las credenciales o actividades encubiertas. * **Instrumentar y gobernar la actividad relacionada con la IA en flujos de trabajo sensibles:** Limitar qué servicios de IA pueden interactuar con identidades, código fuente o datos sensibles. Registrar su uso e investigar patrones anómalos que puedan indicar la creación automatizada de personas o operaciones impulsadas por la IA. 3. Dentro de la intrusión ------------------------- En esta sección se desglosa el comportamiento que observamos en las investigaciones de respuesta a incidentes de Unit 42 en 2025. Organizamos estas observaciones en cuatro dimensiones para mostrar lo que hacen los atacantes y cómo lo consiguen: * **La superficie de ataque:** aquí es donde atacan los atacantes. Las intrusiones rara vez se limitan a un solo ámbito; ahora abarcan simultáneamente los endpoints, la infraestructura en la nube y las capas de identidad. * **El punto de entrada:** así es como entran. El phishing y las vulnerabilidades se han convertido en los principales vectores de acceso inicial, cada uno con un 22 %. Los atacantes son pragmáticos, explotan los errores humanos y los sistemas sin parches con la misma frecuencia para forzar la puerta. * **La velocidad:** así es como se mueven. Aunque los tiempos medios varían, el grupo de atacantes más rápido está acelerando, lo que reduce el margen para una defensa eficaz. * **El impacto:** este es el costo para la víctima. Este año se ha producido un cambio, pasando del cifrado al robo de datos y la extorsión. ## 3.1. La superficie de ataque: las intrusiones se extienden por toda la empresa ### Los ataques rara vez se limitan a un solo ámbito En la Tabla 1 se enumeran las principales superficies de ataque investigadas por Unit 42 en 2025, que abarcan endpoints, redes, servicios en la nube, sistemas de identidad, aplicaciones, correo electrónico y actividades realizadas por los usuarios. Estas categorías representan las principales capas operativas en las que observamos actividad de los atacantes durante las investigaciones. Dado que las intrusiones suelen abarcar varias capas, no son mutuamente excluyentes y no suman el 100 %. Un solo incidente puede afectar a varias de ellas a la vez. | Superficie de ataque | Porcentaje | |----------------------|------------| | Identidad | 89 % | | Endpoints | 61 % | | Red | 50 % | | Humano | 45 % | | Correo electrónico | 27 % | | Aplicación | 26 % | | Nube | 20 % | | SecOps | 10 % | | Base de datos | 1 % | ***Tabla 1.** Superficies de ataque implicadas en intrusiones, que muestran el porcentaje de incidentes en los que se vio afectada cada superficie.* En todos los incidentes, el 87 % implicó actividad en dos o más superficies de ataque. El 67 % de los incidentes implicó actividad en tres o más superficies. La actividad en cuatro o más superficies de ataque apareció en el 43 % de los ataques, y hemos observado casos con actividad en hasta ocho superficies de ataque. Si bien la distribución de las superficies de ataque afectadas varía de un año a otro, este patrón refuerza el hecho de que las intrusiones rara vez se limitan a una sola superficie y, a menudo, se expanden a medida que aumentan el acceso y las oportunidades. La identidad ocupó un lugar destacado en muchos incidentes (casi el 90 %), lo que la convierte en una de las superficies de ataque más comunes en nuestros casos. Las actividades dirigidas a personas también aparecieron con frecuencia, representando el 45 % de los incidentes. Este patrón se hace eco de los temas más generales de nuestro reciente [Informe sobre ingeniería social](https://unit42.paloaltonetworks.com/2025-unit-42-global-incident-response-report-social-engineering-edition/), que destaca cómo la interacción en la capa humana sigue desempeñando un papel decisivo en el éxito de las intrusiones. ### La superficie de ataque del navegador: ataques en la interfaz humana La actividad del navegador desempeñó un papel importante en el 48 % de las investigaciones de este año (frente al 44 % en 2024). Esto refleja cómo las sesiones web rutinarias exponen a los usuarios a enlaces maliciosos, páginas de recopilación de credenciales y contenido inyectado cuando los controles locales son débiles. En un incidente de ClickFix que investigamos, los atacantes dirigieron a un empleado de una empresa industrial global a un sitio web falsificado mediante el envenenamiento de la optimización de motores de búsqueda (SEO) mientras buscaba un restaurante. El sitio utilizó indicaciones de ingeniería social para convencer al empleado de que ejecutara código malicioso copiado en su portapapeles, tras lo cual el atacante intentó ejecutar malware en la memoria. El atacante parecía estar intentando descargar un infostealer, aunque no pudimos confirmar la carga útil exacta. Una empresa global de tecnología médica sufrió una intrusión que comenzó con un ataque de envenenamiento SEO. Un administrador accedió a un sitio falso que alojaba una versión maliciosa de una herramienta administrativa, y el enlace se compartió posteriormente con un administrador de dominio a través de una llamada de mensajería interna. Esto provocó la ejecución del software comprometido. Tras afianzarse, el atacante implementó ransomware en sistemas clave, extrajo datos y exigió un rescate. La interrupción resultante afectó a la fabricación, la distribución, el envío y el procesamiento de pedidos durante un largo periodo de tiempo, mientras se restauraban los sistemas. Las aplicaciones no gestionadas y las protecciones limitadas del navegador permitieron un intento de ejecución inicial en un incidente antes de que fuera contenido. En otro, la ejecución privilegiada de una herramienta administrativa maliciosa permitió la implementación del ransomware y una interrupción operativa más amplia. ### La superficie de ataque en la nube: comprometiendo el canal Reflejando una continuación de la tendencia del año pasado, alrededor del 35 % de nuestras investigaciones involucraron activos en la nube o SaaS. En estos casos, la investigación requirió recopilar registros o imágenes de entornos de nube o revisar la actividad dentro de aplicaciones alojadas externamente, lo que indica que la intrusión afectó a activos o flujos de trabajo alojados en la nube. Las debilidades de la nube variaban, pero incluso los problemas básicos influían en el comportamiento de los atacantes una vez que establecían el acceso. En una investigación, se encontraron credenciales confidenciales de la nube expuestas en un repositorio público, lo que ampliaba las vías que los atacantes podían utilizar para llegar a los entornos de nube. En otra investigación, los atacantes se dirigieron a un desarrollador en un foro de código abierto y lo convencieron para que descargara una herramienta de depuración infectada. Esto convirtió una colaboración rutinaria en un punto de compromiso de la nube. La herramienta comprometida proporcionó a los atacantes acceso a las credenciales almacenadas en la nube del desarrollador. Utilizaron estas credenciales para acceder a los sistemas backend y provocar retiradas no autorizadas en varias redes blockchain. Este caso muestra cómo el acceso obtenido a través de flujos de trabajo de desarrollo nativos de la nube puede utilizarse indebidamente para acceder a sistemas confidenciales y causar un impacto sustancial. ## 3.2. El punto de entrada: el acceso inicial proviene de rutas predecibles El acceso inicial en 2025 siguió un patrón familiar, y la mayoría de las intrusiones comenzaron a través de un conjunto concentrado de vectores bien conocidos. En la Figura 1 se muestra la distribución de esas rutas a lo largo de los últimos cinco años, destacando cómo el phishing y las vulnerabilidades del software aparecen constantemente entre los principales puntos de entrada. Aunque el equilibrio relativo entre los vectores cambia de un año a otro, la tendencia general es estable: los atacantes siguen confiando en un pequeño número de técnicas fiables para conseguir su punto de apoyo inicial. 2021 2022 2023 2024 2025 Mostrar todo **Figura 1.