ztevenreal
La brecha entre las amenazas de ransomware y las defensas destinadas a detenerlas está empeorando, en circunstancia de mejorar. El Mensaje sobre el estado de la ciberseguridad de 2026 de Ivanti encontró que la brecha de preparación se amplió por un promedio de 10 puntos año tras año en todas las categorías de amenazas que la empresa rastrea. El ransomware fue el que tuvo decano difusión: el 63% de los profesionales de seguridad lo califica como una amenaza reincorporación o crítica, pero sólo el 30% dice que está “muy preparado” para defenderse de él. Esa es una diferencia de 33 puntos, frente a los 29 puntos de hace un año.
El panorama de seguridad de identidad 2025 de CyberArk pone números al problema: 82 identidades de máquina para cada ser humano en organizaciones de todo el mundo. El cuarenta y dos por ciento de esas identidades de máquinas tienen entrada privilegiado o confidencial.
El ámbito del vademécum de jugadas más acreditado tiene el mismo punto ciego
Lazarillo de preparación de ransomware de Gartner, nota de investigación de abril de 2024 “Cómo prepararse para ataques de ransomware” al que hacen remisión los equipos de seguridad empresarial al crear procedimientos de respuesta a incidentes, señala específicamente la penuria de restablecer las “credenciales de adjudicatario/host afectados” durante la contención. El kit de herramientas Ransomware Playbook que lo acompaña manual a los equipos a través de cuatro fases: contención, examen, corrección y recuperación. El paso de restablecimiento de credenciales indica a los equipos que se aseguren de que se restablezcan todas las cuentas de dispositivos y usuarios afectados.
Las cuentas de servicio están ausentes. Todavía lo son las claves, tokens y certificados API. El ámbito de logística más utilizado en seguridad empresarial se centra en las credenciales humanas y de dispositivos. Las organizaciones que lo siguen heredan ese punto ciego sin darse cuenta.
La misma nota de investigación identifica el problema sin conectarlo con la posibilidad. Gartner advierte que las “prácticas deficientes de trámite de identidad y entrada (IAM)” siguen siendo un punto de partida principal para los ataques de ransomware, y que se están utilizando credenciales previamente comprometidas para obtener entrada a través de intermediarios de entrada auténtico y volcados de datos de la web oscura. En la sección de recuperación, la manual es explícita: desempolvar o eliminar las credenciales comprometidas es esencial porque, sin ese paso, el atacante recuperará la entrada. Las identidades de las máquinas son IAM. Las cuentas de servicio comprometidas son credenciales. Pero los procedimientos de contención del manual no abordan ninguna de las dos cosas.
Gartner plantea la emergencia en términos que pocas fuentes coinciden: “El ransomware no se parece a ningún otro incidente de seguridad”, afirma la nota de investigación. “Pone a las organizaciones afectadas en una cuenta regresiva. Cualquier retraso en el proceso de toma de decisiones introduce un aventura adicional”. La misma manual enfatiza que los costos de recuperación pueden ascender a 10 veces el rescate en sí, y que el ransomware se implementa internamente del día posterior al entrada auténtico en más del 50% de los compromisos. El tiempo ya corre, pero los procedimientos de contención no están a la prestigio de la emergencia, no cuando la clase de credenciales de más rápido crecimiento no se aborda.
El endeudamiento de preparación es más profundo que cualquier indagación
El crónica de Ivanti rastrea la brecha de preparación en cada categoría de amenaza importante: ransomware, phishing, vulnerabilidades de software, vulnerabilidades relacionadas con API, ataques a la cautiverio de suministro e incluso un secreto deficiente. Cada uno de ellos se amplió año tras año.
“Aunque los defensores son optimistas sobre la promesa de la IA en la ciberseguridad, los hallazgos de Ivanti todavía muestran que las empresas se están quedando aún más a espaldas en términos de qué tan proporcionadamente preparadas están para defenderse contra una variedad de amenazas”, dijo Daniel Spicer, director de seguridad de Ivanti. “Esto es lo que yo llamo el ‘endeudamiento de preparación para la ciberseguridad’, un desequilibrio persistente que se amplía año tras año en la capacidad de una estructura para defender sus datos, personas y redes contra el cambiante panorama de amenazas”.
Sondeo sobre el estado del ransomware en 2025 de CrowdStrike desglosa cómo se ve ese endeudamiento por industria. Entre los fabricantes que se calificaron a sí mismos como “muy proporcionadamente preparados”, sólo el 12 % se recuperó en 24 horas y el 40 % sufrió una interrupción operativa significativa. A las organizaciones del sector sabido les fue peor: 12% de recuperación a pesar del 60% de confianza. En todas las industrias, solo el 38% de las organizaciones que sufrieron un ataque de ransomware solucionaron el problema específico que permitió la entrada a los atacantes. El resto invirtió en mejoras generales de seguridad sin cerrar el punto de entrada actual.
El cincuenta y cuatro por ciento de las organizaciones dijeron que pagarían o probablemente pagarían si fueran atacadas por ransomware hoy, según el crónica de 2026, a pesar de la orientación del FBI contra el plazo. Esa disposición a sufragar refleja una yerro fundamental de alternativas de contención, exactamente del tipo que proporcionarían los procedimientos de identificación cibernética.
Donde los manuales de identidad de las máquinas se quedan cortos
Cinco pasos de contención definen la mayoría de los procedimientos de respuesta al ransomware en la contemporaneidad. En cada uno de ellos faltan identidades de máquina.
Los restablecimientos de credenciales no fueron diseñados para máquinas
Restablecer la contraseña de cada empleado a posteriori de un incidente es una habilidad en serie, pero no detiene el movimiento pegado a través de una cuenta de servicio comprometida. El maniquí del propio manual de estrategias de Gartner muestra claramente el punto ciego.
