La inteligencia artificial ya no es solo una herramienta defensiva. También está reduciendo de forma drástica el tiempo que necesitan los atacantes para comprometer una organización. El Informe Global de Respuesta a Incidentes 2026 de Unit 42, la unidad de inteligencia de amenazas de Palo Alto Networks, sitúa la velocidad y la identidad digital como los dos vectores que están redefiniendo las brechas de seguridad en entornos corporativos.
El dato que atraviesa todo el estudio es operativo, no teórico: los incidentes más rápidos analizados alcanzaron la exfiltración de datos en apenas 72 minutos. Hace un año, ese recorrido podía multiplicar por cuatro ese tiempo. La reducción no es marginal. Implica que muchas organizaciones ya no disponen de ventanas de reacción tradicionales entre la detección y la contención.
El informe, basado en el análisis de más de 750 incidentes críticos investigados por Unit 42, describe un escenario en el que los adversarios incorporan IA y automatización avanzada a lo largo de todo el ciclo de vida del ataque: reconocimiento, acceso inicial, movimiento lateral y extracción de información. No se trata únicamente de generar phishing más convincente, sino de coordinar múltiples vectores de forma simultánea y autónoma.
La identidad como puerta de entrada principal
El 65% de los accesos iniciales ya se produce mediante técnicas basadas en identidad. Ingeniería social, robo de credenciales, abuso de sesiones activas o tokens de autenticación se imponen como mecanismo dominante de intrusión. Las vulnerabilidades técnicas tradicionales representan el 22% del acceso inicial.
El desplazamiento es significativo. Durante años, la narrativa de la ciberseguridad giró en torno a la gestión de parches y la protección perimetral. Sin embargo, los datos de Unit 42 apuntan a que la superficie crítica ya no está únicamente en el software desactualizado, sino en la gestión de credenciales humanas y de máquina.
Sam Rubin, SVP de Unit 42 Consulting & Threat Intelligence, sostiene que la complejidad empresarial se ha convertido en la mayor ventaja del adversario. A medida que proliferan identidades humanas, cuentas de servicio, APIs y agentes automatizados, la frontera entre usuario y sistema se diluye. Los atacantes, señala, están utilizando agentes autónomos de IA para conectar identidades y actuar de forma independiente dentro de los entornos comprometidos.
La consecuencia es doble. Por un lado, aumenta el riesgo de acceso inicial basado en confianza implícita. Por otro, se acelera el movimiento lateral una vez dentro, porque muchas organizaciones no disponen de segmentación real entre cargas de trabajo, aplicaciones SaaS y entornos cloud.
Ataques multicanal y colapso del ciclo de respuesta
El 87% de los ataques analizados abarcó dos o más superficies de ataque. Endpoints, nube pública, aplicaciones SaaS y sistemas de identidad aparecen combinados en una misma operación. Unit 42 ha rastreado actividad simultánea en hasta diez frentes distintos dentro de un único incidente.
La fragmentación tecnológica de las empresas explica parte de este fenómeno. Herramientas dispares, múltiples proveedores de seguridad y entornos híbridos generan puntos ciegos operativos. Cuando un atacante puede pivotar entre identidades, almacenamiento cloud y aplicaciones de terceros sin fricción, el ciclo de vida del ataque se comprime.
El navegador emerge como otro vector crítico. El 48% de los ataques involucra esta interfaz. Sesiones web legítimas se convierten en canal de robo de credenciales y evasión de controles locales. En entornos de trabajo híbrido, donde el navegador concentra acceso a aplicaciones corporativas, su exposición crece de forma proporcional al uso.
No es un fenómeno aislado. Los ataques vinculados a la cadena de suministro SaaS se han multiplicado por 3,8 desde 2022 y ya representan el 23% del total. El abuso de tokens OAuth y claves API permite a los adversarios desplazarse lateralmente entre aplicaciones conectadas. El ecosistema de integraciones, diseñado para facilitar la productividad, amplía también la superficie de compromiso.
Brechas asociadas a configuración y gobernanza
Unit 42 vincula el 90% de las brechas de datos a configuraciones incorrectas o fallos de seguridad preexistentes. No se trata únicamente de vulnerabilidades críticas sin parchear, sino de permisos excesivos, segmentación insuficiente o visibilidad limitada sobre activos distribuidos.
La combinación entre velocidad de ataque y errores estructurales crea una tensión operativa. Si la exfiltración puede producirse en poco más de una hora, cualquier desajuste en políticas de acceso o supervisión se convierte en una ventana crítica.
Para las organizaciones españolas, especialmente aquellas con presencia multicloud o fuerte dependencia de SaaS, la cuestión deja de ser puramente tecnológica. Se traslada al plano de gobierno corporativo y arquitectura. ¿Quién gestiona las identidades de máquina? ¿Cómo se auditan los permisos heredados? ¿Qué visibilidad real existe sobre tokens activos en aplicaciones de terceros?
El informe sugiere que la acumulación de soluciones puntuales, sin una arquitectura coherente, agrava la complejidad. Y la complejidad, en este escenario, juega a favor del atacante.
Del perímetro a la plataforma unificada
Las recomendaciones de Unit 42 giran en torno a un cambio estructural. Frente a la seguridad perimetral tradicional, propone un enfoque de plataforma unificada que opere «a velocidad de máquina». La automatización y la IA defensiva se plantean como única respuesta viable ante ataques que se ejecutan en minutos.
El refuerzo de los SOC mediante detección y contención automatizadas aparece como prioridad. Si el ciclo de vida del ataque se colapsa, la intervención manual se vuelve insuficiente. Aunque la automatización también introduce nuevos riesgos, especialmente si los modelos de IA defensiva no están correctamente entrenados o supervisados.
La protección del pipeline de desarrollo es otro eje. Integrar seguridad en el ciclo de vida del software, incluidas aplicaciones basadas en IA, busca reducir vulnerabilidades antes de su despliegue en la nube. La tendencia DevSecOps, que en muchos casos avanzaba de forma desigual, adquiere un carácter más urgente cuando los tiempos de explotación se reducen.
En paralelo, el informe insiste en modernizar la defensa de la identidad. Centralizar la gestión de identidades humanas, de máquina y agénticas implica revisar modelos heredados y eliminar privilegios implícitos. La adopción de arquitecturas zero trust, con verificación continua de cada interacción, aparece como marco conceptual.
Sin embargo, la implementación real de zero trust exige cambios culturales y operativos que van más allá de la tecnología. Supone redefinir procesos internos, revisar integraciones y asumir que la confianza por defecto ya no es sostenible en entornos hiperconectados.
Una carrera que se acelera
El dato de los 72 minutos funciona como síntoma. La aceleración de los ciberataques mediante inteligencia artificial no implica necesariamente un aumento proporcional del número de incidentes, pero sí reduce el margen de error. La brecha entre capacidad ofensiva y defensiva tiende a estrecharse en tiempo, no siempre en recursos.
Para el tejido empresarial, la cuestión no es solo tecnológica. Afecta a la gestión de riesgos, a la planificación presupuestaria y a la formación interna. Si la identidad se consolida como principal vector de acceso, la protección de credenciales y la gobernanza de accesos adquieren un peso estratégico comparable al de la infraestructura crítica.
El informe de Unit 42 dibuja un escenario en el que la automatización ofensiva ya es una realidad operativa. La incógnita es si la respuesta defensiva, también apoyada en IA, podrá equilibrar una dinámica que evoluciona a ritmo trimestral. La velocidad, en este contexto, no es solo una métrica técnica. Es un factor competitivo.