** Vectores de acceso iniciales (2021-2025). La metodología de recopilación de datos de Unit 42 se ha ajustado para proporcionar una mayor granularidad, reduciendo la categoría "Otros". El aumento de la granularidad también introduce nuevas categorías, como "Amenaza interna y uso indebido de relaciones y herramientas de confianza". Cuando no se dispone de datos para un año concreto, se indica con N/A. ### El phishing y las vulnerabilidades compiten por el dominio El phishing y la explotación de vulnerabilidades son los vectores de acceso inicial más comunes, y cada uno de ellos representa el **22 %** del acceso inicial en 2025 incidentes. Esta paridad existe simplemente porque ambos métodos funcionan increíblemente bien. Las campañas de phishing están logrando tasas de conversión más altas, ya que la IA ayuda a los atacantes a crear señuelos creíbles y sin errores que eluden los filtros tradicionales y atraen a los usuarios de manera más eficaz. Al mismo tiempo, la explotación de vulnerabilidades se está acelerando a medida que se amplían las superficies de ataque y la automatización permite a los adversarios buscar y explotar las debilidades más rápido de lo que los defensores pueden parchearlas. Dado que ambos vectores ofrecen una vía fiable para comprometer la seguridad, los atacantes están utilizando ambos de forma intensiva. Más allá del phishing y la explotación de vulnerabilidades, observamos tendencias importantes para los demás vectores de acceso inicial clave en el conjunto de datos de cinco años: * Las credenciales comprometidas anteriormente disminuyeron hasta el 13 % en 2025, revirtiendo el aumento de la actividad registrado en 2023 y 2024. * La actividad dentro de la categoría "Otras técnicas de ingeniería social" creció sustancialmente durante el periodo, pasando del 3 % en 2021 al 11 % en 2025, incluso después de que introdujéramos una mayor granularidad. Gran parte de este crecimiento parece estar en consonancia con tácticas de interacción directa, como las técnicas de manipulación del servicio de asistencia técnica utilizadas por grupos como Muddled Libra. * La fuerza bruta cayó del 13 % al 8 %, poniendo fin a un aumento de varios años y sugiriendo controles de identidad más estrictos en muchas organizaciones. * Los errores de configuración de IAM siguen siendo un vector de acceso inicial persistente, con una presencia entre el 1 % y el 4 % a lo largo del periodo de cinco años. ### La explotación de vulnerabilidades se basa en la oportunidad, no en la novedad Los atacantes recurren a la explotación de vulnerabilidades cuando esta les ofrece una clara ventaja operativa. El patrón observado durante cinco años muestra que los actores responden directamente a los tipos de debilidades a su alcance y al esfuerzo necesario para convertir esas debilidades en acceso. Cuando surgen problemas de gran impacto en sistemas ampliamente implementados, los operadores actúan con rapidez porque el alcance potencial es considerable y el trabajo necesario para automatizar la explotación es relativamente bajo. Este patrón refleja el pragmatismo de los atacantes. Los operadores tienden a explotar lo que sea más accesible y rentable en un momento dado. ### Entornos grandes, mayor exposición a vulnerabilidades Los datos sugieren que las empresas más grandes se enfrentan a un equilibrio diferente en cuanto al riesgo de acceso inicial: en 2025, las vulnerabilidades representaron algo más de una cuarta parte (26 %) del acceso inicial en estos entornos, en comparación con el 17 % del phishing. Este patrón indica que las empresas más grandes pueden estar reduciendo su exposición al phishing mediante un filtrado de correo electrónico más estricto, la concienciación de los usuarios y los controles de identidad. Estas medidas no eliminan el riesgo de phishing, pero probablemente limitan su eficacia en comparación con las organizaciones más pequeñas. Los entornos grandes y distribuidos con propiedad mixta, sistemas heredados y ciclos de parcheo desiguales facilitan que las debilidades explotables persistan incluso en organizaciones bien financiadas. Para las empresas de este tamaño, la propia complejidad aumenta la probabilidad de que las vulnerabilidades no se aborden, lo que explica por qué la explotación aparece con más frecuencia como vector de acceso inicial. ## 3.3. Velocidad: los ataques más rápidos son cada vez más rápidos El tiempo hasta la exfiltración, que mide la duración entre el compromiso inicial y el robo de datos confirmado, muestra una fuerte aceleración en el extremo más rápido del espectro. El cuartil más rápido de intrusiones alcanzó la exfiltración en poco más de una hora (72 minutos) en el año natural 2025, frente a las casi cinco horas (285 minutos) de 2024, como se muestra en la Figura 2. La proporción de incidentes que alcanzaron la exfiltración en menos de una hora también aumentó, pasando del 19 % en 2024 al 22 % en 2025. ![Time to exfiltrate comparison between 2024 and 2025](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/ir-report-new/images/figure-2.png) **Figura 2.** Las velocidades de ataque del primer cuartil aumentaron al comparar el año natural 2024 con el año natural 2025. En todo el conjunto de datos, el tiempo medio hasta la exfiltración (MTTE) fue de dos días. Aunque es más largo que los incidentes más rápidos, incluso la mediana pone de relieve la rapidez con la que los atacantes pueden acceder y extraer datos una vez dentro del entorno. Los defensores deben estar preparados para intrusiones que progresan desde el compromiso hasta la exfiltración en cuestión de minutos u horas, así como para operaciones más lentas y metódicas que se desarrollan a lo largo de días y que implican un reconocimiento más profundo y una persistencia duradera. ## 3.4. El impacto: extorsión más allá del cifrado El cifrado apareció en el 78 % de los casos de extorsión en 2025, lo que supone un fuerte descenso con respecto a los niveles cercanos o superiores al 90 % registrados entre 2021 y 2024 que se muestran en la Tabla 2. Esto representa el cambio interanual más pronunciado en el conjunto de datos y muestra que el ransomware tradicional no ha desaparecido, pero ya no está presente de forma uniforme en las operaciones de extorsión. | Táctica de extorsión | 2021 | 2022 | 2023 | 2024 | 2025 | |----------------------|------|------|------|------|------| | Cifrado | 96 % | 90 % | 89 % | 92 % | 78 % | | Robo de datos | 53 % | 59 % | 53 % | 60 % | 57 % | | Acoso | 5 % | 9 % | 8 % | 13 % | 10 % | ***Tabla 2.** Cómo han cambiado las tácticas de extorsión entre 2021 y 2025.* La reducción del cifrado no se corresponde con un aumento de otras tácticas individuales. En cambio, refleja que los atacantes consideran cada vez más el cifrado como algo opcional y no esencial. Varias intrusiones en 2025 continuaron con la extorsión incluso cuando las víctimas conservaron el acceso a sus sistemas. En estos casos, la exposición de datos, la presión directa o ambas cosas fueron suficientes para generar influencia sin necesidad de bloquear archivos. El robo de datos siguió siendo una característica constante de la actividad de extorsión, apareciendo en más de la mitad de los casos año tras año. Los actores de amenazas utilizaron con frecuencia la amenaza de exposición en sitios de filtración y, en algunos casos, la reventa de datos robados, para presionar a las víctimas independientemente de si se había producido el cifrado. El acoso, aunque menos habitual, siguió siendo una táctica persistente. Estos comportamientos incluían ponerse en contacto directamente con los empleados, amenazar con publicar información interna o afirmar que venderían los datos de los clientes a otros actores si las víctimas no pagaban. Algunos grupos intensificaron la presión poniéndose en contacto con clientes o socios, lo que amplificó la tensión operativa y reputacional, incluso cuando los sistemas seguían siendo accesibles. Estos patrones muestran que la extorsión se ha desvinculado del cifrado. Aunque el cifrado sigue siendo importante, los atacantes disponen ahora de múltiples formas confiables de crear influencia. Esto amplía el abanico de condiciones en las que puede producirse la extorsión. También refuerza la necesidad de visibilidad, respuesta rápida y prácticas sólidas de gestión de datos, independientemente de si los atacantes utilizan ransomware. ### El robo de datos sigue siendo una ventaja duradera La economía del rescate ayuda a explicar por qué los atacantes continúan llevando a cabo estas operaciones. En la Tabla 3 se muestra que la mediana de las demandas iniciales aumentó de $1.25 millones en 2024 a $1.5 millones en 2025, y que la mediana de los pagos también aumentó. | | 2024 | 2025 | |----------------------------------------|---------------|--------------| | Demandas iniciales promedio de rescate | 1.25 millones | 1.5 millones | | Pagos promedio de rescate. | $267,500 | $500,000 | ***Tabla 3.** El ransomware sigue siendo una opción lucrativa para los atacantes.