Bogotá, julio de 2026. Kaseya, el proveedor líder mundial de software de gestión de TI y ciberseguridad impulsado por IA, publicó hoy su Reporte de Seguridad SaaS 2026, en el que identificó a la confianza como la principal fuente de riesgo en los entornos de TI modernos. El software como servicio —conocido como SaaS por sus siglas en inglés (Software as a Service)— engloba todas las aplicaciones que las empresas utilizan a través de internet sin necesidad de instalarlas localmente, como herramientas de correo, almacenamiento en la nube o gestión de proyectos. Los ciberdelincuentes han abandonado los ataques perimetrales en favor de objetivos más vulnerables como identidades, integraciones OAuth y flujos de trabajo colaborativos, dejando una brecha de confianza que la mayoría de las pequeñas y medianas empresas no puede detectar, y mucho menos cerrar.
El reporte analizó más de 27,600 millones de eventos de seguridad SaaS en más de 50,000 entornos de pymes, incluyendo 5,400 socios MSP y 6.2 millones de cuentas de usuarios finales. Los datos revelan una realidad crítica: a medida que los ecosistemas SaaS se expanden, las comodidades operativas del día a día —como las cuentas de invitados no gestionadas, que hoy representan el 69% de todas las cuentas monitoreadas (4.3 millones frente a 1.9 millones de usuarios con licencia)—, los accesos persistentes de terceros y los datos compartidos externamente están generando enormes riesgos de seguridad para las pymes.
"Los actores de amenazas de hoy, potenciados por la IA, ven un único entorno de ataque interconectado, mientras que la mayoría de las organizaciones defienden su infraestructura de forma fragmentada", señaló Jim Lippie, director de Producto de Kaseya. "Las organizaciones más resilientes serán aquellas que adopten el monitoreo continuo, la gobernanza de identidades y la respuesta automatizada como requisitos fundamentales."
El auge de las identidades máquina y la explotación impulsada por IA
La rápida adopción de la IA ha desencadenado una proliferación de integraciones OAuth de terceros que utilizan tokens persistentes en lugar de credenciales, lo que otorga a los atacantes acceso permanente a los datos incluso después de un cambio de contraseña. Como resultado, los inicios de sesión de entidades de servicio no humanas representan ya el 20% de las alertas de seguridad críticas. Al mismo tiempo, los atacantes utilizan automatización impulsada por IA para localizar y explotar al instante cuentas de invitados inactivas, convirtiendo estos puntos de entrada olvidados en vectores de ataque con una velocidad que supera la capacidad de respuesta de las defensas manuales.
Vulnerabilidades a simple vista: el fracaso de los controles tradicionales
Los controles de seguridad convencionales, como los bloqueos por geolocalización, también están fallando, ya que los atacantes redirigen el tráfico a través de infraestructuras cloud de confianza y VPNs. Fuera de América del Norte, el 44% de los inicios de sesión no autorizados se originaron desde infraestructura confiable y centros de externalización —encabezados por India (14%), Filipinas (10%), Alemania (7%), Reino Unido (7%) y Países Bajos (6%)—, lo que permite a los intrusos camuflarse dentro del tráfico empresarial habitual. Una vez dentro, aprovechan las grandes brechas en la gestión de identidades: el 56% de las cuentas carecía de autenticación multifactor activa y solo el 27% de las pymes la aplicaba a nivel organizacional. Esta exposición, combinada con el creciente intercambio de archivos, permite a los atacantes exfiltrar datos silenciosamente desde dentro de la red.
Otros hallazgos clave:
● Exposición en Microsoft 365: La filtración de datos sigue siendo excepcionalmente alta en entornos de productividad; en Microsoft 365, casi la mitad (45%) de todos los archivos compartidos fueron enviados fuera de la organización.
● Fatiga severa de alertas: En 2025, el 98.9% de los eventos de seguridad monitoreados por SaaS Alerts fueron clasificados como de baja severidad, pero las organizaciones aún tuvieron que investigar más de 278 millones de alertas de severidad media y crítica.
Cómo cerrar la brecha: cambios defensivos accionables
Para contrarrestar estas amenazas en evolución, las organizaciones deben transitar de defensas perimetrales rígidas hacia marcos de gobernanza activos basados en la identidad. Cerrar la brecha de confianza moderna exige abandonar el rastreo estático de eventos y priorizar el monitoreo conductual automatizado, capaz de detectar actividad anómala dentro de cuentas de confianza. Mediante la consolidación agresiva de los stacks de seguridad, la aplicación de autenticación multifactor a nivel organizacional y la auditoría continua de identidades máquina y permisos de uso compartido externo, las pymes pueden eliminar silos críticos de visibilidad y neutralizar sistemáticamente la persistencia de los atacantes antes de que ocurra una brecha.
Para consultar los hallazgos completos y las recomendaciones estratégicas, descarga el Reporte de Seguridad SaaS 2026 aquí.
Sobre Kaseya
Kaseya es el proveedor líder mundial de software de gestión de TI y ciberseguridad impulsado por IA. Kaseya ofrece una plataforma tecnológica unificada para gestionar infraestructura, proteger endpoints, respaldar datos críticos y optimizar operaciones para más de 40,000 clientes MSP y pymes en todo el mundo. Para más información, visita www.kaseya.com.