Informe sobre la respuesta ante incidentes - 2026

4.1. Factores contribuyentes comunes: Por qué triunfan los ataques

El éxito de los atacantes rara vez se debe a los exploits de día cero. En los incidentes a los que respondimos en 2025, descubrimos que en más del 90 % de los incidentes, las lagunas evitables en la cobertura y los controles aplicados de forma incoherente contribuyeron directamente a la intrusión.

Estas brechas determinan la facilidad con la que un atacante obtiene el acceso inicial, la rapidez con la que se desplaza lateralmente y si los defensores pueden detectar y responder a tiempo. A lo largo de las investigaciones de este año, se observaron repetidamente tres condiciones sistémicas.

1. Lagunas de visibilidad: La falta de contexto retrasa la detección

Muchas organizaciones no aprovechan la telemetría necesaria para observar el comportamiento de los atacantes en sus primeras fases. Los indicadores críticos de acceso inicial y actividad temprana de los atacantes a menudo pasan desapercibidos porque el SOC no ha operacionalizado las señales a través de las capas de endpoint, red, nube y SaaS. El resultado es la falta de contexto: los defensores pueden ver eventos individuales, pero carecen de la correlación necesaria para reconocer una intrusión activa.

Esta fragmentación obliga al personal de respuesta a reconstruir manualmente los ataques a partir de herramientas dispares, lo que genera retrasos que los atacantes aprovechan. En el 87 % de los incidentes, los investigadores de Unit 42 examinaron pruebas procedentes de dos o más fuentes distintas para determinar lo sucedido, y en los casos complejos llegaron a utilizar hasta diez. La falta de visibilidad unificada ralentizaba sistemáticamente la detección, lo que permitía a los adversarios iniciar movimientos laterales antes de que los defensores pudieran ver el panorama completo.

2. Complejidad medioambiental: La incoherencia crea el camino de menor resistencia

Las líneas básicas de seguridad rara vez se aplican de forma universal. Con el tiempo, la desviación del entorno, impulsada por los sistemas heredados, la adopción de tecnología o la actividad de fusiones y adquisiciones, dificulta la aplicación de una norma coherente en toda la empresa.

En múltiples investigaciones, controles críticos como la protección de endpoints estaban totalmente implementados en una unidad de negocio, pero faltaban o estaban degradados en otra. Esta incoherencia crea un camino de menor resistencia. Más del 90 % de las infracciones de datos se debieron a errores de configuración o a lagunas en la cobertura de seguridad, más que a nuevos exploits.

3. Identidad: El exceso de confianza facilita el movimiento lateral

A lo largo de nuestras investigaciones, las debilidades de identidad convirtieron repetidamente un punto de apoyo inicial en un acceso más amplio. El problema principal era a menudo el exceso de confianza: privilegios y vías de acceso demasiado permisivos o que permanecían activos mucho tiempo después de ser necesarios.

Los atacantes aumentaron los privilegios mediante el uso indebido de funciones heredadas no retiradas y cuentas de servicio con permisos excesivos. En lugar de irrumpir, avanzaban utilizando accesos válidos en los que la organización había depositado demasiada confianza.

Estos fracasos reflejan una desviación de la identidad. A medida que se acumulan los permisos y persisten las excepciones, los intrusos encuentran menos barreras. Casi el 90 % de los incidentes se remontan a un elemento relacionado con la identidad como fuente crítica de la investigación o vector de ataque principal.

4.2. Recomendaciones para los defensores

Las recomendaciones que siguen se centran en medidas prácticas para abordar las condiciones sistémicas descritas anteriormente.

1. Potencie las operaciones de seguridad para detectar y responder con mayor rapidez

Ahora que los ataques más rápidos extraen datos en aproximadamente una hora, las operaciones de seguridad deben moverse a la velocidad de la máquina. Esto se consigue dotando al SOC de una visibilidad completa de toda la empresa, de IA para identificar las señales en el ruido y de automatización para impulsar la respuesta y la corrección inmediatas. La adopción de estas seis capacidades situará a su SOC en la mejor posición para triunfar:

• Incorporar todos los datos de seguridad relevantes. Los atacantes no operan en silos, pero los defensores a menudo vigilan en ellos. En 2025, las lagunas de visibilidad —especialmente en SaaS, la identidad en la nube y las capas de automatización— fueron uno de los principales motores del éxito de los atacantes. A menudo existía telemetría crítica, pero permanecía atrapada en sistemas dispares, lo que impedía a los defensores correlacionar los cambios de identidad con los resultados de la automatización o los artefactos almacenados en el navegador, como los tokens de sesión.