* En comparación con los ingresos anuales percibidos (PAR), estas demandas representaron el 0,55 % de los PAR, lo que supone un descenso con respecto al 2 % del año anterior. Muchos grupos de ransomware parecen estar investigando la capacidad de pago de las víctimas y utilizando esta información para calibrar sus demandas. Solicitar un porcentaje menor de los PAR podría reflejar una estrategia destinada a aumentar la probabilidad de pago. Entre las organizaciones que optaron por pagar, la mediana de los pagos aumentó de 267 500 a 500 000 dólares, aunque los pagos como porcentaje de los PAR descendieron del 0,6 % al 0,26 %. La diferencia entre las demandas iniciales y los pagos finales muestra el margen de negociación que suelen tener las víctimas y subraya el valor de una negociación estructurada para limitar la exposición financiera. La decisión de pagar sigue dependiendo en gran medida de la situación, y está influenciada por el impacto operativo, las consideraciones normativas, los requisitos legales y las necesidades de continuidad del negocio. En los 2025 casos en los que se produjeron negociaciones, la reducción media entre la demanda inicial y el pago final aumentó del 53 % al 61 %. Esto demuestra la frecuencia con la que los negociadores experimentados pueden reducir los costes, incluso cuando la tendencia general de los precios de los atacantes es al alza. Muchos grupos de ransomware operan ahora con estructuras similares a las de las empresas, con funciones definidas, programas de afiliados y guías de negociación repetibles. Algunos cultivan la "reputación de la marca" a través de comunicaciones en la web oscura, presentándose como contrapartes predecibles o profesionales. El mantenimiento de la marca se extiende al cumplimiento de las promesas: en nuestra base de datos de 2025, los actores de amenazas cumplieron sus compromisos (como proporcionar claves de descifrado o supuestamente eliminar los datos robados) en el 68 % de los casos en los que hicieron una promesa. Para los defensores, estos patrones reconocibles pueden suponer una ventaja, aunque nunca eliminan el riesgo de interactuar con los autores de los delitos. Las prácticas de recuperación también influyen en los resultados de la extorsión. Alrededor del 41 % de las víctimas pudieron restaurar los sistemas a partir de copias de seguridad sin necesidad de pagar, lo que redujo el impacto operativo del cifrado, pero no eliminó el tiempo de inactividad. Incluso con la recuperación, muchas organizaciones tuvieron que enfrentarse a la reconstrucción de sistemas, trabajos de contención y otros retrasos antes de volver a la normalidad. La restauración también es frágil: en el 26 % de los casos de extorsión, los atacantes afectaron a las copias de seguridad, lo que supuso una mayor interrupción. Cuando el cifrado se mitiga mediante la restauración de las copias de seguridad, o cuando estas fallan por completo, la amenaza de exposición sigue presionando a las víctimas, lo que garantiza que el robo de datos siga siendo fundamental para la actividad de extorsión. 4. Recomendaciones para los defensores -------------------------------------- En esta sección se identifican las debilidades sistémicas que permiten los ataques y las medidas prácticas necesarias para detenerlos. Al abordar las causas fundamentales en lugar de limitarse a sus síntomas, las organizaciones pueden reforzar sus defensas para hacer frente tanto a las amenazas comunes como a las emergentes. ## 4.1. Factores comunes que contribuyen al éxito de los ataques El éxito de los atacantes rara vez se debe a exploits de día cero. En los incidentes a los que respondimos en 2025, descubrimos que, **en más del 90 % de los casos, las brechas evitables en la cobertura y la aplicación inconsistente de los controles contribuyeron directamente a la intrusión.** Estas brechas determinan la facilidad con la que un atacante obtiene el acceso inicial, la rapidez con la que se mueve lateralmente y si los defensores pueden detectarlo y responder a tiempo. A lo largo de las investigaciones de este año, aparecieron repetidamente tres condiciones sistémicas. ### 1. Lagunas de visibilidad: la falta de contexto retrasa la detección. Muchas organizaciones no aprovechan la telemetría necesaria para observar el comportamiento de los atacantes en las primeras fases. Los indicadores críticos del acceso inicial y la actividad temprana de los atacantes suelen pasar desapercibidos porque el SOC no ha puesto en práctica las señales en las capas de endpoints, redes, nube y SaaS. El resultado es una falta de contexto: los defensores pueden ver eventos individuales, pero carecen de la correlación necesaria para reconocer una intrusión activa. Esta fragmentación obliga a los responsables de la respuesta a reconstruir manualmente los ataques a partir de herramientas dispares, lo que genera retrasos que los atacantes aprovechan. En el 87 % de los incidentes, los investigadores de Unit 42 revisaron las pruebas de dos o más fuentes distintas para establecer lo que había sucedido, y en los casos más complejos se llegaron a utilizar hasta 10. La falta de visibilidad unificada ralentizó constantemente la detección, lo que permitió a los adversarios iniciar movimientos laterales antes de que los defensores pudieran ver el panorama completo. ### 2. Complejidad del entorno: la inconsistencia crea el camino de menor resistencia Las bases de referencia de seguridad rara vez se aplican de forma universal. Con el tiempo, la deriva del entorno, impulsada por los sistemas heredados, la adopción de tecnología o las actividades de fusión y adquisición, dificulta la aplicación de una norma coherente en toda la empresa. En múltiples investigaciones, controles críticos como la protección de los endpoints se implementaron por completo en una unidad de negocio, pero faltaban o estaban degradados en otra. Esta inconsistencia crea un camino de menor resistencia. Más del 90 % de las violaciones de datos se produjeron por errores de configuración o lagunas en la cobertura de seguridad, más que por exploits novedosos. ### 3. Identidad: la confianza excesiva conduce al movimiento lateral A lo largo de nuestras investigaciones, las debilidades en materia de identidad convirtieron repetidamente un punto de apoyo inicial en un acceso más amplio. El problema fundamental era a menudo la confianza excesiva: privilegios y vías de acceso demasiado permisivos o que permanecían vigentes mucho tiempo después de que fueran necesarios. Los atacantes aumentaron sus privilegios haciendo un uso indebido de roles heredados que no se habían retirado y cuentas de servicio con permisos excesivos. En lugar de entrar por la fuerza, avanzaron utilizando accesos válidos en los que la organización había depositado demasiada confianza. Estos fallos reflejan una deriva de la identidad. A medida que se acumulan los permisos y persisten las excepciones, los intrusos encuentran menos barreras. Casi el 90 % de los incidentes se remontan a un elemento relacionado con la identidad como fuente crítica de la investigación o vector de ataque principal. ## 4.2. Recomendaciones para los defensores Las recomendaciones que siguen se centran en medidas prácticas para abordar las condiciones sistémicas descritas anteriormente. ### 1. Capacitar a las operaciones de seguridad para detectar y responder más rápidamente Dado que los ataques más rápidos ahora extraen datos en aproximadamente una hora, las operaciones de seguridad deben moverse a la velocidad de las máquinas. Esto se consigue dotando al SOC de una visibilidad completa de toda la empresa, inteligencia artificial para identificar la señal en el ruido y automatización para impulsar una respuesta y una corrección inmediatas. La adopción de estas seis capacidades situará a su SOC en la mejor posición para tener éxito: * **Ingeste todos los datos de seguridad relevantes.** Los atacantes no operan en silos, pero los defensores a menudo los supervisan. En 2025, las brechas de visibilidad, especialmente en las capas de SaaS, identidad en la nube y automatización, fueron uno de los principales factores que contribuyeron al éxito de los atacantes. A menudo existía telemetría crítica, pero permanecía atrapada en sistemas dispares, lo que impedía a los defensores correlacionar los cambios de identidad con los resultados de la automatización o los artefactos almacenados en el navegador, como los tokens de sesión. Para detectar las intrusiones modernas, las organizaciones deben recopilar y normalizar las señales de los proveedores de identidad, las plataformas en la nube y las aplicaciones SaaS en una vista unificada. Esta consolidación cierra los puntos débiles que explotan los atacantes, lo que permite a los defensores identificar tempranamente las rutas de escalada. Ya sea que se utilice la detección basada en reglas o la inteligencia artificial, la calidad de la información depende totalmente de la integridad de los datos que la alimentan. * **Prevenga, detecte y priorice las amenazas con capacidades impulsadas por IA.