Durante más de una década, el malware y el ransomware fueron considerados los mayores riesgos para la ciberseguridad. Sin embargo, desde 2025 —y de forma aún más evidente este año— el escenario está cambiando. Ahora, el mayor peligro para las organizaciones ya no proviene únicamente de software malicioso, sino de quién logra obtener permisos de entrada a los sistemas críticos y gestionarlos.
Según One Identity, más de 25% de las intrusiones cibernéticas actuales en América Latina tienen su origen en credenciales comprometidas, privilegios elevados mal gestionados y fallas en los controles de identidad, estrategias que están reemplazando el uso de malware, también conocido como “caballo de Troya”. Esto marca un cambio estructural en el paradigma de seguridad, ya que la identidad se ha convertido, al mismo tiempo, en el nuevo eje de protección y de riesgo.
“Durante años, las organizaciones invirtieron en bloquear amenazas externas. Hoy, el peligro proviene de la violación de credenciales. El actor malicioso ya no necesita necesariamente forzar la entrada, ya que muchas veces simplemente utiliza inicios de sesión legítimos para atravesar la puerta principal”, explica Gabriel Lobitsky, General Manager de One Identity en América Latina.
En este contexto, las soluciones de Privileged Access Management (PAM), Active Directory Management y Access Management dejan de ser herramientas complementarias y pasan a ocupar un papel estratégico dentro de la gobernanza corporativa..
Impacto financiero: el riesgo invisible
El uso indebido o la falta de control sobre perfiles privilegiados puede generar consecuencias financieras directas, incluyendo interrupciones operativas críticas, fraude interno o externo, pérdida de información sensible, sanciones regulatorias y daños a la reputación.
En América Latina, donde muchas organizaciones avanzaron rápidamente en transformación digital, la gestión de accesos no siempre evolucionó al mismo ritmo. Esto genera brechas estructurales que hoy representan uno de los principales riesgos para sectores como banca, retail, energía, telecomunicaciones y gobierno.
“La conversación dejó de ser exclusivamente tecnológica. Hoy estamos hablando de gobernanza, responsabilidad ejecutiva, NPS, Customer Satisfaction y riesgo financiero. Un acceso privilegiado mal gestionado puede generar un impacto equivalente o mayor al de un ataque de ransomware tradicional”, agrega Lobitsky.
La prioridad en 2026 ya no es solo detectar amenazas externas, sino gobernar de manera estricta quién accede, desde dónde accede y con qué privilegios lo hace.
México: expansión acelerada y consolidación del PAM
México se consolida como uno de los mercados más dinámicos de la región en materia de gestión de identidad y accesos. Con un crecimiento esperado de 11.4% CAGR (2026–2031).
El país mantiene un ecosistema de ciberseguridad aún fragmentado, pero en proceso de consolidación, con una creciente profesionalización del canal y mayor especialización técnica en soluciones de gobernanza de identidad.
En los últimos años se ha observado:
- Implementación de tecnologías de Privileged Access Management en grandes grupos empresariales del sector retail.
- Proyectos activos en organismos gubernamentales orientados a reforzar controles de identidad.
- Capacitación avanzada de varias de las principales consultorias de ciberseguridad del país en soluciones de gestión de accesos.
- Lanzamiento y adopción de nuevas plataformas de Access Management enfocadas en autenticación segura y control centralizado de identidades.
Este movimiento responde a una necesidad concreta: reducir el riesgo financiero y operativo derivado de accesos no controlados, especialmente en organizaciones con estructuras complejas y alta rotación de terceros, proveedores y usuarios con privilegios elevados.
Brasil: madurez regulatoria y presión por cumplimiento
En Brasil, el avance está estrechamente vinculado al entorno regulatorio y a mayores exigencias de cumplimiento.
La entrada en vigor de marcos regulatorios como la Lei Geral de Proteção de Dados (LGPD) elevó el nivel de responsabilidad corporativa en la protección de datos personales, lo que impacta directamente en la gestión de identidades y accesos. En este contexto:
- Las organizaciones brasileñas priorizan la auditoría y trazabilidad de accesos privilegiados.
- Se incrementa la demanda de monitoreo continuo y segregación de funciones.
- El enfoque se desplaza de la reacción ante incidentes hacia la prevención basada en control de identidad.
Brasil muestra un mercado más maduro en términos de cumplimiento normativo, pero enfrenta el mismo desafío estructural que el resto de la región: garantizar que los accesos privilegiados estén estrictamente gobernados en entornos híbridos y multicloud.
2026: la identidad como nuevo perímetro
La transformación digital, la adopción de la nube y el trabajo híbrido modificaron definitivamente el modelo de seguridad. El perímetro dejó de ser la red corporativa; ahora el punto crítico es la identidad.
En 2026, la gestión y gobernanza de accesos privilegiados se posiciona como una prioridad crítica para los comités ejecutivos en América Latina. Más que una decisión tecnológica, se trata de una decisión estratégica de gestión de riesgo.
La pregunta ya no es si una organización será atacada, sino si sabe exactamente quién tiene acceso a sus sistemas más sensibles y bajo qué condiciones.
