What percentage of organizations experienced an identity-related breach in the past year according to Sophos?

71% of organizations worldwide suffered at least one identity-related security breach in the past year.

How do identity-based breaches differ from traditional network intrusions?

Rather than breaking through a firewall, attackers compromise credentials or tokens to gain legitimate-looking access, making detection slower and remediation more complex.

What are some recent real-world examples of breaches caused by compromised identities?

The Alert 360 breach exposed 2.5 million records, and the Zara breach affected nearly 200,000 customers through a third-party vendor, both stemming from compromised access credentials.

Why are non-human identities like API keys and AI agents becoming prime targets?

They are frequently mismanaged with overly broad permissions, rarely rotated, and inconsistently monitored, making them high-value targets that can persist unnoticed.

What makes API keys in code repositories especially risky?

An API key embedded in a repository can grant attackers access without proper lifecycle management, as these non-human identities often lack regular rotation and monitoring.

Sophos: el 71% de las empresas sufrió brechas de identidad en 2025

Un importante nuevo informe de Sophos ha puesto una cifra impactante a un problema sobre el que los profesionales de la seguridad llevan años advirtiendo: el 71% de las organizaciones a nivel mundial sufrió al menos una brecha de seguridad relacionada con la identidad en el último año. Los hallazgos llegan en un momento en que los ataques basados en la identidad ya no son una amenaza de nicho, sino el método dominante mediante el cual los atacantes consiguen afianzarse en los entornos corporativos. Tanto para las empresas como para los particulares, los datos son una señal clara de que la higiene de la identidad ya no puede considerarse una preocupación secundaria.

Lo que revelan los datos de Sophos sobre la frecuencia y el alcance de las brechas de identidad

La magnitud de los hallazgos de Sophos es difícil de ignorar. Casi tres de cada cuatro organizaciones, en todos los sectores y geografías, sufrieron un compromiso relacionado con la identidad en un solo año. No se trata de un puñado de objetivos de alto perfil; refleja una vulnerabilidad sistémica y generalizada en la forma en que las organizaciones gestionan quién y qué tiene acceso a sus sistemas.

Las brechas relacionadas con la identidad difieren de las intrusiones de red tradicionales en un aspecto importante. En lugar de atravesar un cortafuegos, los atacantes comprometen credenciales o tokens que les otorgan un acceso aparentemente legítimo. Una vez dentro, pueden moverse lateralmente, escalar privilegios y extraer datos, aparentando ser, al menos inicialmente, usuarios autorizados. Esto hace que la detección sea más lenta y la corrección más compleja.

Las consecuencias reales de los fallos de identidad ya han ocupado los titulares en 2025. La brecha de Alert 360 que expuso 2.5 millones de registros y la brecha de Zara que afectó a casi 200.000 clientes a través de un proveedor externo ilustran cómo las credenciales de acceso comprometidas, ya sea mediante ataques directos o por exposición en la cadena de suministro, pueden derivar en pérdidas masivas de datos.

Cómo las identidades no humanas y las claves API se están convirtiendo en objetivos principales

Uno de los hallazgos más prospectivos del informe de Sophos es la atención que presta a las identidades no humanas. Esta categoría incluye claves API, cuentas de servicio, scripts de automatización y, cada vez más, agentes de IA a los que se concede acceso a los sistemas para realizar tareas de forma autónoma.

A medida que las organizaciones adoptan herramientas impulsadas por IA y automatizan más sus flujos de trabajo, están creando un inventario creciente de actores no humanos que poseen credenciales y permisos. El problema es que estas identidades se gestionan mal con frecuencia: los permisos son excesivamente amplios, las credenciales rara vez se rotan y la supervisión de comportamientos anómalos es, en el mejor de los casos, irregular.

Una clave API incrustada en un repositorio de código, o un agente de IA con acceso de escritura a una base de datos de producción, representa un objetivo de alto valor para los atacantes. A diferencia de las cuentas de usuario humano, las identidades no humanas a menudo carecen de la misma gestión del ciclo de vida, lo que significa que pueden persistir mucho después de ser necesarias y pasar desapercibidas cuando se ven comprometidas. El informe de Sophos identifica esta mala gestión como uno de los principales vectores de ataque que impulsan la cifra del 71%.