** Los altos volúmenes de alertas y las herramientas fragmentadas permiten a los atacantes ocultarse al distribuir su actividad entre distintos sistemas. Sin correlación, estas acciones parecen no estar relacionadas, lo que retrasa la escalada. Las capacidades impulsadas por IA son esenciales para unir estas señales dispares en una vista operativa unificada. El análisis del comportamiento ayuda a detectar anomalías sutiles, como el uso inusual de tokens o el movimiento lateral a través de la automatización de la nube, que la detección basada en reglas a menudo no logra detectar. La IA refuerza la defensa al correlacionar eventos entre las capas de identidad, endpoints, nube y red, dando prioridad a los incidentes de alta fidelidad sobre el ruido de fondo. Esto permite a los equipos de seguridad distinguir instantáneamente los ataques coordinados de la actividad rutinaria, lo que garantiza que los analistas centren sus esfuerzos en las amenazas que suponen un mayor riesgo en lugar de perseguir falsos positivos. * **Habilite la respuesta a amenazas en tiempo real con la automatización.** Los retrasos en la contención suelen deberse a una falta de claridad en la responsabilidad y a pasos de validación manuales que no pueden seguir el ritmo de la automatización de los atacantes. Una respuesta eficaz requiere asignar una autoridad explícita para las acciones de contención automatizadas, como revocar tokens o aislar cargas de trabajo, de modo que la ejecución pueda continuar sin vacilaciones. Al sustituir el criterio ad hoc por manuales estandarizados y validados, las organizaciones se aseguran de que la respuesta siga una secuencia auditable. Sin embargo, para hacer frente al ritmo de las amenazas modernas, es necesario implementar la IA agencial como acelerador de defensa definitivo. Estos sistemas autónomos investigan dinámicamente las alertas complejas, correlacionando datos entre dominios a la velocidad de una máquina para obtener una visión completa. Una vez validados, los agentes están autorizados a ejecutar acciones de contención dinámicas y quirúrgicas, desde aislar los sistemas afectados mediante microsegmentación hasta revocar automáticamente las credenciales comprometidas. Este enfoque disciplinado e inteligente reduce drásticamente la deriva operativa, limita el tiempo de permanencia de los atacantes y evita que los compromisos aislados se conviertan en incidentes más amplios. * **Transición de la seguridad reactiva a la proactiva.** Para pasar de la defensa reactiva, las organizaciones deben ir más allá de las pruebas de penetración tradicionales y pasar a las pruebas adversarias continuas. Las auditorías puntuales rara vez captan la interacción entre la deriva de identidades y los errores de configuración de la nube que los atacantes aprovechan en las intrusiones del mundo real. Los defensores deben validar el rendimiento de los controles en condiciones realistas, asegurándose de que los canales de telemetría y los flujos de trabajo de respuesta funcionan según lo previsto. La proactividad se extiende a la recuperación. Las organizaciones resilientes verifican que los sistemas estén libres de accesos residuales, como credenciales comprometidas o configuraciones alteradas, antes de restaurar los servicios. Asegurarse de que la corrección aborde las causas fundamentales, en lugar de limitarse a restaurar instantáneas obsoletas, ayuda a prevenir una rápida reinfección y favorece la resiliencia a largo plazo. * **Mejore el SOC para obtener resultados de alto rendimiento.** Durante los incidentes activos, una contención inconsistente o una propiedad poco clara crean oportunidades para que los atacantes restablezcan el acceso. Los SOC de alto rendimiento eliminan esta variabilidad al garantizar que las medidas de respuesta se apliquen de manera uniforme, independientemente del analista o la hora del día. La coherencia bajo presión es fundamental, ya que evita que los compromisos aislados se conviertan en crisis más amplias. Para lograrlo, es necesario salvar las barreras operativas entre los departamentos de seguridad, TI y DevOps. Los manuales de procedimientos deben reflejar cómo funcionan los sistemas en la actualidad, en lugar de cómo se diseñaron originalmente, de modo que las acciones automatizadas se ajusten a la lógica empresarial real. Otorgar a los analistas una mayor responsabilidad, como la respuesta integral a incidentes en lugar de la simple clasificación de alertas, mejora la retención, aumenta la versatilidad e impulsa resultados empresariales medibles. * **Refuerce su equipo con un contratista de IR.** El contratista adecuado amplía sus capacidades más allá de la respuesta ante emergencias. Para mantenerse a la vanguardia, las organizaciones deben probar y validar los controles frente a los comportamientos específicos que utilizan los actores de amenazas en el mundo real. Las evaluaciones periódicas de la seguridad ofensiva, la seguridad de la IA, los procesos del SOC y la seguridad en la nube ayudan a confirmar que los canales de telemetría y los flujos de trabajo de respuesta funcionan según lo previsto en condiciones de ataque realistas. Su socio de retención de IR debe proporcionar un acceso rápido a especialistas para realizar comprobaciones proactivas de preparación, ingeniería de detección y validación, lo que garantiza que las mejoras defensivas se mantengan a lo largo del tiempo. Al combinar las pruebas continuas con la experiencia retenida, las organizaciones mejoran su resiliencia. Al alinear su SOC con estos principios básicos, transforma su defensa en un motor de respuesta de alta velocidad capaz de superar a los adversarios y detener las amenazas antes de que se intensifiquen. ### 2. Adopte el modelo Confianza Cero para limitar el área de impacto El modelo Confianza Cero es una necesidad estratégica en un entorno en el que la identidad se ha convertido en la principal superficie de ataque. El objetivo es eliminar las relaciones de confianza implícitas entre usuarios, dispositivos y aplicaciones, y validar continuamente cada etapa de una interacción digital. En realidad, lograr el modelo Confianza Cero es complejo. Sin embargo, incluso los pequeños avances reducirán la superficie de ataque, limitarán el movimiento lateral y minimizarán el impacto de cualquier acceso inicial a su entorno. Al eliminar la suposición de seguridad dentro del perímetro, los defensores obligan a los atacantes a esforzarse más por cada centímetro de acceso, lo que ralentiza su velocidad y crea más oportunidades para la detección. * **Verifique continuamente los usuarios, los dispositivos y las aplicaciones.** Los atacantes suelen aprovechar la confianza estática que persiste después de un inicio de sesión inicial. Una vez dentro, utilizan tokens de sesión robados o credenciales válidas para hacerse pasar por usuarios legítimos, a menudo eludiendo por completo los controles perimetrales. Los puntos de control estáticos en la puerta principal ya no son suficientes. La verificación continua trata la confianza como algo dinámico, revisando las decisiones a medida que cambian las condiciones durante una sesión. La validación del contexto de identidad, el estado del dispositivo y el comportamiento de la aplicación en tiempo real permite a las organizaciones detectar cuándo se secuestra una sesión legítima o cuándo el comportamiento del usuario se desvía de la norma. Como resultado, las cuentas o dispositivos comprometidos solo siguen siendo útiles para los atacantes durante un periodo limitado, lo que reduce las oportunidades de ampliar el acceso o manipular los datos. * **Aplique el principio del mínimo privilegio para limitar los movimientos de los atacantes.** Los permisos excesivos actúan como un multiplicador de fuerza para los atacantes. En muchos incidentes ocurridos en 2025, los intrusos eludieron los controles internos aprovechando la deriva de identidades, utilizando privilegios acumulados y roles no retirados que las organizaciones no eliminaron. En lugar de recurrir a exploits complejos, se movieron lateralmente a través de rutas de acceso válidas pero sobreprovisionadas. La aplicación del privilegio mínimo reduce esta superficie de ataque al limitar a los usuarios, servicios y aplicaciones al acceso necesario para su función. Esto debe extenderse más allá de los usuarios humanos para incluir las identidades de las máquinas y las cuentas de servicio, que a menudo conservan permisos amplios y mal supervisados. La eliminación de derechos innecesarios elimina las rutas de acceso directas en las que se basan los atacantes, lo que les obliga a utilizar técnicas más visibles y difíciles que son más fáciles de detectar para los defensores. * **Aplique una inspección coherente en el tráfico confiable y no confiable.