El indicador que realmente importa es el de detección fallida: el 18% de las organizaciones chilenas no logró detectar ni contener el ataque más significativo del año antes de que causara daño. Eso posiciona a Chile como el quinto país con peor tasa de detección entre los 17 mercados encuestados, solo detrás de Brasil (21,6%), Suiza (21,1%), Japón (19,6%) y España (18,1%). En la práctica, casi dos de cada diez organizaciones chilenas que fueron atacadas no lo supieron a tiempo.

La detección: el problema más grave

El promedio global de organizaciones que no pudieron contener su ataque de identidad antes de sufrir daño fue de 14,4%. Chile está 3,6 puntos porcentuales por encima de ese umbral. La brecha parece menor en papel; no lo es en consecuencias.

Para las organizaciones que no logran detener el ataque, el costo promedio de recuperación alcanza US$ 1,64 millones, con una mediana de US$ 750.000. El 73% de estas organizaciones estimó costos de recuperación por sobre los US$ 250.000. Las consecuencias más frecuentes son robo de datos (48,8% de los casos), ransomware (48,4%) y extorsión (43,9%). En promedio, cada organización afectada reportó dos consecuencias distintas por incidente.

La brecha de detección también varía por tamaño de organización: el 19,4% de las empresas más pequeñas (100 a 250 empleados) no logró detectar el ataque a tiempo, frente al 11,3% de las medianas (1.001 a 3.000 empleados). En Chile, donde una parte importante de las organizaciones con infraestructura digital cae en el segmento menor, ese dato es directamente aplicable.

Por qué fallamos en identidad

Las causas raíz que explican el éxito de los ataques de identidad son consistentes globalmente: error humano (42,7% de los casos) y gestión débil de identidades no humanas, o NHI (40,6%). Las NHI incluyen cuentas de servicio, claves de API, tokens OAuth y agentes de IA autónomos — entidades que raramente se auditan con la misma rigurosidad que las cuentas humanas y que frecuentemente acumulan permisos amplios sin supervisión activa.

Los datos de higiene operativa revelan dónde está el problema de fondo: solo el 34% de las organizaciones rota o audita sus NHI con frecuencia semanal o mayor. Solo el 24% monitorea de forma continua los intentos de acceso inusuales. Y según Sophos X-Ops, en el 59,5% de los incidentes analizados por sus equipos de respuesta, la autenticación de múltiples factores (MFA) estaba ausente en el sistema afectado — una tecnología que lleva décadas disponible y que todavía no se despliega de forma consistente.

Las organizaciones con gestión débil de NHI también pagan un precio financiero adicional: su costo de recuperación es US$ 147.000 más alto que el promedio, son un 27,9% más propensas a sufrir desvío de pagos y un 24,4% más propensas a ser extorsionadas. Y hay un dato que conecta todo el ecosistema de riesgo: el 67% de las víctimas de ransomware confirmó que el incidente de cifrado fue el mismo evento que su ataque de identidad más significativo. La identidad comprometida no es un problema paralelo — es la puerta de entrada del ransomware.

Sectores chilenos más expuestos

A nivel global, los sectores con mayor tasa de brechas de identidad son energía y utilities (80,3%), gobierno central (78,4%), construcción (76,1%), manufactura (73,6%) y servicios financieros (71%). Todos tienen representación relevante en Chile, y los más críticos operan bajo marcos regulatorios que activan obligaciones concretas.

Bajo la Ley Marco de Ciberseguridad (Ley 21.663), las organizaciones de infraestructura crítica — energía, telecomunicaciones, banca y servicios del Estado — deben notificar incidentes al CSIRT Nacional dentro de las tres horas desde que toman conocimiento. Una organización que cae en el 18% que no detecta su brecha a tiempo no solo absorbe más daño: también arriesga incumplir sus obligaciones regulatorias. Las dos palancas que el informe de Sophos hace urgentes son PAM (Privileged Access Management) para el control de accesos privilegiados y MFA resistente a phishing para las cuentas críticas. Para los CISOs en Chile, el punto de partida es más básico aún: saber cuántas identidades no humanas tiene la organización. La mayoría no lo sabe.

Fuente: Sophos

La entrada Brechas de identidad en Chile: el 18% no las detectó se publicó primero en ZonaCISO.

Por Fabio Assolini, Director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

El ransomware evoluciona hacia 2026 con RaaS e inteligencia artificial. Expertos advierten sobre nuevas tácticas y cómo prepararse ante ataques más autónomos.

El impacto económico del ransomware podría ser abrumador. VDC Research y Kaspersky realizaron una estimación que mostró que, tan solo en el sector manufacturero, las pérdidas potenciales por ataques de ransomware (si hubieran tenido éxito) habrían superado los US$18.000 millones durante los primeros tres trimestres de 2025. A nivel regional, Asia-Pacífico concentra la mayor parte de este impacto, con US$11.5 mil millones en pérdidas potenciales, lo que subraya cómo la rápida digitalización en economías emergentes amplía las superficies de ataque.

