Estadísticas de amenazas internas

Si no sabes a qué te enfrentas, no puedes protegerte contra ello. Y a veces, las personas en las que confías y que están más cerca de ti, te traicionan de las peores maneras posibles. Los insiders maliciosos han existido durante décadas y no están desapareciendo en los mundos de la seguridad en la nube y la ciberseguridad.

A medida que avanza la era de la IA y las empresas continúan adoptando soluciones de seguridad adaptativas y mejores, las amenazas internas se vuelven más inteligentes y encuentran formas nuevas y más novedosas de infiltrarse. En esta publicación, te ofrecemos un desglose principal de las amenazas internas por industria. Obtendrás información sobre las últimas estadísticas de amenazas internas para 2026 y mucho más a continuación.

Estadísticas globales de amenazas internas

A continuación, se presentan estadísticas globales de amenazas internas a tener en cuenta en 2026:

• El costo anual de los incidentes internos ha alcanzado los USD 19,5 millones por organización en 2026. Hemos visto un aumento del 20% en 2 años, y una de las principales razones detrás de este incremento son los ataques de shadow AI.
• Los insiders maliciosos pueden costar un promedio de USD 4,9 millones por brecha. La negligencia humana es una de las razones más importantes y frecuentes detrás del aumento de estos ataques y cuesta a las empresas un promedio de USD 10,3 millones anuales.
• Las organizaciones pueden enfrentar hasta aproximadamente 2 incidentes por mes en términos de frecuencia de ataques internos. El tiempo de contención ahora ha bajado a 67 días, lo que representa la mejora más rápida registrada, gracias a mayores inversiones en inteligencia de comportamiento.
• Los incidentes internos que se contienen en 30 días pueden costar un promedio de USD 14,2 millones anuales; los contenidos en 90 días cuestan USD 21,9 millones.
• Las amenazas internas son cada vez más difíciles de rastrear, ya que la proporción global de identidades de máquinas e IA frente a empleados humanos ha alcanzado ahora 82 a 1.

Tipos de estadísticas de amenazas internas

• Aproximadamente el 55% al 56% de los incidentes pueden atribuirse a insiders negligentes. Es el tipo más común de amenaza interna e involucra a empleados que pueden causar daño inadvertidamente por error humano. Caen en trampas de phishing, pierden dispositivos de la empresa o configuran bases de datos incorrectamente por accidente.
• Los contratistas y socios comerciales representan entre el 15% y el 25% de las amenazas internas a nivel mundial. El costo anual promedio por organización para incidentes ha aumentado hasta USD 19,5 millones.
• Las actividades de contención de insiders cuestan un promedio de hasta USD 247.587 por incidente al año.
• Los costos de escalada de ataques internos ascienden a un promedio de USD 39.728 por incidente, cuando no se controlan o se detectan demasiado tarde durante demasiado tiempo.
• Las empresas que implementan programas internos maduros pueden prevenir hasta un promedio de 7 incidentes por año y evitar pérdidas de hasta USD 8,2 millones anuales por brechas internas.
• El 70% de las brechas en la nube ocurren por identidades comprometidas y no por fallos de software. La IA está agregando nuevas vías no gestionadas para la exfiltración y el uso indebido de datos internos. El 53% de las empresas ahora otorgan a las herramientas de IA acceso completo a soluciones en la nube, productividad y suites de colaboración, lo que aumenta sus riesgos.
• El 73% de los líderes de seguridad están preocupados por el acceso no autorizado de shadow AI, lo que puede provocar filtraciones y pérdidas de datos internas. El 23% de los empleados utiliza herramientas de shadow AI a pesar de las prohibiciones corporativas sobre estas soluciones.