** Aplique una inspección coherente en el tráfico confiable y no confiable. Los atacantes saben que, aunque el perímetro está protegido, el tráfico interno "este-oeste" entre las cargas de trabajo a menudo pasa sin inspección. Aprovechan esta confianza utilizando conexiones internas cifradas para moverse lateralmente y almacenar datos sin activar alarmas. Para lograr un análisis de amenazas coherente y generalizado, las organizaciones deben consolidar toda la seguridad de la red, la nube y el servicio de acceso seguro (SASE) en una única plataforma unificada. Esta estructura unificada ofrece una inspección coherente de la capa 7 en todas partes, aplicando automáticamente la política a través de un único plano de gestión. Esta consolidación permite el cambio estratégico hacia servicios de seguridad avanzados prestados en la nube. Este cambio permite el análisis en línea y en tiempo real de todo el tráfico, incluyendo el descifrado y la inspección cruciales del tráfico que se mueve entre las cargas de trabajo internas. Esta capacidad elimina los puntos donde se esconden los atacantes, deteniendo de forma proactiva el phishing desconocido, el malware de día cero y la actividad C2 evasiva. * **Controle el acceso y el movimiento de los datos para reducir el impacto.** Los resultados más perjudiciales en muchos incidentes no se producen en el momento inicial del ataque, sino durante el acceso posterior a los datos, su preparación y su exfiltración. Los atacantes suelen buscar repositorios con controles débiles o flujos mal supervisados para recopilar silenciosamente información confidencial antes de ser detectados. Una gobernanza más estricta sobre cómo se accede, se comparte y se transfiere la información reduce estas oportunidades al limitar dónde puede moverse la información confidencial y en qué condiciones. Cuando las vías de datos se controlan estrictamente y se supervisan de forma constante, los atacantes tienen menos opciones para preparar o extraer activos valiosos, lo que reduce la escala y la gravedad de las pérdidas potenciales, incluso cuando se produce una vulneración. Al eliminar sistemáticamente la confianza implícita, se priva a los atacantes de la movilidad en la que se basan, lo que garantiza que un único punto de vulneración dé lugar a un incidente contenido en lugar de a una crisis que afecte a toda la empresa. ### 3. Detenga los ataques de identidad con una gestión de identidades y accesos más sólida La identidad es ahora el perímetro de seguridad, pero con demasiada frecuencia sigue estando mal protegida. Las debilidades de identidad fueron un factor determinante en más de la mitad de las intrusiones investigadas en 2025, principalmente porque los almacenes de identidades se expandieron más rápido que los controles destinados a gobernarlos. Los atacantes se movían constantemente a través de las brechas creadas por esta deriva de la gobernanza, aprovechando los permisos heredados y las cuentas de servicio no supervisadas para eludir las defensas del perímetro. Para detener esto, las organizaciones deben gestionar la identidad no como una lista estática de credenciales, sino como un activo operativo dinámico a lo largo de todo el ciclo de vida. * **Centralice la gestión de identidades para personas y máquinas.** No se puede controlar lo que no se ve. Cuando los datos de identidad están fragmentados entre directorios heredados, proveedores de nube y entornos SaaS, los atacantes aprovechan los puntos débiles resultantes. Centralizar las identidades de usuarios y máquinas en directorios autorizados simplifica la autenticación y elimina las rutas de acceso ocultas que son difíciles de supervisar de forma coherente. Esta consolidación también debe incluir integraciones de terceros y conectores API para que todas las entidades que solicitan acceso, ya sean personas, cuentas de servicio o agentes de IA, sean visibles para los equipos de seguridad. Con un plano de control unificado, la IA defensiva puede correlacionar las anomalías de inicio de sesión con actividades sospechosas, convirtiendo la identidad en una señal operativa activa en lugar de una lista estática de credenciales. * **Combata la deriva de la gobernanza con una gestión continua del ciclo de vida.** La deriva de la gobernanza, en la que los cambios operativos avanzan más rápido que los controles diseñados para guiarlos, siguió siendo un factor importante que favoreció a los atacantes. Las transiciones de roles, los ciclos de implementación rápidos y los atajos cotidianos ampliaron la brecha entre la política escrita y el acceso real. Los permisos que tenían las herramientas de flujo de trabajo y los conectores de servicios a menudo superaban lo que pretendía la política. Esto creó vías de escalada que los atacantes explotaron a través de permisos heredados y cuentas de servicio no supervisadas. Tratar la identidad como un ciclo de vida, limitando la automatización a las necesidades actuales y retirando el acceso excesivo con el tiempo, ayuda a cerrar estas brechas y a restringir el movimiento de los atacantes después del acceso inicial. * **Detecte y responda a las amenazas basadas en la identidad.** La IA defensiva funciona con mayor eficacia en entornos en los que las identidades se gestionan como activos operativos en lugar de credenciales estáticas. En nuestras investigaciones, las organizaciones con bases sólidas en materia de identidad mostraron una relación más temprana entre las anomalías de inicio de sesión, la actividad de automatización y los eventos de identidad periféricos, lo que contribuyó a una contención más rápida. Cuando la gobernanza era sólida, los procesos de detección producían indicadores más claros y fiables que ayudaban a los equipos a identificar antes los comportamientos de escalada. Por el contrario, una gobernanza débil creaba ruido que ocultaba estas señales. Las revisiones periódicas mantienen los permisos alineados con los requisitos reales, lo que mejora la precisión de las señales de detección y garantiza que los controles asistidos por IA funcionen de forma eficaz. * **Asegure la integridad de la IA y la automatización.** A medida que las organizaciones incorporan agentes de IA y flujos de trabajo automatizados en sus procesos centrales, estos sistemas se convierten en objetivos atractivos para la manipulación. En nuestras investigaciones, observamos cuentas de asistentes implementadas con un amplio acceso predeterminado y herramientas de automatización que se ejecutaban sin validación de integridad. Para evitar que estas herramientas se conviertan en vectores de ataque, los equipos de seguridad deben aplicar el mismo rigor de gobernanza a los sistemas de IA que a los usuarios humanos. Esto incluye validar explícitamente los pasos de automatización antes de que entren en producción, aplicar controles de integridad a los flujos de trabajo habilitados para IA y garantizar que las cuentas de asistente estén protegidas contra el uso indebido. Al tratar la identidad como un sistema operativo dinámico en lugar de un directorio estático, se eliminan las vías ocultas en las que se basan los atacantes y se permite a los equipos de seguridad detectar el uso indebido en el momento en que se produce. ### 4. Proteja el ciclo de vida de las aplicaciones, desde Code to Cloud Proteger la empresa moderna requiere algo más que asegurar la infraestructura. Requiere asegurar la fábrica que la construye. En 2025, los atacantes se centraron cada vez más en la cadena de suministro de software y las API en la nube para eludir los perímetros tradicionales, inyectando vulnerabilidades en el código o aprovechando las integraciones débiles antes de que llegaran a la fase de producción. Para contrarrestar esto, las organizaciones deben ampliar las medidas de seguridad desde las primeras etapas del desarrollo hasta el tiempo de ejecución, tratando los modelos de IA, las canalizaciones de compilación y el código de terceros con el mismo rigor que los sistemas internos. * **Evite que los problemas de seguridad lleguen a la fase de producción.** La seguridad debe funcionar al mismo ritmo que el desarrollo. La integración de medidas de protección en DevOps y en los procesos de integración e implementación continuos (CI/CD) ayuda a identificar y corregir vulnerabilidades en el código personalizado, los componentes de código abierto y las configuraciones de IA antes de su implementación. El mismo enfoque se aplica a los sistemas de IA, donde la evaluación temprana de la seguridad y la configuración del modelo reduce el riesgo posterior. El refuerzo de las herramientas de desarrollo y la gestión de las dependencias de código abierto ayudan a eliminar los puntos débiles que los atacantes aprovechan para ganarse la confianza dentro de los flujos de trabajo empresariales. * **Proteja el software y la cadena de suministro de IA.