Hard2bit
← Volver al blog

Ciberamenazas 2026: el ataque ya no entra por “el firewall”, entra por la identidad (y por tu cadena de proveedores)

Por Adrián González · 14 de febrero de 2026
Ciberamenazas Normativa & GRC
ciberseguridad entidad resiliencia NIS2

Introducción

Durante años, muchas organizaciones han invertido en perímetro: firewalls, segmentación, IDS/IPS. Todo eso sigue siendo importante. Pero el patrón operativo de los incidentes actuales es otro: el atacante entra por credenciales, se mueve con permisos, y gana cuando la organización no detecta a tiempo o no puede recuperarse.

El resultado práctico: la seguridad ya no se decide solo en el “stack técnico”, sino en identidad, gobierno de accesos, control de terceros y resiliencia operativa (lo que además conecta directamente con NIS2 y DORA).

1) Tres tendencias que están definiendo los incidentes actuales

1.1 Identidad como superficie de ataque principal

La identidad es el nuevo “perímetro”. Cuando un atacante obtiene credenciales (por phishing, reutilización, fuga previa o robo de sesión), muchas defensas tradicionales quedan detrás.

Señales típicas:

  • Accesos válidos desde ubicaciones/horas anómalas
  • Creación de tokens/sesiones persistentes
  • Elevaciones de privilegio y abuso de cuentas administrativas

Qué priorizar:

  • MFA resistente a phishing (cuando aplique) y políticas de acceso condicional
  • Revisión de privilegios (mínimo necesario) + segregación de funciones
  • Protección y rotación de credenciales de servicio / secretos

1.2 Ransomware: el negocio no está en cifrar, está en extorsionar (y en parar la operación)

Ransomware hoy es cadena: intrusión → movimiento lateral → exfiltración → cifrado (a veces) → extorsión. Y el impacto real suele venir por parada operativa y costes de recuperación.

Qué priorizar esta semana:

  • Backups inmutables o aislados + restauraciones probadas (no solo configuradas)
  • Segmentación por “zonas de confianza” y control estricto de administración remota
  • Detección temprana (EDR + alertas sobre credenciales, privilegios y herramientas de admin)

1.3 Terceros y proveedores: el multiplicador de riesgo silencioso

Tus proveedores (cloud, data center, MSP/MSSP, software, servicios gestionados) pueden ampliar tu superficie de ataque más que cualquier puerto abierto.

Qué priorizar:

  • Inventario real de terceros críticos (no solo compras/finanzas)
  • Requisitos mínimos de seguridad y evidencias (controles, auditorías, SLAs)
  • Plan de respuesta: ¿qué pasa si tu proveedor cae o sufre un incidente?

2) Cómo aterrizar esto en un plan de 30 días (sin “proyectos eternos”)

Semana 1 — Identidad y accesos (rápido y con impacto)

  • Inventario de cuentas privilegiadas (personas, servicios, integraciones)
  • MFA obligatorio donde sea posible y políticas de acceso por riesgo
  • Revisión de permisos: elimina privilegios “por si acaso”

Semana 2 — Resiliencia operativa (prepararte para el peor día)

  • Backups: define RPO/RTO por servicio crítico
  • Simulacro de restauración (un servicio real, fin a fin)
  • Revisión de continuidad: dependencias, proveedores, comunicaciones, responsables

Semana 3 — Detección y respuesta (tiempo = dinero)

  • Asegura telemetría mínima (endpoint, identidad, correo, cloud)
  • Casos de uso: acceso anómalo, creación de cuentas, elevación de privilegios, herramientas remotas
  • Runbooks: qué hacemos en las primeras 2 horas

Semana 4 — Terceros y gobierno (para no repetir)

  • Clasificación de proveedores críticos + requisitos mínimos
  • Procedimiento de incidentes con terceros (contactos, plazos, evidencias)
  • Revisión de métricas: MTTD/MTTR, restauraciones, cumplimiento de controles

3) ¿Qué tiene que ver esto con NIS2 y DORA?

Aunque NIS2 y DORA no son “lo mismo”, empujan en la misma dirección: gestión de riesgos, reporting de incidentes, resiliencia, y control de proveedores.

  • NIS2 refuerza medidas de gestión del riesgo e incident reporting (con especificaciones técnicas para ciertos proveedores digitales).
  • DORA estructura la resiliencia operativa (gestión de riesgo TIC, pruebas, y terceros críticos).

Si conviertes el plan de 30 días en un modelo operativo repetible, estás construyendo seguridad real y, además, te acercas a cumplir con expectativas regulatorias sin hacerlo “solo por el papel”.


La pregunta clave ya no es “¿tenemos firewall y antivirus?”, sino:

  • ¿Podemos detectar abuso de identidad rápido?
  • ¿Podemos recuperar operación crítica con garantías?
  • ¿Podemos demostrar control sobre proveedores y servicios externos?

Si quieres, en Hard2bit CyberSecurity podemos ayudarte a traducir esto a controles, evidencias y un plan realista (SOC + GRC + continuidad) para vuestro contexto.