  Para detectar las intrusiones modernas, las organizaciones deben incorporar y normalizar las señales de los proveedores de identidad, las plataformas en la nube y las aplicaciones SaaS en una vista unificada. Esta consolidación cierra los puntos débiles que explotan los atacantes, lo que permite a los defensores identificar las rutas de escalada con antelación. Tanto si se utiliza la detección basada en reglas como la IA, la calidad de la información depende totalmente de la exhaustividad de los datos que la alimentan.

• Prevenir, detectar y priorizar las amenazas con funciones basadas en IA. El elevado volumen de alertas y la fragmentación de las herramientas permiten a los agresores ocultarse diseminando la actividad por los sistemas. Sin correlación, estas acciones parecen no estar relacionadas, lo que retrasa la escalada. Las capacidades basadas en IA son esenciales para unir estas señales dispares en una visión operativa unificada.

  Los análisis de comportamiento ayudan a detectar anomalías sutiles, como el uso inusual de tokens o el movimiento lateral a través de la automatización de la nube, que la detección basada en reglas no suele detectar.

  La IA refuerza la defensa mediante la correlación de eventos en las capas de identidad, endpoint, nube y red; priorizando los incidentes de alta fidelidad de entre el ruido de fondo. Esto permite a los equipos de seguridad distinguir al instante los ataques coordinados de la actividad rutinaria, garantizando que los analistas centran sus esfuerzos en las amenazas que suponen un mayor riesgo en lugar de perseguir falsos positivos.

• Automatizar la respuesta a las amenazas en tiempo real. Los retrasos en la contención suelen deberse a una propiedad poco clara y a pasos de validación manual que no pueden seguir el ritmo de la automatización de los atacantes. Una respuesta eficaz requiere asignar autoridad explícita para las acciones de contención automatizadas, como la revocación de tokens o el aislamiento de cargas de trabajo, de modo que la ejecución pueda continuar sin vacilaciones.

  Al sustituir los juicios ad hoc por guías estandarizadas y validadas, las organizaciones se aseguran de que la respuesta sigue una secuencia auditable. Sin embargo, para hacer frente al ritmo de las amenazas modernas, la IA agéntica debe implementarse como el acelerador de defensa definitivo. Estos sistemas autónomos investigan dinámicamente alertas complejas, correlacionando datos entre dominios a la velocidad de la máquina para obtener una imagen completa.

  Una vez validados, los agentes están autorizados a ejecutar acciones de contención dinámicas y quirúrgicas, desde el aislamiento de los sistemas afectados mediante microsegmentación hasta la revocación automática de las credenciales comprometidas. Este enfoque disciplinado e inteligente reduce drásticamente las desviaciones operativas, limita el tiempo de permanencia de los atacantes y evita que los ataques aislados se conviertan en incidentes de mayor envergadura.

• Transición de una seguridad reactiva a una proactiva. Para pasar de la defensa reactiva, las organizaciones deben ir más allá de las pruebas de penetración tradicionales y realizar pruebas adversativas continuas. Las auditorías puntuales rara vez captan la interacción de la desviación de la identidad y las configuraciones erróneas de la nube que los atacantes aprovechan en las intrusiones del mundo real. Los defensores necesitan validar cómo funcionan los controles en condiciones realistas, asegurándose de que los conductos de telemetría y los flujos de trabajo de respuesta funcionan según lo previsto.

  La proactividad se extiende a la recuperación. Las organizaciones resilientes verifican que los sistemas estén libres de accesos residuales, como credenciales comprometidas o configuraciones alteradas, antes de restablecer los servicios. Asegurarse de que la corrección aborda las causas raíz, en lugar de limitarse a restaurar instantáneas obsoletas, ayuda a prevenir una rápida reinfección y favorece la resiliencia a largo plazo.

