No se necesita un ataque sofisticado para entrar a tu empresa. Se necesita una contraseña.
El reporte State of Identity Security 2026 de Sophos, basado en una encuesta a 5,000 líderes de TI y ciberseguridad en 17 países, reveló que el 83.3% de las organizaciones mexicanas sufrió al menos una brecha relacionada con robo de identidad digital en el último año la segunda cifra más alta del mundo, solo detrás de Suiza (88.7%) y por encima del promedio global de 70.9%.
La cifra no sorprende a quien trabaja en el sector. Lo que sí debería preocupar a cualquier dirección general es lo que viene después del dato.
¿Qué significa "robo de identidad digital" para una empresa?
No estamos hablando de que alguien clone tu INE. Estamos hablando de que un atacante obtenga las credenciales usuario y contraseña de alguien en tu empresa y las use para entrar como si fuera esa persona. Sin forzar ninguna puerta, sin explotar ninguna falla técnica. Simplemente inicia sesión.
El reporte de Sophos confirma que dos tercios de las víctimas de ransomware (67%) rastrearon el origen del ataque a una identidad comprometida. Es decir: el ransomware no empezó con un virus. Empezó con un correo de phishing que robó una contraseña, o con una contraseña vieja que nunca se cambió, o con una cuenta de servicio que nadie auditaba.
¿Por qué las empresas pequeñas son más vulnerables?
El mismo reporte encontró que las organizaciones de 100 a 250 empleados tienen el doble de probabilidad de no detectar un ataque de identidad comparadas con empresas de más de 1,000 empleados. La razón es simple: menos recursos de monitoreo, menos personal de TI y menos visibilidad sobre quién accede a qué.
En México, donde la mayoría de las PyMEs operan con equipos de TI de 1 a 4 personas, esta brecha de detección es aún mayor. Solo el 24% de las organizaciones encuestadas monitorea continuamente los intentos de inicio de sesión inusuales. El 76% restante revisa cada tres meses o menos, tiempo suficiente para que un atacante entre, robe información y desaparezca sin dejar rastro.
El costo promedio de remediar una brecha de identidad es de 1.64 millones de dólares según el mismo estudio. Para una PyME mexicana, una fracción de esa cifra puede significar el cierre del negocio.
Qué hacer esta semana, este mes y a largo plazo
Esta semana
Activa el doble factor de autenticación en todo. Correo corporativo, VPN, acceso remoto, sistemas críticos. Sin excepciones, sin "después lo hago". El 59% de los incidentes analizados por Sophos ocurrieron en organizaciones donde el MFA no estaba implementado. Esta es la acción de menor costo y mayor impacto que existe en ciberseguridad.
Este mes
Audita las cuentas de acceso de tu empresa. ¿Cuántas cuentas de correo o de sistema siguen activas para personas que ya no trabajan ahí? ¿Cuántas cuentas de servicio tienen contraseñas que no se han cambiado en años? Solo el 34% de las organizaciones audita regularmente estas cuentas. Revisa, desactiva lo que no se usa y cambia las contraseñas de servicio.
A largo plazo
Implementa monitoreo de accesos. No se trata de vigilar a tus empleados. Se trata de detectar cuando alguien inicia sesión desde una ubicación inusual a las 3 de la mañana, o cuando una cuenta de servicio empieza a acceder a archivos que nunca antes había tocado. Ese tipo de comportamiento es la señal más temprana de un ataque de identidad y sin monitoreo, pasa completamente desapercibido.
¿Sabes cuántas cuentas activas tiene tu empresa en este momento y cuántas deberían estar desactivadas? Agenda un diagnóstico gratuito de 30 minutos en codigovigia.com/contactanos sin compromisos, sin tecnicismos.
Fuentes:
- Sophos, "The State of Identity Security 2026" sophos.com, mayo 2026
- Sophos, "Active Adversary Report 2026" sophos.com, febrero 2026
- Help Net Security, "Over 70% of organizations hit by identity breaches" helpnetsecurity.com, mayo 2026
- Cybersecurity Insiders, "Identity-Related Breach Hit 71% of Enterprises" cybersecurity-insiders.com, mayo 2026
Código Vigía · Ciberseguridad empresarial · Culiacán, Sinaloa, México · codigovigia.com