La identidad se ha convertido en una de las puertas de entrada más utilizadas por los ciberdelincuentes. Según el informe State of Identity Security 2026 de Sophos, el 70% de las organizaciones españolas sufrió al menos una brecha relacionada con la identidad durante el último año, una cifra muy próxima al 71% registrado a nivel mundial. Además, las compañías afectadas registraron de media tres incidentes distintos, lo que muestra que este tipo de ataques ya no son casos aislados, sino una amenaza recurrente dentro del entorno empresarial.
El estudio, elaborado a partir de consultas a 5.000 responsables de TI y ciberseguridad en 17 países, incluido España, señala dos causas principales detrás de estas brechas: el error humano y la mala gestión de identidades no humanas. En la práctica, esto incluye desde empleados engañados para entregar sus credenciales hasta claves API expuestas, cuentas de servicio olvidadas o credenciales estáticas que siguen activas sin control.
El problema se agrava con la llegada de la IA agéntica, capaz de acelerar procesos y crear nuevos flujos automatizados dentro de las organizaciones. Sophos advierte de que estos agentes pueden generar subagentes y nuevas credenciales con acceso amplio y persistente, en muchos casos con una supervisión humana insuficiente. Es decir, la empresa puede estar multiplicando sus puntos de acceso sin tener una visión clara de todos ellos.
Por su parte, Ross McKerchar, CISO de Sophos, ha explicado que “la identidad se ha convertido en la principal superficie de ataque” y ha advertido de que muchas organizaciones están perdiendo terreno. En este sentido, ha señalado que el problema de las identidades no humanas es especialmente urgente, ya que los agentes de IA reciben privilegios más rápido de lo que los equipos de seguridad pueden controlar.
El informe también conecta directamente estas brechas con el ransomware. A nivel global, el 67% de las víctimas de ransomware confirmó que el incidente comenzó con un ataque de identidad, consolidando este vector como una de las vías más utilizadas para comprometer organizaciones. Además, las consecuencias económicas son importantes: el coste medio de recuperación alcanzó los 1,64 millones de dólares a escala mundial, y el 73% de los afectados tuvo que asumir costes de 250.000 dólares o más.
En cuanto al impacto de las brechas, el robo de datos aparece como una de las consecuencias más frecuentes, presente en el 49% de los casos con impacto en negocio. Le siguen el ransomware, con un 48%, y el robo financiero, con un 47%. Esta combinación refleja que los ataques de identidad no solo sirven para entrar en los sistemas, sino que suelen derivar en daños operativos, económicos y reputacionales.
La visibilidad sigue siendo otro de los grandes puntos débiles. Solo el 24% de las organizaciones monitoriza de forma continua los intentos de inicio de sesión inusuales, mientras que más de la mitad revisa esta actividad cada tres meses o incluso con menor frecuencia. En España, además, el 18% de las empresas que sufrió una brecha no pudo detectar y detener el ataque de identidad más significativo antes de que causara daños.
El riesgo es todavía mayor en sectores críticos. Las compañías de energía, petróleo, gas y utilities registraron una tasa de brechas del 80%, mientras que las administraciones públicas alcanzaron el 78%. También influye la complejidad regulatoria: las organizaciones que consideran el cumplimiento normativo “muy desafiante” presentan una tasa de brechas del 82,4%, frente al 68,3% de aquellas que lo perciben como menos problemático.
Sophos también pone el foco en las identidades no humanas. Solo una de cada tres organizaciones rota o audita regularmente cuentas de servicio e identidades no humanas, y apenas el 11% lo hace de forma continua. Esta falta de control incrementa el riesgo de robo financiero y eleva los costes de recuperación en unos 150.000 dólares adicionales, según el informe.
Ante este escenario, la compañía recomienda aplicar un enfoque de defensa en varias capas. Entre las medidas clave figuran extender la autenticación multifactor a todas las cuentas, aplicar el principio de mínimo privilegio, eliminar identidades inactivas e inventariar todas las identidades no humanas. Además, Sophos insiste en sustituir credenciales de larga duración por alternativas temporales, desplegar plataformas de gestión de secretos y avanzar hacia modelos Zero Trust.
El mensaje de fondo es claro: proteger la empresa ya no consiste solo en vigilar dispositivos o redes. Ahora también implica saber quién accede, con qué permisos, durante cuánto tiempo y desde qué identidad. Y en un entorno donde la IA puede multiplicar credenciales y automatizaciones, esa visibilidad deja de ser un extra para convertirse en una condición básica de seguridad.