Incidentes de amenazas internas por industria

• El sector sanitario enfrenta costos de brecha de hasta USD 12,6 millones por incidente. Los servicios financieros pagan el costo promedio más alto de USD 20,68 millones por año por sucumbir a amenazas internas.
• Los proveedores de tecnología y SaaS enfrentan incidentes internos frecuentes relacionados con el robo de código fuente, claves API y tokens de acceso. Una gran revisión de estadísticas de amenazas internas de 2026 encontró que las organizaciones tecnológicas se encuentran entre las más altas en abuso de privilegios y robo de credenciales, lo que refleja cómo la proliferación de identidades convierte el acceso cotidiano en riesgos internos.
• En el sector sanitario, los actores internos impulsan aproximadamente el 30% de las brechas, y algunos informes sitúan la proporción de incidentes impulsados internamente cerca del 70% cuando se incluyen errores y uso indebido. El acceso de alto volumen a registros electrónicos de salud facilita que pequeñas violaciones de políticas escalen a grandes ataques internos.
• Los servicios financieros ven a insiders involucrados en aproximadamente el 22 por ciento de las brechas, pero los costos asociados siguen siendo de los más altos de cualquier sector. El fraude, la toma de control de cuentas y los datos que mueven el mercado dan a los insiders formas directas de convertir el acceso en dinero, lo que impulsa las estadísticas de amenazas internas de 2026 hacia comportamientos más motivados financieramente.
• La manufactura y el comercio minorista reportan porcentajes más bajos de participación interna, con aproximadamente el 14 por ciento y el 3 por ciento de las brechas respectivamente. Incluso con volúmenes más bajos, la pérdida suele centrarse en secretos comerciales, fórmulas y diseños, lo que puede debilitar permanentemente las líneas de productos tras un solo incidente interno mal gestionado.
• La administración pública y la educación experimentan menos ataques internos deliberados pero más errores no maliciosos. Archivos mal dirigidos, configuraciones incorrectas de uso compartido y registros mal gestionados aparecen repetidamente en los resúmenes de perspectivas de estadísticas de amenazas internas de 2026 en registros gubernamentales y académicos.

Amenazas internas por tamaño de organización

• Las corporaciones a gran escala con más de 75.000 empleados tienen un costo promedio anual para abordar incidentes internos de USD $24,6 millones, casi tres veces más que las empresas con menos de 500 empleados, que en promedio pagan USD $8 millones anuales por su exposición al riesgo interno.
• Estas grandes corporaciones suelen ser responsables de gestionar una proliferación de identidades mucho mayor, con cientos de aplicaciones SaaS, miles de cuentas privilegiadas y millones de identidades de máquinas. Estos mismos grandes empleadores convierten las amenazas internas en ciberseguridad de crisis puntuales a riesgos continuos y operativos.
• Las organizaciones de mercado medio ven menos incidentes internos totales, pero a menudo sienten cada uno de manera más aguda. Muchas carecen de equipos dedicados a la detección de amenazas internas o de programas formales de mitigación, por lo que las investigaciones se prolongan y la recuperación desvía al personal de las operaciones principales.
• Las organizaciones más pequeñas reportan menores volúmenes de amenazas internas, pero siguen estando sobrerrepresentadas en casos de robo de credenciales y compromiso de correo electrónico empresarial. La limitada segregación de funciones significa que un solo empleado comprometido o descontento a menudo controla pagos, incorporación de proveedores y datos de clientes al mismo tiempo.

Estadísticas del impacto financiero de las amenazas internas

• La pérdida anual promedio para una organización debida a insiders oscila entre $17,4 millones y $19,5 millones por año. A medida que la tasa de detección de amenazas internas ha aumentado en los últimos años, también lo han hecho los costos estimados.
• El costo estimado de un incidente de amenaza interna para los responsables de seguridad varía según la organización; sin embargo, la mayoría de las estimaciones oscilan entre $12 millones y $18 millones por un solo incidente (es decir, el costo estimado de la investigación, el tiempo de inactividad, los honorarios legales y los esfuerzos de recuperación). Estudios adicionales sobre amenazas internas en el Reino Unido muestran que los incidentes impulsados por insiders han resultado en un promedio de £9,6 millones por cada incidente. Además, también informan que las organizaciones experimentan aproximadamente 6 incidentes relacionados con insiders cada mes.
• Al observar las cifras por incidente, las brechas de insiders maliciosos se agrupan en el rango alto de seis cifras a bajo de siete cifras. Algunos informes citan eventos de insiders maliciosos en alrededor de USD 700.000 cada uno, mientras que los casos de robo de credenciales se sitúan justo por debajo de ese nivel.
• La contención sigue siendo una de las fases más costosas, con aproximadamente USD 179.000 a USD 211.000 por evento interno, en comparación con un gasto recurrente mucho menor en monitoreo y análisis. Como resultado, incluso pequeñas mejoras en la detección temprana y la predicción de amenazas internas pueden recuperar millones en costos de respuesta evitados.

