La brecha entre las amenazas de ransomware y las defensas diseñadas para detenerlas está empeorando, en lugar de mejorar. El Informe sobre el estado de la ciberseguridad 2026 de Ivanti encontró que la brecha de preparación se ha ampliado en un media de 10 puntos año tras año en todas las categorías de amenazas que la empresa rastrea. El ransomware está en su forma más extendida: el 63% de los profesionales de seguridad lo califican como una amenaza alta o crítica, pero sólo el 30% dice que están “muy preparados” para defenderse de él. Esto representa una diferencia de 33 puntos, frente a los 29 puntos del año anterior.
El panorama de seguridad de identidad 2025 de CyberArk pone números al problema: 82 identidades de máquina para cada ser humano en organizaciones de todo el mundo. El cuarenta y dos por ciento de estas identidades de máquinas tienen acceso privilegiado o confidencial.
La estructura manual más confiable tiene el mismo punto ciego
Guía de preparación para ransomware de Gartner, nota de investigación de abril de 2024 “Cómo prepararse para los ataques de ransomware” al que hacen referencia los equipos de seguridad corporativa al crear procedimientos de respuesta a incidentes, destaca específicamente la necesidad de restablecer las “credenciales de usuario/host impactados” durante la contención. El kit de herramientas Ransomware Playbook que acompaña a los equipos pasa por cuatro fases: contención, análisis, remediación y recuperación. El paso de restablecimiento de credenciales indica a los equipos que se aseguren de que se restablezcan todas las cuentas de usuario y dispositivos afectados.
Faltan cuentas de servicio. Lo mismo ocurre con las claves, tokens y certificados de API. La estructura de guía más utilizada en seguridad empresarial se limita a las credenciales humanas y de dispositivos. Las organizaciones que lo siguen heredan este punto ciego sin darse cuenta.
La misma nota de investigación identifica el problema sin conectarlo con la solución. Gartner advierte que las “prácticas deficientes de gestión de identidad y acceso (IAM)” siguen siendo el principal punto de partida para los ataques de ransomware y que se están utilizando credenciales previamente comprometidas para obtener acceso a través de corredores de acceso temprano y volcados de datos de la web oscura. En la sección de recuperación, la guía es explícita: actualizar o eliminar las credenciales comprometidas es esencial porque sin este paso el atacante recuperará la entrada. Las identidades de las máquinas son IAM. Las cuentas de servicio comprometidas son credenciales. Pero los procedimientos de contención del manual no abordan ninguna de las dos cosas.
Gartner plantea la urgencia en términos que pocas fuentes coinciden: “El ransomware no se parece a ningún otro incidente de seguridad”, afirma la nota de investigación. “Esto pone a las organizaciones afectadas en una cuenta atrás. Cualquier retraso en el proceso de toma de decisiones introduce riesgos adicionales”. La misma guía enfatiza que los costos de recuperación pueden ascender a 10 veces el rescate en sí y que el ransomware se implementa dentro del día posterior al acceso inicial en más del 50% de los ataques. El tiempo ya corre, pero los procedimientos de contención no están a la altura de la urgencia, no cuando no se aborda la clase de credenciales de más rápido crecimiento.
La brecha de preparación es más profunda que cualquier encuesta
El informe de Ivanti rastrea la brecha de preparación en todas las principales categorías de amenazas: ransomware, phishing, vulnerabilidades de software, vulnerabilidades relacionadas con API, ataques a la cadena de suministro e incluso un cifrado deficiente. Cada uno de ellos aumentó año tras año.
“Si bien los defensores son optimistas sobre la promesa de la IA en la ciberseguridad, los hallazgos de Ivanti también muestran que las empresas se están quedando aún más atrás en términos de qué tan bien preparadas están para defenderse contra una variedad de amenazas”, dijo Daniel Spicer, director de seguridad de Ivanti. “Esto es lo que yo llamo la ‘brecha de preparación para la ciberseguridad’, un desequilibrio persistente y creciente año tras año en la capacidad de una organización para defender sus datos, personas y redes contra el cambiante panorama de amenazas”.
Encuesta CrowdStrike sobre el estado del ransomware en 2025 detalla cómo se ve este déficit por industria. Entre los fabricantes que se calificaron a sí mismos como “muy bien preparados”, solo el 12 % se recuperó en 24 horas y el 40 % experimentó interrupciones operativas importantes. Las organizaciones del sector público obtuvieron los peores resultados: 12% de recuperación, a pesar del 60% de confianza. En todas las industrias, solo el 38 % de las organizaciones que sufrieron un ataque de ransomware solucionaron el problema específico que permitió la entrada de los atacantes. El resto invirtió en mejoras generales de seguridad sin cerrar el punto de entrada real.
El cincuenta y cuatro por ciento de las organizaciones dijeron que pagarían o probablemente pagarían si fueran atacadas por ransomware hoy, según el informe de 2026, a pesar de las directrices del FBI contra el pago. Esta disposición a pagar refleja una falta fundamental de alternativas de contención, exactamente del tipo que proporcionarían los procedimientos de identificación mecánica.
Donde los manuales de identidad de las máquinas se quedan cortos
Cinco pasos de contención definen la mayoría de los procedimientos de respuesta al ransomware en la actualidad. Cada uno de ellos carece de identidades de máquina.
Los restablecimientos de credenciales no están diseñados para máquinas
Restablecer la contraseña de cada empleado después de un incidente es una práctica estándar, pero no evita el movimiento lateral a través de una cuenta de servicio comprometida. El modelo del propio manual de estrategias de Gartner muestra claramente el punto ciego.