• Mejorar el SOC para obtener resultados de alto rendimiento. Durante incidentes activos, la contención incoherente o la propiedad poco clara crean aperturas para que los atacantes restablezcan el acceso. Los SOC de alto rendimiento eliminan esta variación garantizando que las acciones de respuesta se apliquen de manera uniforme, independientemente del analista o de la hora del día.

  La coherencia bajo presión es fundamental; evita que compromisos aislados se conviertan en crisis más amplias.

  Para lograrlo, es necesario reducir los silos operativos de seguridad, TI y DevOps. Los libros de estrategias deben reflejar cómo funcionan los sistemas hoy en día, en lugar de cómo se diseñaron originalmente, para que las acciones automatizadas se alineen con la lógica empresarial real. Facultar a los analistas con una responsabilidad más amplia, como la respuesta integral a incidentes en lugar del mero triaje de alertas, mejora la retención, aumenta la versatilidad e impulsa resultados empresariales cuantificables.

• Reforzar sus capacidades con un servicio de respuesta a incidentes. El servicio de respuesta, o retenedor, adecuado amplía sus capacidades más allá de la respuesta de emergencia. Para mantenerse a la vanguardia, las organizaciones deben probar y validar los controles contra los comportamientos específicos que los actores de amenazas utilizan en estado activo. Las evaluaciones recurrentes de la seguridad ofensiva, la seguridad de IA, los procesos de SOC y la seguridad en la nube ayudan a confirmar que los canales de telemetría y los flujos de trabajo de respuesta funcionan según lo previsto en condiciones de ataque realistas.

  Su socio de retención de IR debe proporcionar acceso rápido a especialistas para realizar comprobaciones proactivas de preparación, ingeniería de detección y validación, garantizando que las mejoras en defensa se mantengan a lo largo del tiempo. Al combinar las pruebas continuas con los conocimientos especializados, las organizaciones mejoran su capacidad de recuperación.

Al alinear su SOC con estos principios básicos, transforma su defensa en un motor de respuesta de alta velocidad capaz de superar a los adversarios y detener las amenazas antes de que se intensifiquen.

2. Adoptar la confianza cero, Zero Trust, para limitar el área de impacto

La confianza cero es una necesidad estratégica en un entorno en el que la identidad se ha convertido en la principal superficie de ataque. El objetivo es eliminar las relaciones de confianza implícitas entre usuarios, dispositivos y aplicaciones y validar continuamente cada etapa de una interacción digital.

En realidad, lograr la confianza cero es complejo. Sin embargo, incluso pequeños avances reducirán la superficie de ataque, limitarán el movimiento lateral y minimizarán el impacto de cualquier acceso inicial a su entorno. Al eliminar la presunción de seguridad dentro del perímetro, los defensores obligan a los atacantes a esforzarse más por cada centímetro de acceso, ralentizando su velocidad y creando más oportunidades de detección.

• Verificar continuamente usuarios, dispositivos y aplicaciones. Los atacantes suelen explotar la confianza estática que persiste tras un inicio de sesión inicial. Una vez dentro, utilizan testigos de sesión robados o credenciales válidas para hacerse pasar por usuarios legítimos, a menudo eludiendo por completo los controles perimetrales. Los controles estáticos en la puerta de entrada ya no son suficientes.

  La verificación continua trata la confianza como algo dinámico, con decisiones revisadas a medida que cambian las condiciones durante una sesión. La validación del contexto de identidad, el estado del dispositivo y el comportamiento de las aplicaciones en tiempo real permite a las organizaciones detectar cuándo se secuestra una sesión legítima o cuándo el comportamiento del usuario se desvía de la norma. Como resultado, las cuentas o dispositivos comprometidos siguen siendo útiles para los atacantes sólo durante un período limitado, lo que reduce las oportunidades de ampliar el acceso o escenificar datos.

• Aplicar el mínimo privilegio para limitar los movimientos de los atacantes. Los permisos excesivos actúan como un multiplicador de fuerza para los atacantes. En muchos incidentes de 2025, los intrusos eludieron los controles internos aprovechando la desviación de identidades, utilizando privilegios acumulados y funciones no retiradas que las organizaciones no consiguieron eliminar. En lugar de basarse en complejos exploits, se movían lateralmente a través de vías de acceso válidas pero sobreaprovisionadas.