Estadísticas de detección y contención de amenazas internas

• Las organizaciones reportan tiempos promedio de detección y contención para incidentes internos en el rango de 70 a 80 días, menos que en años anteriores pero aún lejos del tiempo real. Algunos casos remotos tardan un promedio de 81 días en contenerse una vez que los equipos de seguridad detectan un comportamiento inusual.
• Observamos un ciclo de vida promedio de aproximadamente 241 días desde el compromiso hasta la contención total, con organizaciones que utilizan IA y automatización reduciendo aproximadamente 80 días esa ventana. Estas mismas herramientas ahora sustentan muchas plataformas de detección de amenazas internas que correlacionan identidad, acceso y comportamiento.
• El 93% de los líderes de seguridad consideran que los incidentes internos son más difíciles de detectar que los ataques externos, y el 83% reportó al menos un ataque interno en el último año. La fatiga de alertas, los registros ruidosos y las herramientas fragmentadas retrasan la investigación de riesgos internos sutiles.
• Sin embargo, el 65% de las organizaciones con programas dedicados de riesgo interno afirman que esos programas fueron el único control que detectó una posible brecha a tiempo. Estos equipos dependen de análisis de comportamiento e inteligencia de identidad para pasar de la limpieza reactiva a la predicción de amenazas internas antes de que los datos se filtren.

Trabajo remoto y estadísticas de amenazas internas

• Las amenazas internas aumentaron aproximadamente un 58% tras la adopción masiva del trabajo remoto, con el 83% de las organizaciones reportando al menos un ataque interno en un solo año. Alrededor del 63% afirma que el trabajo remoto contribuyó directamente a una brecha de datos que involucró a insiders o cuentas comprometidas.
• Los trabajadores remotos tienen aproximadamente tres veces más probabilidades de exponer datos de manera no intencionada en comparación con el personal de oficina, generando un promedio de USD 17,4 millones en costos anuales de riesgo interno por organización. Las redes domésticas, los dispositivos compartidos y los patrones de trabajo informales agregan rutas de acceso ocultas que los controles tradicionales no detectan.
• Las políticas de uso de dispositivos personales son casi universales, con más del 95% de las organizaciones permitiendo dispositivos personales para el trabajo, mientras que el 48% reporta brechas relacionadas con esos dispositivos. Al mismo tiempo, el 72% de las organizaciones admite que carece de visibilidad total sobre cómo los empleados manejan datos sensibles en endpoints y SaaS.
• Las estadísticas de amenazas internas del FBI y los datos más amplios de ciberdelincuencia destacan tanto a los trabajadores remotos como híbridos como una superficie de ataque persistente para la toma de cuentas, preparación de ransomware y preparación de datos. Estos patrones ahora anclan muchas discusiones de perspectivas de estadísticas de amenazas internas de 2026 sobre la exposición remota.

Estadísticas de abuso de acceso privilegiado y credenciales

• El abuso de credenciales y el uso indebido de acceso privilegiado aparecen en aproximadamente el 22% de las investigaciones de brechas recientes como vector inicial de acceso. Esa proporción ahora rivaliza con las intrusiones impulsadas por exploits y muestra cómo las amenazas internas en ciberseguridad a menudo comienzan con cuentas válidas utilizadas de manera riesgosa.
• Los analistas encontraron que las brechas relacionadas con insiders maliciosos con privilegios elevados cuestan en promedio alrededor de USD 4,9 millones por evento, entre los escenarios más costosos rastreados. Estos casos suelen combinar largos periodos de permanencia, exfiltración de datos silenciosa y acceso profundo a sistemas críticos.
• Los terceros con privilegios excesivos representan aproximadamente el 34% de los incidentes en algunos estudios, convirtiendo a proveedores y prestadores de servicios en insiders de facto. Las cuentas de administrador compartidas y las rutas de acceso remoto opacas dificultan rastrear qué persona estuvo detrás de una acción riesgosa.
• Investigaciones separadas sobre ejemplos de amenazas internas muestran que los incidentes de robo de credenciales por sí solos promedian entre USD 679.000 y USD 779.000 por caso. Los atacantes compran o obtienen credenciales mediante phishing y luego “viven de la tierra” usando herramientas de acceso remoto y consolas en la nube que se mezclan con el trabajo administrativo normal.

