La brecha entre las amenazas de ransomware y las defensas destinadas a detenerlas está empeorando, en lugar de mejorar. El Informe sobre el estado de la ciberseguridad de 2026 de Ivanti encontró que la brecha de preparación se amplió por un promedio de 10 puntos año tras año en todas las categorías de amenazas que la empresa rastrea. El ransomware fue el que tuvo mayor difusión: el 63% de los profesionales de seguridad lo califica como una amenaza alta o crítica, pero sólo el 30% cube que está “muy preparado” para defenderse de él. Esa es una diferencia de 33 puntos, frente a los 29 puntos de hace un año.
El panorama de seguridad de identidad 2025 de CyberArk pone números al problema: 82 identidades de máquina para cada ser humano en organizaciones de todo el mundo. El cuarenta y dos por ciento de esas identidades de máquinas tienen acceso privilegiado o confidencial.
El marco del libro de jugadas más autorizado tiene el mismo punto ciego
Guía de preparación de ransomware de Gartner, nota de investigación de abril de 2024 “Cómo prepararse para ataques de ransomware” al que hacen referencia los equipos de seguridad empresarial al crear procedimientos de respuesta a incidentes, señala específicamente la necesidad de restablecer las “credenciales de usuario/host afectados” durante la contención. El package de herramientas Ransomware Playbook que lo acompaña guía a los equipos a través de cuatro fases: contención, análisis, corrección y recuperación. El paso de restablecimiento de credenciales indica a los equipos que se aseguren de que se restablezcan todas las cuentas de dispositivos y usuarios afectados.
Las cuentas de servicio están ausentes. También lo son las claves, tokens y certificados API. El marco de estrategia más utilizado en seguridad empresarial se centra en las credenciales humanas y de dispositivos. Las organizaciones que lo siguen heredan ese punto ciego sin darse cuenta.
La misma nota de investigación identifica el problema sin conectarlo con la solución. Gartner advierte que las “prácticas deficientes de gestión de identidad y acceso (IAM)” siguen siendo un punto de partida principal para los ataques de ransomware, y que se están utilizando credenciales previamente comprometidas para obtener acceso a través de intermediarios de acceso inicial y volcados de datos de la net oscura. En la sección de recuperación, la guía es explícita: actualizar o eliminar las credenciales comprometidas es esencial porque, sin ese paso, el atacante recuperará la entrada. Las identidades de las máquinas son IAM. Las cuentas de servicio comprometidas son credenciales. Pero los procedimientos de contención del handbook no abordan ninguna de las dos cosas.
Gartner plantea la urgencia en términos que pocas fuentes coinciden: “El ransomware no se parece a ningún otro incidente de seguridad”, afirma la nota de investigación. “Pone a las organizaciones afectadas en una cuenta regresiva. Cualquier retraso en el proceso de toma de decisiones introduce un riesgo adicional”. La misma guía enfatiza que los costos de recuperación pueden ascender a ten veces el rescate en sí, y que el ransomware se implementa dentro del día posterior al acceso inicial en más del 50% de los compromisos. El tiempo ya corre, pero los procedimientos de contención no están a la altura de la urgencia, no cuando la clase de credenciales de más rápido crecimiento no se aborda.
El déficit de preparación es más profundo que cualquier encuesta
El informe de Ivanti rastrea la brecha de preparación en cada categoría de amenaza importante: ransomware, phishing, vulnerabilidades de software program, vulnerabilidades relacionadas con API, ataques a la cadena de suministro e incluso un cifrado deficiente. Cada uno de ellos se amplió año tras año.
“Aunque los defensores son optimistas sobre la promesa de la IA en la ciberseguridad, los hallazgos de Ivanti también muestran que las empresas se están quedando aún más atrás en términos de qué tan bien preparadas están para defenderse contra una variedad de amenazas”, dijo Daniel Spicer, director de seguridad de Ivanti. “Esto es lo que yo llamo el ‘déficit de preparación para la ciberseguridad’, un desequilibrio persistente que se amplía año tras año en la capacidad de una organización para defender sus datos, personas y redes contra el cambiante panorama de amenazas”.
Encuesta sobre el estado del ransomware en 2025 de CrowdStrike desglosa cómo se ve ese déficit por industria. Entre los fabricantes que se calificaron a sí mismos como “muy bien preparados”, sólo el 12 % se recuperó en 24 horas y el 40 % sufrió una interrupción operativa significativa. A las organizaciones del sector público les fue peor: 12% de recuperación a pesar del 60% de confianza. En todas las industrias, solo el 38% de las organizaciones que sufrieron un ataque de ransomware solucionaron el problema específico que permitió la entrada a los atacantes. El resto invirtió en mejoras generales de seguridad sin cerrar el punto de entrada actual.
El cincuenta y cuatro por ciento de las organizaciones dijeron que pagarían o probablemente pagarían si fueran atacadas por ransomware hoy, según el informe de 2026, a pesar de la orientación del FBI contra el pago. Esa disposición a pagar refleja una falta elementary de alternativas de contención, exactamente del tipo que proporcionarían los procedimientos de identificación automática.
Donde los manuales de identidad de las máquinas se quedan cortos
Cinco pasos de contención definen la mayoría de los procedimientos de respuesta al ransomware en la actualidad. En cada uno de ellos faltan identidades de máquina.
Los restablecimientos de credenciales no fueron diseñados para máquinas
Restablecer la contraseña de cada empleado después de un incidente es una práctica estándar, pero no detiene el movimiento lateral a través de una cuenta de servicio comprometida. El modelo del propio handbook de estrategias de Gartner muestra claramente el punto ciego.
