Sean Deuby | Tecnólogo principal, América

Los CISO reciben constantemente advertencias alarmantes sobre la próxima amenaza crítica para la infraestructura de su organización. Y aunque esas advertencias son una parte importante de la inteligencia sobre amenazas, no le ayudan a usted ni a su equipo de seguridad a crear una defensa viable. No necesita otra opinión apocalíptica sobre el ransomware. Necesita información sobre la que pueda actuar y un plan que cuente con el respaldo de su junta directiva.

A lo largo del año, los expertos de Semperis llevan a cabo estudios intersectoriales para comprender y realizar un seguimiento del riesgo global del ransomware, la preparación ante amenazas y la respuesta ante crisis. En esos estudios, encontrará puntos de contacto e información que le ayudarán a elaborar una estrategia pragmática para crear no solo planes de defensa contra el ransomware, sino también una verdadera resiliencia frente a los dinámicos y sofisticados ataques de ransomware.


Riesgo de ransomware: lo que vimos en 2025 (y por qué es importante para 2026)

De la investigación de este año se desprende un hecho inequívoco: la forma más rápida de convertir un incidente cibernético en una interrupción del negocio es a través del compromiso de la infraestructura de identidad, especialmente Active Directory (AD) y Entra ID.

Nuestro Informe sobre el riesgo de ransomware en 2025 revelan que el 83 % de los ataques de ransomware exitosos comprometieron la infraestructura de identidad; sin embargo, muchas organizaciones carecen de un plan de recuperación de AD probado y aún más carecen de capacidades de copia de seguridad específicas para AD.

Figura 1: Los estudios de Semperis muestran que la infraestructura de identidad es el objetivo principal del ransomware, pero no siempre lo es para la planificación de la recuperación.

¿Por qué es esto un problema crítico? Porque la recuperación de Active Directory es compleja, complicada y extremadamente lenta. El 76 % de las víctimas de ransomware necesitaron mucho más de un día —y muchas hasta un mes— para volver a la normalidad.

Figura 2: Los participantes en el estudio informaron que se requería más tiempo para volver a la normalidad tras un ataque de ransomware.

Además, los actores maliciosos, siempre oportunistas, programan sus campañas para momentos en los que las empresas están distraídas. En nuestro Informe sobre el riesgo de ransomware en días festivos de 2025, los encuestados informaron de que el 52 % de los ataques de ransomware se produjeron durante un fin de semana o un día festivo, y el 60 % tras acontecimientos corporativos importantes, como fusiones y adquisiciones.

Por otra parte, aunque la mayoría de las empresas de los encuestados cuentan con un centro de operaciones de seguridad (SOC), el 78 % de ellas reduce la plantilla del SOC en más de un 50 % durante los fines de semana y los días festivos, y el 6 % afirma que no hay cobertura del SOC en absoluto durante esos periodos.

Esa es una brecha de cobertura que puedes cerrar.

Figura 3: Ya sea que se trate de una plantilla reducida durante las vacaciones, fusiones y adquisiciones o una oferta pública inicial, los ciberatacantes están listos y esperando a que bajes la guardia.

Para un CISO que lucha contra el ransomware en 2026, una ciberresiliencia eficaz requiere no solo defensas sólidas contra el ransomware, sino también un plan de respuesta ante crisis que permita una rápida recuperación a un estado fiable.


La trampa del «tenemos un plan»

La mayoría de las empresas pueden afirmar: «Contamos con un plan para hacer frente a las crisis cibernéticas». En nuestro estudio sobre El estado de la preparación ante crisis cibernéticas en las empresas, el 96 % de las organizaciones afirman tenerlo.

Sin embargo, el 71 % siguió sufriendo al menos un ciberincidente que interrumpió funciones empresariales críticas, y el 90 % activó equipos de crisis en los últimos 12 meses.

La brecha no es la intención, sino la ejecución: el 90 % de los equipos informaron de obstáculos graves para una respuesta eficaz a los incidentes cibernéticos.

