El 2026 Identity Exposure Report de SpyCloud revela un cambio estructural en el panorama de las amenazas digitales: los atacantes ya no se enfocan únicamente en credenciales humanas, sino que ahora apuntan a identidades no humanas (NHI) como API keys, tokens de sesión y credenciales de automatización.
Principales hallazgos del informe
Auge de las identidades no humanas
- Se recapturaron 1 millones de API keys y tokens expuestos en 2025, vinculados a plataformas de pago, infraestructura en la nube, herramientas de colaboración y servicios de IA.
- Se identificaron 2 millones de credenciales ligadas a herramientas de IA, reflejando la rápida adopción empresarial de estas plataformas.
- A diferencia de las credenciales humanas, las NHI suelen carecer de MFA, rotan con poca frecuencia y poseen permisos amplios, lo que las convierte en un acceso persistente a sistemas críticos.
Phishing como amenaza empresarial
- Se recapturaron 6 millones de identidades obtenidas por phishing, casi la mitad pertenecientes a usuarios corporativos.
- Los ataques de phishing crecieron 400% interanual, superando al malware infostealer como vector principal.
- Los kits modernos incluyen cookies de sesión, tokens de autenticación y datos de MFA, permitiendo a los atacantes asumir sesiones legítimas sin activar alertas.
Robo de sesiones y bypass de MFA
- Se recapturaron 6 mil millones de cookies y artefactos de sesión robados mediante infecciones de malware.
- El 51% de los registros en listas combinadas provenían de logs de infostealer, mostrando la tendencia a reempacar datos exfiltrados.
- En marzo de 2026, Europol y Microsoft desmantelaron Tycoon 2FA, una infraestructura de phishing-as-a-service que facilitaba bypass de MFA mediante kits adversary-in-the-middle.
Malware aún dominante
- Se recapturaron 4 millones de credenciales expuestas de 13.2 millones de infecciones de malware en 2025.
- Cada infección expuso en promedio 50 credenciales, incluso en dispositivos con EDR o antivirus instalados.
Higiene de contraseñas deficiente
- Se recapturaron 3 mil millones de pares de credenciales (usuario/contraseña).
- El 80% de las credenciales corporativas estaban en texto plano.
- Contraseñas populares incluían patrones predecibles como sixseven (140.4M), chiefs/kansas city chiefs (5M) y cadenas numéricas como 2025 (4.1M).
- Se hallaron 1 millones de contraseñas maestras de gestores de contraseñas, lo que plantea riesgos de compromisos a nivel de bóveda.
Implicaciones para las organizaciones
El informe subraya que los atacantes están combinando datos de brechas, phishing, malware, tokens de sesión y credenciales de máquina para construir perfiles compuestos de identidad. Esto alimenta ataques de ransomware, secuestro de sesiones y compromisos de la cadena de suministro.
Con la aceleración de la adopción de la nube y la integración de herramientas de IA en los flujos de trabajo, las identidades no humanas se han convertido en un superficie crítica de ataque.
El mensaje de SpyCloud es claro: las empresas deben pasar de la protección puntual a una monitorización continua de exposición de identidades, incluyendo tanto credenciales humanas como de máquina. La automatización de flujos de remediación puede reducir significativamente la ventana de oportunidad de los atacantes.
En palabras de Trevor Hilligoss, Chief Intelligence Officer de SpyCloud: “El reto no es solo detener el phishing o el malware, sino entender cómo las identidades expuestas se conectan entre sistemas, proveedores y flujos de automatización.”
Este informe confirma que la identidad digital —humana y no humana— es hoy el recurso más codiciado por los atacantes, y que protegerla requiere una visión integral y proactiva.