En 2025, el ransomware demostró resiliencia, evolución y capacidad de adaptación. Los modelos de “Ransomware como Servicio” (Ransomware-as-a-Service o RaaS) dominaron el panorama. Estos redujeron significativamente las barreras de entrada para ciberdelincuentes novatos, al ofrecer malware, programas de afiliados e incluso intermediación de accesos iniciales, lo que ha dado lugar a una división de rescates 90/10 a favor de los operadores. Plataformas como RansomHub (actualmente desmantelada) fueron rápidamente sustituidas por otros grupos como Qilin, Akira, Cl0p y Sinobi.

Las tácticas también han evolucionado de forma alarmante, especialmente aquellas que utilizan controladores vulnerables firmados. Estas se apoyan en la técnica BYOVD (Bring-Your-Own-Vulnerable-Driver o “Trae tu propio controlador vulnerable”), como se ha visto en los ataques realizados por MedusaLocker. La doble y triple extorsión, es decir, cifrar la información mientras se roba en tiempo real para después difundirla entre clientes, reguladores o competidores, se ha convertido en una práctica habitual.

Los atacantes están evadiendo las defensas tradicionales al dirigirse a puntos de entrada poco convencionales: dispositivos IoT, electrodomésticos inteligentes e incluso cámaras web, como ocurrió con el grupo criminal Akira. La integración de la inteligencia artificial, en particular los modelos de lenguaje de gran tamaño (LLM, por sus siglas en inglés), ha acelerado este fenómeno. Grupos como FunkSec, surgido a finales de 2024, utilizan códigos generados por IA para llevar a cabo ataques de bajo costo y alto volumen contra los sectores gubernamental, financiero y educativo en regiones como India y Europa.

Grupos hacktivistas como Head Mare y Twelve han convertido el ransomware en un arma contra la industria manufacturera y otros objetivos. En África, aunque la prevalencia es menor debido a una digitalización limitada, focos como Sudáfrica y Nigeria registran un aumento de incidentes en el sector financiero. Europa, respaldada por regulaciones como el Reglamento General de Protección de Datos (GDPR), ha resistido mejor, pero interrupciones como el ataque de RansomHub a oficinas de Kawasaki evidencian las vulnerabilidades en la cadena de suministro.

De cara a 2026, el ransomware no solo persiste, se prepara para dar un salto impulsado por la rápida integración de la IA en el cibercrimen. Los sistemas de IA agéntica, capaces de razonar de forma autónoma y adaptarse en tiempo real, probablemente automatizarán toda la cadena de ataque, desde el reconocimiento inicial hasta las demandas finales de extorsión, ejecutándose a velocidades muy superiores a las humanas.

Las plataformas de Ransomware-as-a-Service potenciadas por IA podrían permitir que incluso hackers inexpertos lancen malware polimórfico que muta sobre la marcha o utilicen videos deepfake para chantajear a ejecutivos. El número de víctimas podría dispararse, a medida que los atacantes escalan operaciones de alto volumen contra proveedores externos. Las tácticas de extorsión podrían evolucionar hacia la manipulación encubierta de datos y el sabotaje reputacional, erosionando la confianza en las marcas de la noche a la mañana.

Los retos

Para mantenerse un paso adelante, las organizaciones deben invertir en inteligencia de amenazas y detección proactiva, así como implementar respaldos inmutables y aislados. También es clave realizar auditorías exhaustivas a la cadena de suministro y adoptar autenticación multifactor avanzada. Deben implementarse capacitaciones específicas para contrarrestar esquemas de phishing potenciados por IA.

El auge del ransomware en 2025, marcado por el impulso de la IA, ataques dirigidos y costos desbordados, sirve como advertencia para el mundo empresarial. En 2026, las amenazas autónomas podrían rebasar a quienes no estén preparados, pero con modelos de protección resilientes, las empresas no solo pueden sobrevivir, sino prosperar. La elección es clara: evolucionar más rápido que los atacantes o arriesgarse a convertirse en la próxima noticia de portada.

Para contrarrestar eficazmente el ransomware, se debe comenzar habilitando protección dedicada en todos los endpoints. En empresas no industriales, es recomendable implementar herramientas contra Amenazas Persistentes Avanzadas (anti-APT), así como de Detección y Respuesta de Endpoints (EDR) para fortalecer el descubrimiento de amenazas, su detección, investigación y remediación rápida de incidentes. Además, es fundamental dotar a los equipos SOC de inteligencia de amenazas actualizada y capacitación continua, accesibles mediante plataformas integrales como Kaspersky Next, para construir una estrategia de defensa sólida.

En el caso de organizaciones del sector industrial, es necesario adoptar un ecosistema especializado como Kaspersky Industrial CyberSecurity (KICS), que combina tecnologías diseñadas para entornos de tecnología operativa (OT), conocimiento experto y una plataforma nativa de Detección y Respuesta Extendidas (XDR) pensada para infraestructura crítica. Esta solución ofrece análisis robusto del tráfico de red, protección de endpoints y capacidades de respuesta, integrando la seguridad TI tradicional con medidas específicas para entornos industriales, a fin de frenar amenazas sofisticadas.

La entrada La amenaza en evolución: El ransomware y lo que podemos esperar en 2026 se publicó primero en ZonaCISO.