  La aplicación de privilegios mínimos reduce esta superficie de ataque limitando a los usuarios, servicios y aplicaciones únicamente el acceso necesario para su función. Esto debe extenderse más allá de los usuarios humanos para incluir las identidades de las máquinas y las cuentas de servicio, que a menudo conservan permisos amplios y poco supervisados. La eliminación de derechos innecesarios elimina las vías de acceso directas en las que confían los atacantes, obligándoles a recurrir a técnicas más visibles y difíciles que facilitan la detección para los defensores.

• Aplicar una inspección coherente al tráfico fiable y no fiable. Aplicar una inspección coherente al tráfico fiable y no fiable. Los atacantes saben que mientras el perímetro está vigilado, el tráfico interno "este-oeste" entre cargas de trabajo suele pasar sin inspección. Se aprovechan de esta confianza utilizando conexiones internas cifradas para desplazarse lateralmente y poner en escena datos sin activar las alarmas.

  Para lograr un análisis de amenazas coherente y omnipresente, las organizaciones deben consolidar toda la seguridad de la red, la nube y el perímetro de servicio de acceso seguro (SASE) en una única plataforma unificada. Este tejido unificado ofrece una inspección coherente de Capa 7 en todas partes, aplicando automáticamente las políticas a través de un plano de gestión.

  Esta consolidación permite el cambio estratégico hacia servicios avanzados de seguridad en la nube. Este cambio permite el análisis en línea y en tiempo real de todo el tráfico, incluido el descifrado crucial y la inspección del tráfico que se mueve entre las cargas de trabajo internas. Esta capacidad elimina los puntos donde se esconden los atacantes, deteniendo de forma proactiva el phishing desconocido, el malware de día cero y la actividad C2 evasiva.

• Controlar el acceso y el movimiento de datos para reducir el impacto. En muchos incidentes, los resultados más perjudiciales no se producen en el momento del ataque inicial, sino durante el acceso posterior a los datos, la preparación y la filtración. Los atacantes suelen buscar repositorios con controles débiles o flujos poco supervisados para acumular discretamente información sensible antes de ser detectados.

  Un control más estricto de la forma en que se accede a los datos, se comparten y se transfieren reduce estas oportunidades al limitar dónde puede circular la información sensible y en qué condiciones. Cuando las vías de acceso a los datos se controlan estrictamente y se supervisan de forma sistemática, los atacantes tienen menos opciones de preparar o extraer activos valiosos, lo que reduce la escala y la gravedad de las posibles pérdidas incluso cuando se produce una infracción.

Al eliminar sistemáticamente la confianza implícita, se despoja a los atacantes de la movilidad de la que dependen, garantizando que un único punto de compromiso conduzca a un incidente contenido en lugar de a una crisis en toda la empresa.

3. Detenga los ataques a la identidad con una gestión de identidades y accesos más sólida

La identidad es ahora el perímetro de seguridad y, sin embargo, con demasiada frecuencia sigue estando mal protegida. Las debilidades de identidad fueron un factor determinante en más de la mitad de las intrusiones investigadas en 2025, principalmente porque los almacenes de identidades se expandieron más rápido que los controles destinados a controlarlos.

Los atacantes se movían constantemente a través de las brechas creadas por esta desviación de la gobernanza, aprovechando los permisos heredados y las cuentas de servicio no supervisadas para eludir las defensas perimetrales. Para evitarlo, las organizaciones deben gestionar la identidad no como una lista estática de credenciales, sino como un activo operativo dinámico a lo largo de todo el ciclo de vida.

• Centralizar la gestión de identidades para humanos y máquinas. No se puede gobernar lo que no se ve. Cuando los datos de identidad están fragmentados en directorios heredados, proveedores en la nube y entornos SaaS, los atacantes se aprovechan de los puntos débiles resultantes.