Estadísticas de exfiltración de datos por amenazas internas

• Aproximadamente el 60% de las brechas de datos involucran un elemento humano directo, incluidos insiders maliciosos, violaciones de políticas o usuarios que caen en phishing y luego mueven datos de manera insegura. Muchos incidentes internos pasan del uso indebido de acceso a la exfiltración total de datos.
• En algunas investigaciones de riesgo interno, los insiders no maliciosos representan alrededor del 75% de los eventos rastreados, divididos entre acciones negligentes y usuarios engañados por atacantes externos. Incluso cuando no hay intención, estos incidentes a menudo terminan con descargas no autorizadas, cargas en la nube o reenvío de archivos sensibles por correo electrónico.
• Los proveedores de UEBA y DLP informan aumentos constantes en alertas vinculadas a grandes transferencias salientes, almacenamiento en la nube no autorizado y cifrado masivo de archivos. El 72% de las organizaciones carece de visibilidad granular sobre cómo se mueven los datos entre endpoints, aplicaciones de colaboración y dominios externos.
• Algunas estadísticas de amenazas internas de 2026 muestran que el compromiso de terceros y la cadena de suministro es el segundo vector de brecha más prevalente y costoso, con un promedio de USD 4,9 millones. Una vez que una cuenta de socio está dentro del perímetro de confianza, su acceso a datos a menudo refleja al de un usuario interno.

Estadísticas de prevención y monitoreo de amenazas internas

• Las organizaciones ahora citan las amenazas internas en ciberseguridad como una razón principal para nuevas inversiones en seguridad centrada en la identidad, incluido el acceso just-in-time y la autenticación continua. Las previsiones muestran que la detección de amenazas internas y las plataformas de riesgo interno están entre las categorías de seguridad de más rápido crecimiento durante la década de 2020.
• Aproximadamente el 75% de los incidentes internos provienen de insiders no maliciosos, pero el 65 por ciento de las organizaciones con programas de riesgo interno afirman que esos programas les ayudaron a detectar comportamientos riesgosos antes de una brecha. Este cambio refleja un mayor énfasis en la mitigación de amenazas internas en lugar de castigar después del hecho.
• Las encuestas centradas en el trabajo remoto muestran que el 70-75% de los profesionales de seguridad ahora clasifican a las fuerzas laborales híbridas como su mayor riesgo interno emergente, por encima de muchas amenazas externas. Esa percepción está impulsando una adopción más amplia de UEBA, DLP y monitoreo de actividad de usuario ajustado específicamente a riesgos internos.
• El 71% de las organizaciones aún informa que son al menos moderadamente vulnerables a ataques internos, y más de la mitad dice haber enfrentado seis o más incidentes internos en un solo año.

Conclusiones clave de las estadísticas de amenazas internas

A continuación, las conclusiones clave que podemos aprender de las últimas estadísticas de amenazas internas para 2026:

• Los incidentes son cada vez más frecuentes, costosos y altamente transversales a la industria, con pérdidas anualizadas que superan los USD 17 millones por organización. Finanzas, salud y grandes empresas son las más expuestas a amenazas internas globales.
• La mayoría de los riesgos internos no son ataques espectaculares de guiones de películas, sino un flujo constante de negligencia, proliferación de accesos y uso indebido de terceros. Al mismo tiempo, el abuso de credenciales y los insiders privilegiados están detrás de algunos de los escenarios de mayor costo.
• El trabajo remoto e híbrido ha transformado el modelo de amenazas, con insiders vinculados a más incidentes, ventanas de contención más largas y mayores costos de limpieza. Shadow IT, BYOD y herramientas de IA no gestionadas amplían dónde pueden ir los datos sensibles y quién puede moverlos.

Nota: Las estadísticas internas de este blog combinan divulgaciones globales de brechas, datos de fuerzas del orden, investigaciones independientes de riesgo interno y encuestas empresariales a gran escala publicadas hasta principios de 2026. Juntas ofrecen una perspectiva actual de estadísticas de amenazas internas que los líderes de seguridad pueden usar para priorizar controles y hojas de ruta de seguridad.

La IA de comportamiento de SentinelOne puede ayudarte a detectar actividades anómalas que se desvían de la línea base normal de un usuario, incluso cuando se utilizan credenciales legítimas. Supervisa procesos en tiempo real y puede identificar amenazas a velocidad de máquina como accesos no autorizados, ataques de escalamiento de privilegios y modificaciones inusuales de archivos. La tecnología Storyline™ de SentinelOne puede correlacionar millones de eventos y crear un mapa visual, lo que permite a los equipos de seguridad rastrear el origen de las amenazas a través de las redes.

Los mejores productos de SentinelOne para detectar amenazas internas son Singularity™ Endpoint, Singularity™ Identity y Singularity™ Network Discovery. También se recomienda SentinelOne Wayfinder MDR para contratar analistas expertos que busquen amenazas internas sutiles y más matizadas 24/7.

Reserva una demostración en vivo para obtener más información.