Por qué la guerra cibernética ahora es un problema de seguridad para todas las empresas

Publicado el junio 08, 2026

La guerra cibernética ya no se limita a la geopolítica. Lo que antes era una preocupación principal para las agencias gubernamentales y los contratistas de defensa ahora es una realidad para las empresas de todos los sectores. En marzo de 2026, un grupo de hackers vinculado a Irán, Handala, afirmó haber borrado más de 200.000 sistemas, servidores y dispositivos móviles en Stryker — una empresa de tecnología médica sin relación directa con ningún conflicto geopolítico — mediante el uso de una herramienta legítima de gestión de endpoints dentro del ámbito de la empresa.

Esta es la realidad para la que las empresas deben prepararse ahora. Las organizaciones están siendo atacadas independientemente de su proximidad al conflicto, y asumir que solo las agencias gubernamentales están en riesgo es cada vez más peligroso. La superficie de ataque cibernético se ha expandido, las tácticas continúan evolucionando y la postura de seguridad empresarial debe evolucionar a la par.

Cómo la guerra cibernética está afectando a las empresas

Las tácticas que impulsan la guerra cibernética moderna ya no están dirigidas únicamente a objetivos federales. Los actores estatales cada vez más atacan a las empresas como una vía para generar una disrupción más amplia, ya sea para acceder a las cadenas de suministro, extraer datos confidenciales o causar daños colaterales en toda la infraestructura interconectada. Al mismo tiempo, las amenazas criminales han escalado de forma independiente. La automatización de IA ha hecho que los ataques sofisticados sean más baratos y rápidos de ejecutar, y las plataformas de ransomware como servicio (RaaS) han convertido lo que antes exigía importantes recursos en un método fácilmente accesible. Las campañas de phishing generadas por IA y las herramientas de ataque autónomas son ahora la norma, no la excepción. Las compañías se enfrentan a ambas amenazas simultáneamente, y las defensas necesarias para abordarlas se superponen significativamente.

La dimensión de la cadena de suministro hace que esto sea particularmente peligroso. Una sola violación de seguridad puede afectar a todas las empresas conectadas, y muchas de esas organizaciones nunca considerarse un objetivo. Esa suposición es exactamente de la que se aprovechan los atacantes. Las empresas no son meros espectadores; a menudo son el camino a través del cual los ataques logran tener éxito a gran escala. El acceso a una red corporativa implica el acceso a clientes, socios, datos confidenciales y sistemas financieros. Toda organización que forme parte de una cadena de suministro compleja puede convertirse en un vector de ataque.

Las empresas subestiman el impacto de la identidad en la superficie de ataque

En la mayoría de los ataques cibernéticos a gran escala, las identidades comprometidas son los objetivos principales. Los ciberatacantes utilizan técnicas como la pulverización de contraseñas y la recolección de credenciales para vulnerar organizaciones de distintos sectores, incluidos el de la salud y el de los servicios financieros. En muchos casos, el punto de entrada se puede rastrear hasta una identidad vulnerada, incluidas las identidades no humanas (NHI) como cuentas de servicio y agentes de IA.

El informe de investigación de Keeper Security, Seguridad de identidad a velocidad de máquina, refuerza la tendencia, al constatar que las herramientas heredadas y la adopción descontrolada de la IA están acelerando los ataques basados en la identidad a un ritmo que muchas organizaciones no pueden afrontar. De hecho, el 43% de los 3,200 tomadores de decisiones de ciberseguridad encuestados a nivel mundial identifican la gestión de NHI relacionada con la IA como una brecha principal en la gobernanza de la identidad. Las cuentas de servicio con permisos obsoletos, las claves API integradas en repositorios de código y los agentes de IA aprovisionados al margen de los procesos de gobernanza establecidos son vulnerabilidades que aprovechan los ciberatacantes, y la mayoría de las organizaciones carecen de una visibilidad clara del número de casos que existen en sus entornos.

Legacy PAM no fue diseñado para este entorno

La mayoría de las compañías aún gestionan el acceso privilegiado mediante una arquitectura estructurada para una era tradicional de entornos locales, administradores humanos y perímetros de red definidos. Ese modelo ya no refleja la forma en que operan realmente las empresas modernas. Las organizaciones ahora deben considerar los entornos nativos de la nube, las fuerzas de trabajo distribuidas, las integraciones de terceros y los flujos de trabajo impulsados por IA que han disuelto los perímetros para los que soluciones heredadas de gestión de acceso privilegiado (PAM) fueron diseñadas. Los agentes de IA, las cuentas de servicio y otras identidades digitales a menudo permanecen fuera de su alcance.

La brecha no es solo técnica, es estructural. Las organizaciones que no han revisado su arquitectura de PAM en los últimos 3 años probablemente solo están gestionando una fracción de su huella real de acceso privilegiado.