La hoja de contención del Ransomware Playbook Pattern enumera tres pasos para restablecer las credenciales: forzar el cierre de sesión de todas las cuentas de usuario afectadas a través de Lively Listing, forzar el cambio de contraseña en todas las cuentas de usuario afectadas a través de Lively Listing y restablecer la cuenta del dispositivo a través de Lively Listing. Tres pasos, todo Lively Listing, cero credenciales no humanas. Sin cuentas de servicio, sin claves API, sin tokens, sin certificados. Las credenciales de las máquinas necesitan su propia cadena de mando.
Nadie inventaria las identidades de las máquinas antes de un incidente
No puede restablecer las credenciales que no sabe que existen. Las cuentas de servicio, las claves API y los tokens necesitan asignaciones de propiedad asignadas antes del incidente. Descubrirlos en mitad de una infracción cuesta días.
Sólo el 51% de las organizaciones tienen siquiera una puntuación de exposición a la ciberseguridad, según el informe de Ivanti, lo que significa que casi la mitad no podría decirle a la junta directiva la exposición de la identidad de su máquina si se le preguntara mañana. Sólo el 27% califica su evaluación de exposición al riesgo como “excelente”, a pesar de que el 64% invierte en gestión de exposición. La brecha entre inversión y ejecución es donde desaparecen las identidades de las máquinas.
El aislamiento de la crimson no revoca las cadenas de confianza
Sacar una máquina de la crimson no revoca las claves API que emitió para los sistemas posteriores. La contención que se detiene en el perímetro de la crimson supone que la confianza está limitada por la topología. Las identidades de las máquinas no respetan ese límite. Se autentican a través de él.
La propia nota de investigación de Gartner advierte que los adversarios pueden pasar días o meses excavando y ganando movimiento lateral dentro de las redes, recopilando credenciales de persistencia antes de implementar ransomware. Durante esa fase de excavación, las cuentas de servicio y los tokens API son las credenciales que se obtienen más fácilmente sin activar alertas. Según CrowdStrike, al setenta y seis por ciento de las organizaciones les preocupa detener la propagación del ransomware desde un host no administrado a través de recursos compartidos de crimson de PYMES. Los líderes de seguridad deben mapear qué sistemas confían en la identidad de cada máquina para poder revocar el acceso en toda la cadena, no solo en el punto last comprometido.
La lógica de detección no se creó para el comportamiento de la máquina
El comportamiento anómalo de la identidad de la máquina no activa alertas como lo hace una cuenta de usuario comprometida. Los volúmenes inusuales de llamadas a API, los tokens utilizados fuera de las ventanas de automatización y las cuentas de servicio que se autentican desde nuevas ubicaciones requieren reglas de detección que la mayoría de los SOC no han escrito. La encuesta de CrowdStrike encontró que el 85% de los equipos de seguridad reconocen que los métodos de detección tradicionales no pueden seguir el ritmo de las amenazas modernas. Sin embargo, sólo el 53% ha implementado la detección de amenazas basada en IA. La lógica de detección que detectaría el abuso de identidad de las máquinas apenas existe en la mayoría de los entornos.
Las cuentas de servicios obsoletas siguen siendo el punto de entrada más fácil
Las cuentas que no han sido rotadas en años, algunas creadas por empleados que se fueron hace mucho tiempo, son la superficie más débil para los ataques basados en máquinas.
La guía de Gartner exige una autenticación sólida para “usuarios privilegiados, como administradores de bases de datos e infraestructura y cuentas de servicio”, pero esa recomendación se encuentra en la sección de prevención, no en el handbook de contención donde los equipos la necesitan durante un incidente activo. Las auditorías de cuentas huérfanas y los cronogramas de rotación pertenecen a la preparación previa al incidente, no a las luchas posteriores a la infracción.
La economía hace que esto sea urgente ahora.
La IA agente multiplicará el problema. El ochenta y siete por ciento de los profesionales de seguridad dicen que la integración de la IA agente es una prioridad, y el 77% se siente cómodo al permitir que la IA autónoma actúe sin supervisión humana, según el informe de Ivanti. Pero sólo el 55% utiliza barandillas formales. Cada agente autónomo crea nuevas identidades de máquina, identidades que se autentifican, toman decisiones y actúan de forma independiente. Si las organizaciones no pueden gobernar las identidades de las máquinas que tienen hoy, están a punto de agregar un orden de magnitud más.
Gartner estima que los costos totales de recuperación son 10 veces superiores al rescate mismo. CrowdStrike sitúa el coste medio del tiempo de inactividad del ransomware en 1,7 millones de dólares por incidente, y las organizaciones del sector público promedian 2,5 millones de dólares. Pagar no ayuda. Al 93 por ciento de las organizaciones que pagaron les robaron datos de todos modos y el 83 por ciento fueron atacados nuevamente. Casi el 40% no pudo restaurar completamente los datos de las copias de seguridad después de incidentes de ransomware. La economía del ransomware se ha profesionalizado hasta el punto en que los grupos adversarios ahora cifran archivos de forma remota a través de redes compartidas de SMB desde sistemas no administrados, sin transferir nunca el binario del ransomware a un punto last administrado.
Los líderes de seguridad que ahora incorporan en sus manuales un inventario de identidades de máquinas, reglas de detección y procedimientos de contención no sólo cerrarán la brecha que los atacantes están explotando hoy en día, sino que estarán posicionados para gobernar las identidades autónomas que llegarán a continuación. La prueba es si esas adiciones sobreviven al siguiente ejercicio teórico. Si no aguantan allí, no aguantarán en un incidente actual.