Figura 4: Los sistemas, las comunicaciones y las herramientas fragmentados impiden una coordinación eficaz de la respuesta ante incidentes.

La solución es la centralización, la coordinación y mucha práctica.


Su equipo de seguridad debe estar equipado con sólidas capacidades defensivas y de supervisión. Y deben tener confianza en su proceso de recuperación de identidad. Contar con un centro de mando fuera de banda (como el plataforma Ready1 ), donde su personal, sus procesos y su tecnología están unificados, le permite no solo planificar su respuesta ante incidentes, sino también entrenarse para ello.

Sin una colaboración continua con profesionales experimentados en la respuesta a incidentes, los equipos suelen elaborar sus planes basándose en suposiciones y no en las amenazas y tendencias del mundo real. Esta carencia se hace dolorosamente evidente durante un incidente real.

Jeff Wichman, director de respuesta ante incidentes, Semperis

Por qué el riesgo de recuperación de identidad debería aparecer en tu primera diapositiva para la junta directiva

Con demasiada frecuencia, las organizaciones se centran en la protección de datos y las copias de seguridad, dejando de lado la planificación de la recuperación. Las medidas defensivas son esenciales, sin duda, y pueden reducir la probabilidad de que un ataque de ransomware tenga éxito. Pero la defensa es solo una parte de la ecuación. La identidad es el primer vector de ataque y lo primero que hay que restaurar.

Traduzcamos eso a términos empresariales. Todos los sistemas de su empresa dependen de la infraestructura de identidad, desde las aplicaciones hasta las operaciones, pasando por las personas, los sistemas, los servicios y los recursos corporativos, tanto en entornos locales como en la nube.

Si el sistema de identidad falla, todo lo que depende de él falla. Eso significa que la pérdida del sistema de identidad supone un alto riesgo para la empresa, y que la recuperación del sistema de identidad es una prioridad en el plan de respuesta ante crisis de la empresa.


La recuperación con integridad (devolver AD y Entra ID a un estado fiable) es la condición previa para restaurar rápidamente las aplicaciones, el acceso y las operaciones de ingresos.


La métrica a tener en cuenta para 2026: tiempo para limpiar la recuperación de la identidad del estado y la reducción asociada del tiempo de inactividad.


Resiliencia de la identidad: mejora de la postura de seguridad y la recuperación

Probablemente haya adoptado la detección y respuesta a amenazas de identidad (ITDR) en principio. Pero las brechas en la ejecución son el caldo de cultivo de los atacantes. Muchas organizaciones carecen de planes de recuperación de identidad ejecutables y de un seguimiento coherente de las medidas correctivas. Solo:

  • El 66 % afirma tener un plan de recuperación ante desastres.
  • El 55 % tiene un plan de recuperación de la identificación de Entra.
  • El 63 % automatiza la recuperación del sistema de identidad.
  • El 45 % cuenta con procedimientos para remediar las vulnerabilidades de identidad.

Esas cifras son un regalo para cualquier adversario.

En cuanto a la postura de seguridad de la identidad, el informe Purple Knight de este año Purple Knight muestra por qué persisten las configuraciones erróneas. La puntuación media inicial de seguridad registrada en 2025 fue de 61 sobre 100, una nota casi suspensa. No se trata solo de un riesgo cibernético, sino de un riesgo para la misión.

La buena noticia: los equipos que aplicaron las directrices de corrección de la herramienta mejoraron una media de 21 puntos, con mejoras máximas de 61 puntos, lo que demuestra que se puede mostrar un progreso cuantificable trimestre tras trimestre.


Qué cambiar para 2026: medidas pragmáticas y listas para la junta directiva

No necesitas 30 prioridades. Necesitas las cinco adecuadas.