** Aunque no es el vector de ataque más común, los compromisos de la cadena de suministro tienen el mayor impacto, especialmente para organizaciones que, por lo demás, son maduras. Las debilidades en los sistemas de compilación, los servicios de integración y los repositorios relacionados con la IA permiten a los atacantes llegar a entornos descendentes sin interactuar nunca con un firewall. Para reducir esta exposición es necesario realizar estrictos controles de procedencia. Los entornos de compilación y los procesos de implementación deben contar con controles de identidad y protecciones de integridad claros. Las bibliotecas de software externas, los conectores API y los componentes de IA deben evaluarse en cuanto a patrones de acceso y prácticas de actualización antes de su adopción. Una gobernanza eficaz de la cadena de suministro proporciona a los procesos de detección una base de referencia confiable, lo que facilita la identificación de cuándo una dependencia de confianza comienza a comportarse de forma inesperada. * **Identifique y bloquee los ataques en tiempo de ejecución.** Una vez que las aplicaciones están en funcionamiento, la atención se centra en la contención. Los atacantes suelen intentar persistir y ampliar el acceso haciendo un uso indebido de identidades legítimas en la nube, API o permisos de carga de trabajo. La detección en tiempo real, combinada con controles de tiempo de ejecución coherentes, como la supervisión del comportamiento, los límites claros de la red y las restricciones a las interacciones inesperadas con las API, ayuda a frustrar estas tácticas. Las mismas protecciones deben extenderse a los entornos de alojamiento de IA, donde la supervisión de la deriva de los modelos y el acceso no autorizado a los datos limita los movimientos de los atacantes incluso después del compromiso inicial. * **Automatice la detección y la respuesta en la nube.** En la nube, la velocidad es la única métrica que importa. Los retrasos en el aislamiento de las cargas de trabajo afectadas o en la revocación de las identidades utilizadas indebidamente dan a los atacantes el margen que necesitan para escalar. La automatización permite a los equipos de SecOps detectar y responder a las amenazas basadas en la nube de forma continua, utilizando controles nativos de la nube para contener los incidentes rápidamente. Acciones como aislar los contenedores comprometidos o revocar los tokens de sesión sospechosos ayudan a evitar que los problemas localizados se conviertan en interrupciones más amplias o en pérdidas de datos. * **Cree una cultura de IA y desarrollo seguros.** La IA es ahora un activo operativo, no solo una herramienta. A medida que los asistentes y las indicaciones automatizadas se integran en los flujos de trabajo diarios, introducen riesgos de comportamiento que los controles técnicos por sí solos no pueden resolver. Una cultura de seguridad sólida trata los sistemas de IA con la misma disciplina que las infraestructuras críticas. Esto incluye revisar cómo se utilizan los asistentes, evitar la exposición de datos confidenciales en las indicaciones y validar el código generado por la IA. Cuando los equipos comprenden que el juicio humano sigue siendo fundamental para el uso eficaz de la IA, los controles de gobernanza se refuerzan en lugar de eludirse, lo que garantiza que el impulso de la automatización no supere la capacidad de supervisarla. Al integrar la seguridad en la estructura de sus entornos de desarrollo y tiempo de ejecución, contribuye a garantizar que la velocidad de la IA y la innovación en la nube impulsen el crecimiento empresarial en lugar de suponer un riesgo sistémico. ### 5. Proteja la superficie de ataque y la interfaz humana Para proteger la organización, ahora es necesario mirar más allá de los ordenadores portátiles corporativos. La superficie de ataque moderna se ha ampliado para incluir dispositivos de contratistas no gestionados, activos en la nube de acceso público y el propio navegador web, que se ha convertido en el espacio de trabajo principal de la empresa. Como defensores, nos enfrentamos a un doble reto. Debemos gestionar rigurosamente las exposiciones externas que los atacantes escanean constantemente, al tiempo que protegemos la interfaz humana donde los usuarios interactúan con los datos, la IA y la web abierta. Para proteger este entorno en expansión, la seguridad debe ampliar su alcance desde el borde externo hasta la sesión del navegador. * **Reduzca la superficie de ataque con una gestión activa de la exposición.** Unit 42 descubrió que las vulnerabilidades del software representaron el 22 % del acceso inicial a los incidentes de este año, lo que subraya la urgente necesidad de ir más allá del simple descubrimiento y pasar a la priorización activa de los riesgos. Una gestión eficaz de la exposición cubre esta brecha mediante la creación de un inventario completo y continuo de la huella digital, incluida la infraestructura oculta y las herramientas de IA no autorizadas que los escáneres tradicionales pasan por alto. Es fundamental que esta estrategia filtre el ruido, utilizando la inteligencia de amenazas para priorizar solo aquellos activos que están siendo objeto de ataques activos (como [los KEV de la CISA](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)) y que carecen de controles compensatorios. Al centrar los recursos limitados en los riesgos explotables y críticos para el negocio, los equipos pueden cerrar la ventana de oportunidad antes de que un atacante encuentre una puerta abierta. * **Proteja la interfaz humana.** El navegador es el nuevo endpoint y el nuevo escritorio corporativo. Es aquí donde los empleados acceden a los datos, donde los contratistas realizan su trabajo y, lamentablemente, donde los ataques de ingeniería social como el phishing son más efectivos. Para proteger esta interfaz se necesita un navegador seguro de nivel empresarial que establezca un espacio de trabajo corporativo totalmente aislado y protegido tanto para dispositivos gestionados como no gestionados. Esta potente capa aplica controles de datos en tiempo real, independientemente del hardware subyacente. Puede desactivar la función de copiar y pegar en páginas confidenciales, impedir la descarga de archivos de fuentes desconocidas e identificar sitios de phishing avanzados que eluden los filtros de correo electrónico estándar. Al reforzar el navegador, las organizaciones obtienen una visibilidad granular del uso de la IA en la sombra y evitan directamente que los datos corporativos confidenciales se filtren a herramientas GenAI no autorizadas. * **Acceso seguro de terceros y no gestionado.** El modelo rígido de enviar ordenadores portátiles corporativos a todos los contratistas o objetivos de adquisición ya no es sostenible ni seguro. Las organizaciones necesitan una forma de aplicar el acceso de confianza cero en dispositivos no gestionados sin el coste y la complejidad de las soluciones de infraestructura de escritorio virtual (VDI) heredadas. Al proteger el espacio de trabajo a través del navegador, las empresas pueden conceder a los contratistas y a los usuarios de BYOD un acceso seguro a las aplicaciones corporativas, al tiempo que mantienen los datos empresariales estrictamente aislados de los entornos personales. Este enfoque acelera la integración de fusiones y adquisiciones, así como la incorporación de contratistas, al tiempo que garantiza que un dispositivo personal comprometido no pueda utilizarse como puerta de entrada a la red corporativa. * **Recopile telemetría unificada y automatice la respuesta.** Para los endpoints que gestiona, los datos son el combustible para la defensa. La detección de ataques sofisticados depende de la recopilación de telemetría de alta fidelidad en todos los procesos, conexiones de red y comportamientos de identidad, y de la unificación de esos datos en una plataforma central. Cuando estos datos son analizados por motores impulsados por IA, las anomalías que serían invisibles de forma aislada se convierten en claros indicadores de vulneración. Sin embargo, la detección es solo la mitad de la batalla. Para minimizar los daños, los mecanismos de respuesta deben automatizarse. Los equipos de seguridad deben estar capacitados para aislar los endpoints comprometidos, iniciar análisis forenses y remediar las amenazas a la velocidad de la máquina, asegurando que una infección localizada no se convierta en una brecha sistémica. Al proteger el navegador como espacio de trabajo principal y gestionar rigurosamente la superficie de ataque externa, protege a los usuarios y activos que los controles tradicionales de los endpoints ya no pueden alcanzar. 