El 79% de los ataques de ransomware ya comienza con identidades comprometidas. Descubre por qué los CIO deben priorizar ITDR e identidad sobre el perímetro tradicional.
Los ciberdelincuentes han cambiado su juego. Ya no buscan explotar una vulnerabilidad de software sin parches como su primera opción. Según el último Informe State of Ransomware 2026 de Sophos, el 79% de los ataques de ransomware tienen su origen en identidades comprometidas. Este hallazgo no es solo un dato estadístico; es una advertencia de que la estrategia de seguridad centrada únicamente en el firewall ha quedado obsoleta.
Para un CIO, esto significa que el control de acceso y la gestión de identidades (ITDR) deben ser el centro de gravedad de su estrategia de ciberseguridad.
La obsolescencia de los parches como única defensa
Durante años, la carrera de los equipos de TI ha sido aplicar parches antes de que los adversarios los aprovechen. Si bien la gestión de vulnerabilidades sigue siendo necesaria, confiar en ella como la principal línea de defensa contra los ataques de ransomware es un error estratégico grave. Los atacantes han priorizado tácticas que aprovechan el error humano o la negligencia, como el phishing (24%) y el correo electrónico malicioso (26%).
La automatización y la inteligencia artificial están permitiendo a los delincuentes escalar sus operaciones a un ritmo que supera la capacidad de respuesta humana. La adopción de IA por parte de los grupos criminales les permite enumerar configuraciones incorrectas y debilidades de identidad de forma económica y veloz. Los defensores, por su parte, deben abandonar la mentalidad de “parchear y rezar” por un modelo de monitoreo permanente de cuentas válidas robadas.
Estrategias para CIOs ante la crisis de identidad
No basta con implementar la autenticación multifactor (MFA). El informe de Sophos revela que el 97% de los incidentes donde las contraseñas fueron la causa raíz tenían MFA implementada en algún nivel. La conclusión es clara: la MFA por sí sola no detiene los ataques de ransomware. Las brechas en la cobertura y la falta de resiliencia en la implementación generan la exposición necesaria para que el atacante acceda.
Las prioridades para el CIO deben ser claras:
- Tratar la identidad como una capa fundamental y auditable.
- Implementar MFA resistente al phishing.
- Auditar identidades humanas y no humanas de forma continua.
- Reducir la exposición externa de servicios críticos.
La resiliencia ya no se mide por qué tan rápido parches, sino por qué tan rápido puedes detectar una anomalía en el uso de una credencial válida. El costo de recuperación, que hoy alcanza un promedio de 1,7 millones de dólares por incidente, es el recordatorio financiero de que la identidad comprometida es, en última instancia, una falla de negocio.