Lo que las empresas deben hacer de manera diferente para estar protegidas

Para la mayoría de las empresas, la brecha entre su postura de seguridad actual y lo que implica el entorno de amenazas es mayor de lo que parece. Para cerrar esa brecha, se requiere un enfoque más fuerte en la seguridad de confianza cero, la gestión de acceso privilegiado (PAM) y el acceso con privilegios mínimos.

Adoptar la seguridad de confianza cero

La seguridad de confianza cero se basa en el principio de que no se confía implícitamente en ningún usuario, dispositivo o sistema, independientemente de si opera dentro o fuera del perímetro de la red. El acceso se concede mediante verificación continua de identidad, contexto y riesgo, y se revoca tan pronto como falla la verificación. Para las empresas que enfrentan atacantes que se desplazan lateralmente por los entornos usando credenciales legítimas, la confianza cero ofrece un modelo de seguridad más sólido al garantizar que cada decisión de autenticación se verifique continuamente en lugar de asumirse como confiable por defecto.

Extender PAM a las NHI

Un sistema de gestión de acceso privilegiado (PAM) que se limita a los usuarios humanos no gestiona todo el acceso privilegiado; solo controla una parte del mismo. El acceso administrativo y a nivel de máquina a los datos de entrenamiento de IA, los entornos de implementación y los sistemas de producción críticos debe gestionarse con el mismo nivel de control que se aplica a las cuentas humanas con privilegios. En la práctica, eso significa tener identidades únicas y verificables para cada cuenta de servicio y agente de IA, límites de acceso impuestos y cero privilegios permanentes.

Reforzar el acceso con privilegios mínimos

Por lo general, el exceso de permisos se aborda de forma retroactiva mediante revisiones periódicas de acceso. El acceso con privilegios mínimos en cambio, debería integrarse directamente en los procesos de desarrollo e implementación desde el principio, de modo que las identidades humanas y digitales se aprovisionen con solo el acceso necesario para una tarea específica — nada más. Prevenir el acceso no autorizado en el punto de aprovisionamiento es mucho más efectivo que tratar de contener una vulneración en la cadena de suministro una vez que ya se haya producido.

Monitorear y auditar toda la actividad

La visibilidad total no es opcional cuando los ciberatacantes pueden operar en entornos utilizando credenciales vulneradas pero legítimas. La actividad humana y de NHI debe ser monitoreada, grabada y registrada de forma continua en todas las sesiones con privilegios y flujos de trabajo automatizados. El objetivo es detectar el uso indebido de privilegios, la exposición de datos y los comportamientos sospechosos antes de que los incidentes escalen y causen daños más graves.

Exigir garantía del proveedor

La postura de seguridad de una empresa es tan fuerte como el eslabón más débil de su cadena de suministro. Cualquier proveedor con acceso a su infraestructura mediante datos, software o integraciones puede convertirse en un punto de entrada para los atacantes. La autoatestación no es suficiente. Los proveedores deberían estar obligados a demostrar su cumplimiento mediante evaluaciones independientes y controles verificables.

Prepárese para los daños colaterales de la guerra cibernética

La guerra cibernética que afecta a las empresas no es nada nueva. Lo que ha cambiado es el nivel de automatización que hay detrás de estos ataques y la magnitud con la que ahora pueden llevarse a cabo. No hay ninguna razón práctica para suponer que una empresa vaya a pasar desapercibida. Las organizaciones deben evaluar si su estrategia de seguridad actual está preparada para resistir las amenazas cibernéticas modernas. Si su organización sigue operando con herramientas que nunca fueron diseñadas para entornos nativos en la nube o NHI a gran escala, la brecha de gobernanza en el acceso a identidades y la seguridad de la cadena de suministro puede ser mayor de lo que parece. KeeperPAM está diseñado para ayudar a cerrar esa brecha.

Darren Guccione

De Darren Guccione

Darren Guccione es un empresario, tecnólogo, líder empresarial, así como el director general y cofundador de Keeper Security, proveedor líder de software de seguridad cibernética de confianza cero y conocimiento cero utilizado en todo el mundo por millones de personas y miles de empresas. Ha sido un visionario en la industria de la tecnología durante décadas. Antes de cofundar Keeper, Guccione fue asesor de NinthDecimal y director financiero y cofundador de Apollo Solutions, Inc. Es becario del programa «Evans Scholar», recibió el «Distinguished Alumnus Award» de la Universidad de Illinois, además es ingeniero y contador público. Darren participa activamente en el desarrollo de una cultura de innovación en su campo y ha formado parte de numerosos consejos, comités y funciones de asesoramiento tecnológico tanto en el sector público como en el privado. Aparece regularmente en los medios de comunicación compartiendo sus conocimientos sobre seguridad cibernética.