5. Apéndice ----------- Hemos organizado los datos de esta sección en tres dimensiones, lo que proporciona a los defensores una visión más clara de los patrones que hemos observado en 2025. En primer lugar, describimos las técnicas MITRE ATT\&CK ^®^ más estrechamente relacionadas con cada táctica. A continuación, presentamos perspectivas regionales y sectoriales que muestran cómo varían los tipos de investigación según la geografía y el sector. ## 5.1 Resumen de las técnicas MITRE observadas por táctica La siguiente serie de gráficos (figuras 3-14) muestra las técnicas MITRE ATT\&CK ^®^ que observamos en relación con tácticas específicas. Tenga en cuenta que los porcentajes mostrados representan la prevalencia de cada técnica en comparación con los demás tipos de técnicas identificadas para cada táctica respectiva. Estos porcentajes no representan la frecuencia con la que las técnicas aparecieron en los casos (consulte la versión del sitio web para explorar los datos sobre técnicas y casos únicos). Seleccionar datos * Acceso inicial * Descubrimiento * Ejecución * Persistencia * Elevación de privilegios * Evasión de defensa * Acceso a credenciales * Movimiento lateral * Colección * Mando y control * Exfiltración * Impacto Acceso inicial \*\*Figura 3:\*\*Prevalencia relativa de las técnicas observadas en relación con la táctica de acceso inicial. ## 5.2 Tipo de investigación por región Las figuras 15-17 ofrecen una visión regional y sectorial de las investigaciones gestionadas por Unit 42 durante 2025. Muestran cómo varían los tipos de incidentes en Norteamérica, EMEA y Asia-Pacífico, junto con un desglose de las categorías de investigación más comunes dentro de los sectores más representados en nuestros datos. Esta información ayudará a los líderes a comprender dónde se concentra la actividad y cómo varía la exposición entre sectores y geografías. Los datos geográficos ponen de relieve las diferencias en los tipos de investigación a nivel regional, mientras que los gráficos por sector muestran patrones claros en la forma en que la actividad de las amenazas se alinea con las operaciones y las pilas tecnológicas específicas de cada sector. La alta tecnología, la fabricación, los servicios financieros y la sanidad presentan combinaciones distintas de tipos de intrusión, lo que refleja la variación en la superficie de ataque, la arquitectura de identidad y la madurez de la nube. En conjunto, estas perspectivas ofrecen a los responsables de seguridad una imagen más clara de dónde son más activas las amenazas y cómo el contexto operativo configura las intrusiones que investiga Unit 42. Seleccionar datos * América del Norte * Europa, Oriente Medio y África * Región Asia-Pacífico América del Norte \*\*Figura 15:\*\*Tipo de investigación por región: Norteamérica. ## 5.3 Tipo de investigación por sector Las figuras 18-24 que figuran a continuación muestran un desglose de los principales tipos de investigación asociados a los sectores más representados en nuestros datos de respuesta a incidentes. Seleccionar datos * Tecnología avanzada * Fabricación * Servicios profesionales y legales * Comercio mayorista y minorista * Servicios financieros * Gobierno estatal y local * Atención de salud Tecnología avanzada \*\*Figura 19:\*\*Tipo de investigación por industria: Tecnología avanzada. 6. Metodología -------------- Los datos para este informe se obtuvieron de más de 750 casos a los que Unit 42 respondió entre el 1 de octubre de 2024 y el 30 de septiembre de 2025, con comparaciones con métricas de datos de casos anteriores que se remontan a 2021. Nuestros clientes abarcaban desde pequeñas organizaciones con menos de 50 empleados hasta empresas de la lista Fortune 500, Global 2000 y organizaciones gubernamentales con más de 100 000 empleados. Las organizaciones afectadas tenían su sede en más de 50 países Alrededor del 65 % de las organizaciones afectadas en estos casos tenían su sede en Estados Unidos. Los casos relacionados con organizaciones con sede en Europa, Oriente Medio y Asia-Pacífico constituyeron el 35 % restante del trabajo. Los ataques tuvieron con frecuencia un impacto más allá de las ubicaciones donde las organizaciones tenían su sede. Combinamos los datos de estos casos con la información obtenida de nuestra investigación sobre amenazas, que se basa en la telemetría de los productos, las observaciones de los sitios de filtración de la web oscura y otra información de fuentes abiertas. Los responsables de la respuesta a incidentes también aportaron sus observaciones de primera mano sobre las tendencias clave basadas en el trabajo directo con los clientes. Hay varios factores que pueden influir en la naturaleza de nuestro conjunto de datos, incluida la tendencia a colaborar con organizaciones más grandes con posturas de seguridad más maduras. También hicimos hincapié en los casos que revelan tendencias emergentes, lo que para algunos temas significa centrarse en segmentos más pequeños del conjunto de datos general. Para algunas áreas de análisis, decidimos filtrar nuestros datos para evitar resultados sesgados. Por ejemplo, ofrecimos asistencia en la respuesta a incidentes para ayudar a los clientes a investigar los posibles impactos de las CVE 2024-0012 y 2024-3400, lo que provocó que estas vulnerabilidades estuvieran sobrerrepresentadas en nuestro conjunto de datos. Cuando fue necesario, corregimos esta sobrerrepresentación. Nuestro principio rector ha sido proporcionar información sobre el panorama actual y emergente de las amenazas, permitiendo a los defensores reforzar su postura frente a lo que los atacantes están haciendo ahora y hacia dónde se dirigen. ### Colaboradores: Amelia Albanese Sheida Azimi Jim Barber Maxfield Barker Jeremy Brown Mark Burns Josh Costa Kasey Cross Michael Diakiwski Dan O'Day Richard Emerson Robert Falcone Elizabeth Farabee Byrne Ghavalas Wyatt Gibson Alexis Godwin Evan Gordenker Daniel Gott Evan Harrington Tim Heraldo Brandon Hicks Manisha Hirani Jack Hughes Margaret Kelley Seth Lacy Samantha Le Yang Liang Chia Hui Mah Mitch Mayne Eva Mehlert Vraj Mehta Danny Milrad Jacqui Morgan David Moulton Lysa Myers Erica Naone Aisling O'Suilleabhain Aryn Pedowitz Andy Piazza Nicholas Pockl-Deen Brendan Powers Nathaniel Quist Adam Robbie Laury Rodriguez Sam Rubin Doel Santos Mike Savitz Andrew Scott Steve Scott Ram Shenoy Michael Sikorski Scott Simkin Ray Spera Samantha Stallings Jenine Sussman Virginia Tran Amy Wagman JL Watkins Kyle Wilhoit [Póngase en contacto con un especialista](https://start.paloaltonetworks.com/contact-unit42.html "Contact a specialist") Tabla de contenido ### Tabla de contenido * [Resumen ejecutivo](#executive-summary) * [1. Introducción](#introduction) * [2. Amenazas y tendencias emergentes](#section-2) * [Tendencia 1. La IA se ha convertido en un multiplicador de fuerzas para los atacantes](#threats-and-trends-1) * [Tendencia 2. La identidad es la vía más confiable para el éxito de los atacantes](#threats-and-trends-2) * [Tendencia 3. Los ataques a la cadena de suministro de software provocan cada vez más trastornos en las fases posteriores del proceso](#threats-and-trends-3) * [Tendencia 4. Los actores estatales están adaptando sus tácticas a los entornos modernos](#threats-and-trends-4) * [3. Dentro de la intrusión](#inside-the-intrustion) * [La superficie de ataque: las intrusiones se extienden por toda la empresa](#inside-the-intrustion-1) * [El punto de entrada: el acceso inicial proviene de rutas predecibles](#inside-the-intrustion-2) * [Velocidad: los ataques más rápidos son cada vez más rápidos](#inside-the-intrustion-3) * [El impacto: extorsión más allá del cifrado](#inside-the-intrustion-4) * [4. Recomendaciones para los defensores](#recommendations) * [Factores contribuyentes comunes: ¿Por qué tienen éxito los ataques?](#recommendations-1) * [Recomendaciones para los defensores](#recommendations-2) * [5. Apéndice](#appendix) * [Resumen de las técnicas MITRE observadas por táctica](#appendix-1) * [Tipo de investigación por región](#appendix-2) * [Tipo de investigación por industria](#appendix-3) * [6. Metodología](#methodology) © 2026 Palo Alto Networks, Inc. Palo Alto Networks es una marca comercial registrada de Palo Alto Networks, Inc. Puede encontrar una lista de nuestras marcas comerciales en los Estados Unidos y otras jurisdicciones en [www.paloaltonetworks.com/company/trademarks](http://www.paloaltonetworks.com/company/trademarks "paloaltonetworks trademarks"). Todas las demás marcas mencionadas aquí pueden ser marcas comerciales de sus respectivas empresas. Informe global de respuesta ante incidentes de 2026 02/2026. ### Acceda al kit ejecutivo de respuesta ante incidentes globales de 2026 Incluye el informe completo, información sobre liderazgo y diapositivas listas para presentar ante la junta directiva. Nivel Laboral Puesto de trabajo/Área de focalización País Estado Provincia recaptcha Quiero registrarme para recibir novedades, actualizaciones de productos, promociones de venta, información de eventos y ofertas especiales de Palo Alto Networks y sus socios. Al enviar este formulario, comprendo que mis datos