  • Reduzca la superficie de ataque a su identidad. A pesar de todo el revuelo que se ha generado, la mayoría de los atacantes utilizan un pequeño número de técnicas probadas y comprobadas para comprometer los sistemas de identidad, por lo que limpiarlas puede reducir significativamente su exposición. Establezca una cadencia para detectar y remediar los indicadores de exposición y compromiso (IOE e IOC) en AD híbrido utilizando una guía priorizada. Purple Knight muestran una mejora creíble y comunicable que las juntas directivas comprenden.
  • Convierta la recuperación limpia de la identidad del estado en su punto de referencia RTO. Documente, automatice y pruebe la recuperación de AD y Entra ID hasta alcanzar un estado fiable , no solo operativo. Realice un seguimiento de su objetivo de tiempo de recuperación (RTO) y su objetivo de punto de recuperación (RPO) para la identidad como métricas empresariales de primer orden; vincúlelos directamente al tiempo de inactividad evitado.
  • Mantenga la guardia alta durante los momentos de distracción. Considere los fines de semana, los días festivos y los eventos corporativos importantes como periodos de mayor riesgo. Los datos indican que los atacantes ya están ahí durante esos momentos de menor cobertura. Autorice previamente los umbrales de decisión, defina las rotaciones de guardia y tenga preparadas las comunicaciones fuera de banda.
  • Mejora tus simulacros. Involucra a los equipos jurídicos, financieros, de continuidad del negocio y de recuperación ante desastres, ya que serán fundamentales cuando se produzca una situación real. Recuerda que el año pasado se activaron equipos de crisis en el 90 % de las organizaciones. Practica como si fuera una certeza, no una posibilidad.
  • Transición del caos al control. Los planes fracasan bajo presión cuando las comunicaciones se fragmentan y las herramientas se multiplican, lo que provoca una brecha en la ejecución incluso entre las organizaciones que «tienen un plan». Centralice la coordinación de la crisis y la recopilación de pruebas. Y establezca funciones y responsabilidades claras.

Cómo poner en práctica la investigación sobre ransomware (este trimestre)

Si desea obtener una respuesta inmediata de su equipo directivo:

  • Comparte las imágenes ejecutivas del Informe sobre riesgos de ransomware 2025, especialmente las diapositivas sobre compromiso de identidad y tiempo de recuperación, y establece compromisos de RTO y RPO de identidad.
  • Utilice el Informe sobre riesgos de ransomware durante las vacaciones para establecer una cobertura temporal ante el aumento de casos durante la próxima oleada de fines de semana y días festivos, y para reforzar la gobernanza en torno a fusiones y adquisiciones, salidas a bolsa y despidos.
  • Encargue una rápida evaluación de la postura de identidad con Purple Knight; muestre su puntuación actual y el plan de mejora con fechas y responsables. Es una forma sencilla y creíble de demostrar el impulso y el retorno de la inversión.
  • Actualice sus simulacros de crisis para incluir a las partes interesadas no técnicas que realmente determinan la rapidez de las decisiones y la confianza en la normativa. La comunicación entre equipos es uno de los principales obstáculos; comience por identificar una plataforma de gestión de crisis integral y fuera de banda, como Ready1.

Mantén el toque humano y hazlo medible.

Sí, este año hemos observado una ligera mejora en el éxito de los ataques de ransomware. Pero las verdades perdurables siguen siendo las mismas: el compromiso de la infraestructura de identidad es la vía más rápida hacia un impacto significativo en el negocio, y la integridad de la recuperación es el cuello de botella que determina la duración de la interrupción del servicio.

El eje central para 2026 no es más de todo, sino un enfoque preciso en la resiliencia de la identidad y la cobertura de los momentos importantes en los que los adversarios siguen ganando.

Ya lideras desde la primera línea. Los equipos que proteges dan lo mejor de sí mismos cuando el camino está despejado y las métricas son honestas. En 2026, eso se traduce en: menos ventanas sorpresa, menos puertas traseras de identidad, una recuperación más rápida del estado limpio y comunicaciones más seguras cuando la presión aumenta.

Esa es la resiliencia que sentirá tu junta directiva y que tu empresa aprovechará.


Recursos para compartir con su equipo directivo