  Centralizar las identidades de usuarios y máquinas en directorios autorizados simplifica la autenticación y elimina las rutas de acceso ocultas que son difíciles de supervisar de forma coherente. Esta consolidación también debe incluir integraciones de terceros y conectores API para que cada entidad que solicite acceso, ya sea una persona, una cuenta de servicio o un agente de IA, sea visible para los equipos de seguridad. Con un plano de control unificado, la IA defensiva puede correlacionar las anomalías de inicio de sesión con la actividad sospechosa, convirtiendo la identidad en una señal operativa activa en lugar de una lista estática de credenciales.

• Combatir la desviación de la gobernanza con la gestión continua del ciclo de vida. La desviación de la gobernanza, cuando los cambios operativos avanzan más rápido que los controles diseñados para guiarlos, siguió siendo un factor importante del apalancamiento de los atacantes.

  Las transiciones de funciones, los rápidos ciclos de implementación y los atajos cotidianos ampliaron la brecha entre la política escrita y el acceso real. Los permisos que tenían las herramientas de flujo de trabajo y los conectores de servicios a menudo excedían lo que pretendían las políticas. Esto creaba vías de escalada que los atacantes explotaban a través de permisos heredados y cuentas de servicio no supervisadas. Tratar la identidad como un ciclo de vida, limitando la automatización a las necesidades actuales y retirando el exceso de acceso con el tiempo, ayuda a cerrar estas brechas y restringir el movimiento de los atacantes tras el acceso inicial.

• Detectar y responder a las amenazas basadas en la identidad. La IA defensiva funciona con mayor eficacia en entornos en los que las identidades se gestionan como activos operativos y no como credenciales estáticas. En nuestras investigaciones, las organizaciones con sólidas bases de identidad mostraron una vinculación más temprana entre las anomalías de inicio de sesión, la actividad de automatización y los eventos de identidad periféricos, lo que contribuyó a una contención más rápida.

  Cuando la gobernanza era sólida, los canales de detección producían indicadores más claros y fiables que ayudaban a los equipos a identificar antes los comportamientos de escalada. Por el contrario, una gobernanza débil creaba ruido que interfería con estas señales. Las revisiones periódicas mantienen los permisos alineados con los requisitos reales, mejorando la precisión de las señales de detección y garantizando que los controles asistidos por IA funcionen con eficacia.

• Asegurar la integridad de la IA y la automatización. A medida que las organizaciones incorporan agentes de IA y flujos de trabajo automatizados a sus procesos básicos, estos sistemas se convierten en objetivos atractivos para la manipulación. En nuestras investigaciones, observamos cuentas de asistente implementadas con amplio acceso por defecto y herramientas de automatización ejecutándose sin validación de integridad.

  Para evitar que estas herramientas se conviertan en vectores de ataque, los equipos de seguridad deben aplicar el mismo rigor de gobernanza a los sistemas de IA que a los usuarios humanos. Esto incluye la validación explícita de los pasos de automatización antes de que entren en producción, la aplicación de comprobaciones de integridad a los flujos de trabajo habilitados para IA y la garantía de que las cuentas de los asistentes están protegidas contra el uso indebido.

Al tratar la identidad como un sistema operativo dinámico en lugar de como un directorio estático, se eliminan las vías ocultas de las que dependen los atacantes y se permite a los equipos de seguridad detectar el uso indebido en el momento en que se produce.

4. Proteger el ciclo de vida de las aplicaciones desde el código hasta la nube

Proteger la empresa moderna requiere algo más que asegurar la infraestructura. Requiere asegurar la fábrica que lo construye.

En 2025, los atacantes se dirigieron cada vez más a la cadena de suministro de software y a las API de la nube para eludir los perímetros tradicionales, inyectando vulnerabilidades en el código o explotando integraciones débiles antes de que llegaran a la producción. Para contrarrestar esta situación, las organizaciones deben ampliar las salvaguardias de seguridad desde las primeras fases de desarrollo hasta el tiempo de ejecución, tratando los modelos de IA, los pipelines de compilación y el código de terceros con el mismo rigor que los sistemas internos.

• Impedir que los problemas de seguridad lleguen a producción. La seguridad debe funcionar a la velocidad del desarrollo. La integración de salvaguardas en los procesos de DevOps y de integración e implementación continuos (CI/CD) ayuda a identificar y corregir las vulnerabilidades del código personalizado, los componentes de código abierto y las configuraciones de IA antes de la implementación.