personales se procesarán de acuerdo con la [Declaración de privacidad](https://www.paloaltonetworks.com/legal-notices/privacy)y las [Condiciones de uso](https://www.paloaltonetworks.com/legal-notices/terms-of-use?ts=markdown) de Palo Alto Networks . Este sitio está protegido por reCAPTCHA y se aplican la [Política de privacidad](https://policies.google.com/privacy) y las [Condiciones del servicio](https://policies.google.com/terms) de Google. Descargar ahora ### ¡Aquí está su copia! #### Para leer el informe ahora, haga clic titleaquí en el informe de respuesta ante incidentes de [También se lo hemos enviado junto con nuestro kit de recursos ejecutivos a su dirección de correo electrónico.](https://www.paloaltonetworks.com/content/dam/pan/en_US/assets/pdf/unit42/Unit42-Global-Incident-Response-Report.pdf?ts=markdown "unit42 incident response report") Agregue [assets@emails.paloaltonetworks.com](mailto:assets@emails.paloaltonetworks.com) a su lista de remitentes seguros. {#footer} ## Productos y servicios * [Plataforma de seguridad de la red con tecnología de IA](https://www.paloaltonetworks.lat/network-security?ts=markdown) * [IA segura por diseño](https://www.paloaltonetworks.lat/precision-ai-security/secure-ai-by-design?ts=markdown) * [Prisma AIRS](https://www.paloaltonetworks.lat/prisma/prisma-ai-runtime-security?ts=markdown) * [Seguridad de AI Access](https://www.paloaltonetworks.lat/sase/ai-access-security?ts=markdown) * [Servicios de seguridad entregados en la nube](https://www.paloaltonetworks.lat/network-security/security-subscriptions?ts=markdown) * [Threat Prevention avanzada](https://www.paloaltonetworks.lat/network-security/advanced-threat-prevention?ts=markdown) * [URL Filtering avanzado](https://www.paloaltonetworks.lat/network-security/advanced-url-filtering?ts=markdown) * [WildFire avanzado](https://www.paloaltonetworks.lat/network-security/advanced-wildfire?ts=markdown) * [Seguridad de DNS avanzada](https://www.paloaltonetworks.lat/network-security/advanced-dns-security?ts=markdown) * [Prevención de pérdida de datos empresariales](https://www.paloaltonetworks.lat/sase/enterprise-data-loss-prevention?ts=markdown) * [Seguridad de IoT empresarial](https://www.paloaltonetworks.lat/network-security/enterprise-iot-security?ts=markdown) * [Seguridad de IoT para dispositivos médicos](https://www.paloaltonetworks.lat/network-security/medical-iot-security?ts=markdown) * [Seguridad de OT industrial](https://www.paloaltonetworks.lat/network-security/industrial-ot-security?ts=markdown) * [Seguridad de SaaS](https://www.paloaltonetworks.lat/sase/saas-security?ts=markdown) * [Firewalls de nueva generación](https://www.paloaltonetworks.lat/network-security/next-generation-firewall?ts=markdown) * [Firewalls de hardware](https://www.paloaltonetworks.lat/network-security/hardware-firewall-innovations?ts=markdown) * [Firewalls de software](https://www.paloaltonetworks.lat/network-security/software-firewalls?ts=markdown) * [Strata Cloud Manager](https://www.paloaltonetworks.lat/network-security/strata-cloud-manager?ts=markdown) * [SD-WAN para NGFW](https://www.paloaltonetworks.lat/network-security/sd-wan-subscription?ts=markdown) * [PAN-OS](https://www.paloaltonetworks.lat/network-security/pan-os?ts=markdown) * [Panorama](https://www.paloaltonetworks.lat/network-security/panorama?ts=markdown) * [Perímetro de servicio de acceso seguro](https://www.paloaltonetworks.lat/sase?ts=markdown) * [Prisma SASE](https://www.paloaltonetworks.lat/sase?ts=markdown) * [Aceleración de aplicaciones](https://www.paloaltonetworks.lat/sase/app-acceleration?ts=markdown) * [Gestión autónoma de la experiencia digital](https://www.paloaltonetworks.lat/sase/adem?ts=markdown) * [Enterprise DLP](https://www.paloaltonetworks.lat/sase/enterprise-data-loss-prevention?ts=markdown) * [Prisma Access](https://www.paloaltonetworks.lat/sase/access?ts=markdown) * [Prisma Browser](https://www.paloaltonetworks.lat/sase/prisma-browser?ts=markdown) * [Prisma SD-WAN](https://www.paloaltonetworks.lat/sase/sd-wan?ts=markdown) * [Aislamiento del explorador remoto](https://www.paloaltonetworks.lat/sase/remote-browser-isolation?ts=markdown) * [Seguridad de SaaS](https://www.paloaltonetworks.lat/sase/saas-security?ts=markdown) * [Plataforma de operaciones de seguridad dirigida por IA](https://www.paloaltonetworks.lat/cortex?ts=markdown) * [Seguridad de nube](https://www.paloaltonetworks.lat/cortex/cloud?ts=markdown) * [Cortex Cloud](https://www.paloaltonetworks.lat/cortex/cloud?ts=markdown) * [Seguridad de las aplicaciones](https://www.paloaltonetworks.lat/cortex/cloud/application-security?ts=markdown) * [Postura de seguridad en la nube](https://www.paloaltonetworks.lat/cortex/cloud/cloud-posture-security?ts=markdown) * [Seguridad en tiempo de ejecución en la nube](https://www.paloaltonetworks.lat/cortex/cloud/runtime-security?ts=markdown) * [Prisma Cloud](https://www.paloaltonetworks.lat/prisma/cloud?ts=markdown) * [SOC impulsado por IA](https://www.paloaltonetworks.lat/cortex?ts=markdown) * [Cortex XSIAM](https://www.paloaltonetworks.lat/cortex/cortex-xsiam?ts=markdown) * [Cortex XDR](https://www.paloaltonetworks.lat/cortex/cortex-xdr?ts=markdown) * [Cortex XSOAR](https://www.paloaltonetworks.lat/cortex/cortex-xsoar?ts=markdown) * [Cortex Xpanse](https://www.paloaltonetworks.lat/cortex/cortex-xpanse?ts=markdown) * [Detección y respuesta gestionadas de Unit 42](https://www.paloaltonetworks.lat/cortex/managed-detection-and-response?ts=markdown) * [XSIAM gestionado](https://www.paloaltonetworks.lat/cortex/managed-xsiam?ts=markdown) * [Inteligencia de amenazas y respuesta ante incidentes](https://www.paloaltonetworks.lat/unit42?ts=markdown) * [Evaluaciones proactivas](https://www.paloaltonetworks.lat/unit42/assess?ts=markdown) * [Respuesta ante incidentes](https://www.paloaltonetworks.lat/unit42/respond?ts=markdown) * [Transforme su estrategia de seguridad](https://www.paloaltonetworks.lat/unit42/transform?ts=markdown) * [Descubra la inteligencia de amenazas](https://www.paloaltonetworks.lat/unit42/threat-intelligence-partners?ts=markdown) ## Empresa * [Acerca de nosotros](https://www.paloaltonetworks.com/about-us) * [Carreras](https://jobs.paloaltonetworks.com/en/) * [Contáctenos](https://www.paloaltonetworks.com/company/contact-sales) * [Responsabilidad corporativa](https://www.paloaltonetworks.com/about-us/corporate-responsibility) * [Clientes](https://www.paloaltonetworks.lat/customers?ts=markdown) * [Relaciones con inversionistas](https://investors.paloaltonetworks.com/) * [Ubicación](https://www.paloaltonetworks.com/about-us/locations) * [Sala de prensa](https://www.paloaltonetworks.lat/company/newsroom?ts=markdown) ## Enlaces populares * [Blog](https://www.paloaltonetworks.com/blog/) * [Comunidades](https://www.paloaltonetworks.com/communities) * [Biblioteca de contenido](https://www.paloaltonetworks.lat/resources?ts=markdown) * [Cyberpedia](https://www.paloaltonetworks.com/cyberpedia) * [Centro de eventos](https://events.paloaltonetworks.com/) * [Administrar preferencias de correo electrónico](https://start.paloaltonetworks.com/preference-center) * [Productos A-Z](https://www.paloaltonetworks.com/products/products-a-z) * [Certificaciones de productos](https://www.paloaltonetworks.com/legal-notices/trust-center/compliance) * [Informar sobre una vulnerabilidad](https://www.paloaltonetworks.com/security-disclosure) * [Mapa del sitio](https://www.paloaltonetworks.com/sitemap) * [Documentos técnicos](https://docs.paloaltonetworks.com/) * [Unit 42](https://unit42.paloaltonetworks.com/) * [No vender ni compartir mi información personal](https://panwedd.exterro.net/portal/dsar.htm?target=panwedd) ![PAN logo](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/pan-logo-dark.svg) * [Privacidad](https://www.paloaltonetworks.com/legal-notices/privacy) * [Centro de confianza](https://www.paloaltonetworks.com/legal-notices/trust-center) * [Condiciones de uso](https://www.paloaltonetworks.com/legal-notices/terms-of-use) * [Documentación](https://www.paloaltonetworks.com/legal) Copyright © 2026 Palo Alto Networks. Todos los derechos reservados * [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/youtube-black.svg)](https://www.youtube.com/user/paloaltonetworks) * [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/twitter-x-black.svg)](https://twitter.com/PaloAltoNtwks) * [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/facebook-black.svg)](https://www.facebook.com/PaloAltoNetworks/) * [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/linkedin-black.svg)](https://www.linkedin.com/company/palo-alto-networks) * [![](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/icons/podcast.svg)](https://unit42.paloaltonetworks.com/unit-42-threat-vector-podcast/) * LA Select your language