Por qué el error humano sigue siendo el eslabón más débil en la seguridad de la identidad

Junto con el aumento de los riesgos de identidad no humana, los hallazgos de Sophos confirman que el error humano continúa socavando incluso los programas de seguridad con buenos recursos. El phishing sigue siendo notablemente efectivo. La reutilización de credenciales entre cuentas personales y profesionales crea vías para que los atacantes pasen de una brecha de consumidor a un entorno corporativo. Y las cuentas con privilegios excesivos, creadas por conveniencia y nunca correctamente delimitadas, otorgan a los atacantes más acceso del que jamás deberían poder alcanzar.

El elemento humano también se hace evidente en la rapidez con la que escalan las brechas una vez que se obtiene el acceso inicial. Una sola cuenta comprometida utilizada por alguien con amplios derechos administrativos puede exponer miles de registros en cuestión de horas. El sector sanitario ha demostrado ser particularmente vulnerable, como se ha visto en incidentes como la brecha de NYC Health que afectó a 1.8 millones de personas, donde la mala gestión de la identidad en cualquier nivel de un sistema complejo puede tener consecuencias desproporcionadas.

Los programas de formación y concienciación ayudan, pero no son suficientes por sí solos. Los datos de Sophos sugieren que las organizaciones necesitan controles estructurales que reduzcan el radio de impacto de los errores humanos, no solo políticas que dependan de que los empleados hagan lo correcto en cada ocasión.

Defensa en profundidad: dónde encajan las VPN y las herramientas de privacidad en la protección de la identidad

Ninguna herramienta por sí sola resuelve el problema de la seguridad de la identidad, y ese es precisamente el quid. El concepto de defensa en profundidad, superponer múltiples controles de seguridad para que un fallo en uno no signifique automáticamente un compromiso total, es el marco que los hallazgos de Sophos defienden, incluso de forma implícita.

Las VPN desempeñan un papel específico e importante en esta pila. Al cifrar el tráfico de red y enmascarar los metadatos de la conexión, una VPN reduce el riesgo de que las credenciales o los tokens de sesión sean interceptados en tránsito, especialmente en redes no confiables. Para los trabajadores remotos que acceden a recursos corporativos desde hoteles, aeropuertos o espacios de trabajo compartidos, una VPN es un control básico pero significativo que cierra una ventana que de otro modo estaría abierta.

Más allá de las VPN, una estrategia de protección de identidad en capas incluye la autenticación multifactor en todas las cuentas, el principio de privilegio mínimo tanto para identidades humanas como no humanas, la auditoría periódica de credenciales y claves API activas, y la supervisión de patrones de inicio de sesión anómalos. Los datos de Sophos refuerzan que estos no son extras opcionales para las grandes empresas; las organizaciones de todos los tamaños están siendo atacadas.

Qué significa esto para usted

Tanto si gestiona el departamento de TI de una empresa como si simplemente es un particular que intenta proteger sus cuentas, el informe de Sophos transmite un mensaje directo: la identidad es ahora el perímetro, y necesita ser defendida en consecuencia.

Estos son pasos concretos que puede dar:

Audite sus credenciales. Identifique cualquier cuenta que utilice contraseñas reutilizadas o débiles y actualícelas con alternativas únicas y complejas almacenadas en un gestor de contraseñas.
Active la autenticación multifactor en todas partes. Priorice primero sus cuentas de correo electrónico, financieras y laborales.
Revise los permisos de las aplicaciones y el acceso a las API. Si gestiona proyectos de software o herramientas empresariales, audite qué servicios tienen credenciales activas y revoque todo lo que ya no esté en uso.
Utilice una VPN en redes no confiables. Cifrar su conexión evita la interceptación de credenciales cuando se encuentra fuera de entornos seguros.
Manténgase informado sobre las brechas. Los servicios que le notifican cuando su correo electrónico aparece en un conjunto de datos de brechas conocidas le ofrecen una alerta temprana para rotar las credenciales afectadas antes de que los atacantes puedan explotarlas.

La cifra del 71% de Sophos no es motivo de pánico, pero sí un motivo para actuar. Las brechas de seguridad relacionadas con la identidad en 2025 no son riesgos hipotéticos; le están ocurriendo a la mayoría de las organizaciones ahora mismo. Construir defensas en capas, combinando prácticas sólidas de identidad con protecciones a nivel de red, es la respuesta práctica que los datos exigen.