  El mismo planteamiento se aplica a los sistemas de IA, en los que la evaluación temprana de la seguridad y la configuración de los modelos reduce el riesgo posterior. Endurecer las herramientas de desarrollo y regular las dependencias de código abierto ayuda a eliminar los puntos débiles que los atacantes aprovechan para heredar la confianza dentro de los flujos de trabajo empresariales.

• Proteger la cadena de suministro del software y la IA. Aunque no es el vector de ataque más común, los ataques a la cadena de suministro tienen el mayor impacto, especialmente en organizaciones ya consolidadas. Los puntos débiles de los sistemas de compilación, los servicios de integración y los repositorios relacionados con la IA permiten a los atacantes llegar a entornos posteriores sin interactuar nunca con un cortafuegos.

  Reducir esta exposición requiere controles estrictos de procedencia. Los entornos de compilación y los canales de implementación deben contar con controles de identidad y protecciones de integridad claros. Las bibliotecas de software externas, los conectores API y los componentes de IA deben evaluarse en cuanto a patrones de acceso y prácticas de actualización antes de su adopción. Una gobernanza eficaz de la cadena de suministro proporciona a los procesos de detección una línea de base fiable, lo que facilita la identificación cuando una dependencia de confianza comienza a comportarse de forma inesperada.

• Identificar y bloquear los ataques en tiempo de ejecución. Una vez que las aplicaciones están activas, la atención se centra en la contención. Los atacantes intentan con frecuencia persistir y ampliar el acceso mediante el uso indebido de identidades legítimas en la nube, API o permisos de carga de trabajo.

  La detección en tiempo real, combinada con controles coherentes en tiempo de ejecución, como la supervisión del comportamiento, límites claros de la red y límites a las interacciones inesperadas con las API, ayuda a desarticular estas tácticas. Las mismas protecciones deben extenderse a los entornos de alojamiento de IA, en los que la supervisión de la desviación del modelo y el acceso no autorizado a los datos limitan los movimientos de los atacantes incluso después de una intrusión inicial.

• Automatizar la detección y respuesta en la nube. En la nube, la velocidad es la única métrica que importa. Los retrasos a la hora de aislar las cargas de trabajo afectadas o revocar las identidades utilizadas indebidamente dan a los atacantes el margen que necesitan para escalar.

  La automatización permite a los equipos de SecOps detectar y responder continuamente a las amenazas basadas en la nube, utilizando controles nativos de la nube para contener rápidamente los incidentes. Acciones como aislar los contenedores comprometidos o revocar los tokens de sesión sospechosos ayudan a evitar que los problemas localizados se conviertan en interrupciones más amplias o pérdidas de datos.

• Crear una cultura de IA y desarrollo seguros. La IA es ahora un activo operativo, no sólo una herramienta. A medida que los asistentes y las solicitudes automatizados se integran en los flujos de trabajo cotidianos, introducen riesgos de comportamiento que los controles técnicos por sí solos no pueden resolver.

  Una sólida cultura de seguridad trata los sistemas de IA con la misma disciplina que las infraestructuras críticas. Esto incluye revisar cómo se utilizan los asistentes, evitar la exposición de datos sensibles en los avisos y validar el código generado por la IA. Cuando los equipos entienden que el juicio humano sigue siendo fundamental para el uso eficaz de la IA, los controles de gobernanza se refuerzan en lugar de eludirse, lo que garantiza que el impulso de la automatización no supere la capacidad de supervisarla.

Al integrar la seguridad en el tejido de sus entornos de desarrollo y ejecución, ayuda a garantizar que la velocidad de la IA y la innovación en la nube impulsen el crecimiento empresarial en lugar del riesgo sistémico.

5. Proteger la superficie de ataque y la interfaz humana

Asegurar la organización exige ahora mirar más allá del portátil corporativo. La superficie de ataque moderna se ha ampliado para incluir dispositivos de contratistas no gestionados, activos en la nube orientados al público y el propio navegador web, que se ha convertido en el principal espacio de trabajo de la empresa.

