Los ataques de identidad superan a los exploits como principal causa de ransomware
Los ataques por correo han superado a los exploits de software como principal causa raíz de los incidentes de ransomware, según una investigación recién publicada. El número más incómodo del informe: la autenticación multifactor estaba desplegada en el 97% de los ataques basados en credenciales — y las víctimas cayeron igualmente.
Por qué importa
Durante años la respuesta refleja al robo de cuentas ha sido "activa el MFA". Estos datos dicen que el atacante se ha adaptado: la batalla ya no es si tienes segundo factor, sino de qué tipo y cómo se puede saltar. Una notificación push que un empleado cansado aprueba a las 2 de la mañana, o una página de phishing que hace de proxy del login completo — token de sesión incluido — derrota al MFA convencional sin llegar a romperlo.
También reordena prioridades: las vulnerabilidades explotadas siguen importando, pero si la puerta de entrada del ransomware es hoy un buzón y unas credenciales robadas, una hora endureciendo identidad probablemente reduce más riesgo que otro ciclo de escáner.
Qué mueve la aguja de verdad
- MFA resistente al phishing (llaves FIDO2, passkeys) primero para administradores y finanzas — vinculan la autenticación al sitio real y un proxy no puede retransmitirlas.
- Acceso condicional: bloquear protocolos heredados, exigir dispositivos gestionados para apps sensibles y alertar sobre inicios de sesión imposibles.
- Tratar la telemetría de identidad como oro para detección — altas de nuevos dispositivos MFA, reglas de buzón recién creadas y permisos OAuth concedidos son indicadores tempranos de ransomware, no ruido de IT.
Si estás montando detección alrededor de esto, nuestro artículo sobre cómo un SOC convierte señales en respuesta explica dónde deberían aterrizar estas alertas.
La identidad es el nuevo perímetro
Si te alejas de las cifras concretas, el informe describe un cambio estructural sobre el que la industria lleva años dando vueltas: el borde de la red ya no es donde se ganan o se pierden los ataques — lo es el inicio de sesión. A medida que las cargas de trabajo se movieron a SaaS y el acceso remoto se volvió la norma, el cortafuegos dejó de ser lo que separa a un atacante de tus datos. Un token de sesión válido hace hoy lo que antes hacía un punto de apoyo en la red, y llega por el correo en lugar de por un exploit.
Eso replantea lo que "defensa en profundidad" debería significar en 2026. Las capas que merece la pena reforzar son cada vez más centradas en la identidad: autenticación fuerte y resistente al phishing, control estricto de quién puede conceder permisos a aplicaciones, y una monitorización que trate los eventos de identidad como telemetría de seguridad y no como ruido del servicio técnico. Quien siga gastando de forma desproporcionada en herramientas de perímetro mientras trata la identidad como una comodidad de informática está defendiendo la puerta equivocada — y los atacantes, según estos datos, ya saben cuál es.
Este es nuestro propio resumen y análisis. La información original está en darkreading.com →