La hoja de contención del Ransomware Playbook Sample enumera tres pasos para restablecer las credenciales: forzar el vallado de sesión de todas las cuentas de adjudicatario afectadas a través de Active Directory, forzar el cambio de contraseña en todas las cuentas de adjudicatario afectadas a través de Active Directory y restablecer la cuenta del dispositivo a través de Active Directory. Tres pasos, todo Active Directory, cero credenciales no humanas. Sin cuentas de servicio, sin claves API, sin tokens, sin certificados. Las credenciales de las máquinas necesitan su propia cautiverio de mando.
Nadie inventaria las identidades de las máquinas antiguamente de un incidente
No puede restablecer las credenciales que no sabe que existen. Las cuentas de servicio, las claves API y los tokens necesitan asignaciones de propiedad asignadas antiguamente del incidente. Descubrirlos en medio de una infracción cuesta días.
Sólo el 51% de las organizaciones tienen siquiera una puntuación de exposición a la ciberseguridad, según el crónica de Ivanti, lo que significa que casi la medio no podría decirle a la comité directiva la exposición de la identidad de su máquina si se le preguntara mañana. Sólo el 27% califica su evaluación de exposición al aventura como “excelente”, a pesar de que el 64% invierte en trámite de exposición. La brecha entre inversión y ejecución es donde desaparecen las identidades de las máquinas.
El aislamiento de la red no revoca las cadenas de confianza
Sacar una máquina de la red no revoca las claves API que emitió para los sistemas posteriores. La contención que se detiene en el perímetro de la red supone que la confianza está limitada por la topología. Las identidades de las máquinas no respetan ese conclusión. Se autentican a través de él.
La propia nota de investigación de Gartner advierte que los adversarios pueden sobrevenir días o meses excavando y ganando movimiento pegado internamente de las redes, recopilando credenciales de persistencia antiguamente de implementar ransomware. Durante esa período de excavación, las cuentas de servicio y los tokens API son las credenciales que se obtienen más fácilmente sin activar alertas. Según CrowdStrike, al setenta y seis por ciento de las organizaciones les preocupa detener la propagación del ransomware desde un host no administrado a través de posibles compartidos de red de PYMES. Los líderes de seguridad deben mapear qué sistemas confían en la identidad de cada máquina para poder revocar el entrada en toda la cautiverio, no solo en el punto final comprometido.
La dialéctica de detección no se creó para el comportamiento de la máquina
El comportamiento deforme de la identidad de la máquina no activa alertas como lo hace una cuenta de adjudicatario comprometida. Los volúmenes inusuales de llamadas a API, los tokens utilizados fuera de las ventanas de automatización y las cuentas de servicio que se autentican desde nuevas ubicaciones requieren reglas de detección que la mayoría de los SOC no han escrito. La indagación de CrowdStrike encontró que el 85% de los equipos de seguridad reconocen que los métodos de detección tradicionales no pueden seguir el ritmo de las amenazas modernas. Sin incautación, sólo el 53% ha implementado la detección de amenazas basada en IA. La dialéctica de detección que detectaría el tropelía de identidad de las máquinas tan pronto como existe en la mayoría de los entornos.
Las cuentas de servicios obsoletas siguen siendo el punto de entrada más ligera
Las cuentas que no han sido rotadas en abriles, algunas creadas por empleados que se fueron hace mucho tiempo, son la superficie más débil para los ataques basados en máquinas.
La manual de Gartner exige una autenticación sólida para “usuarios privilegiados, como administradores de bases de datos e infraestructura y cuentas de servicio”, pero esa recomendación se encuentra en la sección de prevención, no en el manual de contención donde los equipos la necesitan durante un incidente activo. Las auditorías de cuentas huérfanas y los cronogramas de rotación pertenecen a la preparación previa al incidente, no a las luchas posteriores a la infracción.
La hacienda hace que esto sea urgente ahora.
La IA agente multiplicará el problema. El ochenta y siete por ciento de los profesionales de seguridad dicen que la integración de la IA agente es una prioridad, y el 77% se siente cómodo al permitir que la IA autónoma actúe sin supervisión humana, según el crónica de Ivanti. Pero sólo el 55% utiliza barandillas formales. Cada agente autónomo crea nuevas identidades de máquina, identidades que se autentifican, toman decisiones y actúan de forma independiente. Si las organizaciones no pueden mandar las identidades de las máquinas que tienen hoy, están a punto de adicionar un orden de magnitud más.
Gartner estima que los costos totales de recuperación son 10 veces superiores al rescate mismo. CrowdStrike sitúa el coste medio del tiempo de inactividad del ransomware en 1,7 millones de dólares por incidente, y las organizaciones del sector sabido promedian 2,5 millones de dólares. Fertilizar no ayuda. Al 93 por ciento de las organizaciones que pagaron les robaron datos de todos modos y el 83 por ciento fueron atacados nuevamente. Casi el 40% no pudo restaurar completamente los datos de las copias de seguridad a posteriori de incidentes de ransomware. La hacienda del ransomware se ha profesionalizado hasta el punto en que los grupos adversarios ahora cifran archivos de forma remota a través de redes compartidas de SMB desde sistemas no administrados, sin transferir nunca el binario del ransomware a un punto final administrado.
Los líderes de seguridad que ahora incorporan en sus manuales un inventario de identidades de máquinas, reglas de detección y procedimientos de contención no sólo cerrarán la brecha que los atacantes están explotando hoy en día, sino que estarán posicionados para mandar las identidades autónomas que llegarán a continuación. La prueba es si esas adiciones sobreviven al sucesivo adiestramiento práctico. Si no aguantan allí, no aguantarán en un incidente actual.