Como defensores, nos enfrentamos a un doble reto. Debemos gestionar rigurosamente las exposiciones externas que los atacantes buscan constantemente y, al mismo tiempo, proteger la interfaz humana en la que los usuarios interactúan con los datos, la IA y la web abierta. Para proteger este entorno en expansión, la seguridad debe extender su alcance desde el borde externo hasta la sesión del navegador.

• Reducir la superficie de ataque con una gestión activa de la exposición. Unit 42 descubrió que las vulnerabilidades de software representaron el 22 % del acceso inicial a incidentes este año, lo que subraya la urgente necesidad de ir más allá del simple descubrimiento para priorizar activamente los riesgos. Una gestión eficaz de la exposición salva esta distancia creando un inventario completo y continuo de la huella digital, incluidas la infraestructura en la sombra y las herramientas de IA no autorizadas que los escaneos tradicionales pasan por alto.

  Lo más importante es que esta estrategia debe filtrar el ruido, utilizando la información sobre amenazas para dar prioridad únicamente a los activos que son objeto de ataques activos (como los KEV de CISA) y carecen de controles compensatorios. Al centrar los recursos limitados en los riesgos explotables y críticos para la empresa, los equipos pueden cerrar la ventana de oportunidad antes de que un atacante encuentre una puerta abierta.

• Proteger la interfaz humana. El navegador es el nuevo endpoint y el nuevo escritorio corporativo. Aquí es donde los empleados acceden a los datos, donde los contratistas realizan su trabajo y, por desgracia, donde los ataques de ingeniería social como el phishing son más eficaces.

  La seguridad de esta interfaz requiere un navegador seguro de nivel empresarial que establezca un espacio de trabajo corporativo totalmente aislado y seguro tanto para los dispositivos gestionados como para los no gestionados. Esta potente capa aplica controles de datos en tiempo real, independientemente del hardware subyacente. Puede desactivar la función de copiar y pegar en páginas sensibles, impedir la descarga de archivos de fuentes desconocidas e identificar sitios avanzados de phishing que eluden los filtros de correo electrónico estándar. Al endurecer el navegador, las organizaciones obtienen una visibilidad granular del uso de la IA en la sombra y evitan directamente que los datos confidenciales de la empresa se filtren a herramientas GenAI no autorizadas.

• Proteger el acceso de terceros y no gestionado. El rígido modelo de envío de portátiles corporativos a cada contratista u objetivo de adquisición ya no es sostenible ni seguro. Las organizaciones necesitan una forma de imponer el acceso de confianza cero en dispositivos no gestionados sin el coste y la complejidad de las soluciones de infraestructura de escritorio virtual (VDI) heredadas.

  Al proteger el espacio de trabajo a través del navegador, las empresas pueden conceder a los contratistas y a los usuarios de dispositivos personales (BYOD) un acceso seguro a las aplicaciones corporativas, manteniendo al mismo tiempo los datos empresariales estrictamente aislados de los entornos personales. Este enfoque acelera la integración de fusiones y adquisiciones y la incorporación de contratistas, al tiempo que garantiza que un dispositivo personal en peligro no pueda utilizarse como trampolín para acceder a la red corporativa.

• Recopilar telemetría unificada y automatizar la respuesta. Para los endpoints que sí gestiona, los datos son el combustible de la defensa. La detección de ataques sofisticados depende de la recopilación de telemetría de alta fidelidad a través de los procesos, las conexiones de red y el comportamiento de la identidad, para luego unificar esos datos dentro de una plataforma central.

  Cuando estos datos son analizados por motores basados en IA, anomalías que serían invisibles de forma aislada se convierten en claros indicadores de compromiso. Sin embargo, la detección es sólo la mitad de la batalla.

  Para minimizar los daños, los mecanismos de respuesta deben estar automatizados. Los equipos de seguridad deben estar facultados para aislar los endpoints comprometidos, iniciar análisis forenses y remediar las amenazas a la velocidad de la máquina; garantizando que una infección localizada no se convierta en una brecha sistémica.

Al proteger el navegador como espacio de trabajo principal y gestionar rigurosamente la superficie de ataque externa, se protege a los usuarios y los activos a los que los controles tradicionales de los endpoints ya no pueden llegar.