La hoja de contención de muestra de Ransomware Playbook enumera tres pasos para restablecer las credenciales: forzar el cierre de sesión de todas las cuentas de usuario afectadas a través de Active Directory, forzar el cambio de contraseña en todas las cuentas de usuario afectadas a través de Active Directory y restablecer la cuenta del dispositivo a través de Active Directory. Tres pasos, todo Active Directory, cero credenciales no humanas. Sin cuentas de servicio, sin claves API, sin tokens, sin certificados. Las credenciales de las máquinas necesitan su propia cadena de mando.
Nadie inventaría identidades de máquinas antes de un incidente
No puede restablecer credenciales que no sabe que existen. Las cuentas de servicio, las claves API y los tokens necesitan asignaciones de propiedad asignadas antes del incidente. Descubrirlos en mitad de una infracción cuesta días.
Sólo el 51% de las organizaciones tiene una puntuación de exposición a la ciberseguridad, según el informe de Ivanti, lo que significa que casi la mitad no podría informar a su junta directiva sobre la exposición de la identidad de su máquina si se le preguntara mañana. Sólo el 27% clasifica su evaluación de la exposición al riesgo como “excelente”, a pesar de que el 64% invierte en la gestión de la exposición. La brecha entre inversión y ejecución es donde desaparecen las identidades de las máquinas.
El aislamiento de la red no revoca las cadenas de confianza
Eliminar una máquina de la red no revoca las claves API emitidas para sistemas posteriores. La contención que se detiene en el perímetro de la red supone que la confianza está limitada por la topología. Las identidades de las máquinas no respetan este límite. Se autentican a través de él.
La propia nota de investigación de Gartner advierte que los adversarios pueden pasar días o meses investigando y obteniendo movimiento lateral a través de las redes, recopilando credenciales de persistencia antes de implementar ransomware. Durante esta fase de investigación, las cuentas de servicio y los tokens API son las credenciales que se recopilan más fácilmente sin activar alertas. Según CrowdStrike, al setenta y seis por ciento de las organizaciones les preocupa evitar que el ransomware se propague desde un host no administrado en redes compartidas de pequeñas y medianas empresas. Los líderes de seguridad deben determinar qué sistemas confían en la identidad de cada máquina para poder revocar el acceso en toda la cadena, no solo en el punto final comprometido.
La lógica de detección no está diseñada para el comportamiento de la máquina
El comportamiento anómalo de la identidad de la máquina no activa alertas de la misma manera que una cuenta de usuario comprometida. Los volúmenes inusuales de llamadas API, tokens utilizados fuera de las ventanas de automatización y cuentas de servicio autenticadas desde nuevas ubicaciones requieren reglas de detección que la mayoría de los SOC no han escrito. La investigación de CrowdStrike encontró que el 85% de los equipos de seguridad reconocen que los métodos de detección tradicionales no pueden seguir el ritmo de las amenazas modernas. Sin embargo, sólo el 53% ha implementado la detección de amenazas basada en IA. La lógica de detección que detectaría el abuso de identidad de la máquina es casi inexistente en la mayoría de los entornos.
Las cuentas de servicios obsoletas siguen siendo el punto de entrada más fácil
Las cuentas que no han sido rotadas en años, algunas creadas por empleados que se fueron hace mucho tiempo, son la superficie más débil para los ataques basados en máquinas.
La guía de Gartner exige una autenticación sólida para “usuarios privilegiados, como administradores de bases de datos e infraestructura y cuentas de servicio”, pero esa recomendación se encuentra en la sección de prevención en lugar del manual de contención donde los equipos la necesitan durante un incidente activo. Las auditorías de cuentas huérfanas y los cronogramas de rotación pertenecen a la preparación previa al incidente, no a las disputas posteriores a la infracción.
La economía hace que esto sea urgente ahora.
La IA agente multiplicará el problema. El ochenta y siete por ciento de los profesionales de seguridad dicen que la integración de la IA agencial es una prioridad, y el 77% se siente cómodo al permitir que la IA autónoma actúe sin supervisión humana, según el informe de Ivanti. Pero sólo el 55% utiliza barandillas formales. Cada agente autónomo crea nuevas identidades de máquina, identidades que se autentifican, toman decisiones y actúan de forma independiente. Si las organizaciones no pueden gobernar las identidades de las máquinas que tienen hoy, están a punto de agregar un orden de magnitud más.
Gartner estima que los costos totales de recuperación son 10 veces superiores al rescate mismo. CrowdStrike estima que el coste medio del tiempo de inactividad del ransomware es de 1,7 millones de dólares por incidente, y las organizaciones del sector público promedian 2,5 millones de dólares. Pagar no ayuda. De cualquier manera, al 93% de las organizaciones que pagaron les robaron sus datos y el 83% fueron atacadas nuevamente. Casi el 40% no pudo restaurar completamente los datos de las copias de seguridad luego de incidentes de ransomware. La economía del ransomware se ha profesionalizado hasta el punto de que los grupos adversarios ahora cifran de forma remota archivos en recursos compartidos de red de PYMES desde sistemas no administrados, sin transferir nunca el binario del ransomware a un punto final administrado.
Los líderes de seguridad que incorporen inventarios de identidades de máquinas, reglas de detección y procedimientos de contención en sus manuales ahora no solo llenarán el vacío que los atacantes están explotando hoy, sino que estarán posicionados para gobernar las identidades autónomas que lleguen a continuación. La prueba es si estas adiciones sobrevivirán al próximo ejercicio teórico. Si no resisten allí, no resistirán en un incidente real.
