Conclusiones principales del informe SASI de 2025

Mayo 21, 2025
Kaseya
Ciberseguridad

El rápido auge de las aplicaciones de software como servicio (SaaS), como Google Workspace, Microsoft 365, Slack y Salesforce, puede atribuirse a la flexibilidad, escalabilidad y rentabilidad de las soluciones basadas en la nube. Por otro lado, las aplicaciones SaaS se han convertido en objetivos principales para los ciberdelincuentes, ya que alojan información y cargas de trabajo críticas para la empresa. Además, la ciberdelincuencia evoluciona rápidamente. Los actores de las amenazas prefieren métodos más eficaces y peligrosos, como el token harvesting, a métodos tradicionales como la fuerza bruta.

Para comprender mejor estos riesgos, SaaS Alerts el informe «2025 SaaS Application Security Insights (SASI)». Este informe presenta las conclusiones de un análisis detallado de los datos de seguridad de las aplicaciones SaaS en más de 43 000 pequeñas y medianas empresas (pymes) y cerca de seis millones de cuentas de usuario, incluidas las cuentas de invitado.

A medida que el panorama de las amenazas se vuelve cada vez más sofisticado, es fundamental que los responsables de seguridad y los profesionales de TI comprendan estas dinámicas cambiantes. En este artículo, analizaremos las conclusiones principales del informe y lo que debe hacer su empresa para adelantarse a las amenazas emergentes.

La proliferación de aplicaciones SaaS y los riesgos que conllevan

Las aplicaciones SaaS han mejorado drásticamente la eficiencia operativa y la productividad, pero también han expuesto a las empresas a una gran cantidad de vulnerabilidades de seguridad. Mientras que la ciberdelincuencia va en aumento, el comportamiento negligente de los usuarios, el intercambio de archivos de riesgo y las cuentas de usuario invitado sin supervisar están creando puntos ciegos de seguridad en los entornos SaaS.

Los empleados suelen instalar nuevas aplicaciones, conceder permisos de acceso o compartir documentos sin consultar a los equipos de TI. Estas acciones dan lugar a una maraña de conexiones entre aplicaciones y de intercambio de datos que, a menudo, el equipo de seguridad no puede ver ni controlar.

Las aplicaciones SaaS facilitan el intercambio de información, pero sin los controles adecuados, los datos confidenciales pueden quedar expuestos a través de enlaces públicos o compartirse con terceros sin la autenticación adecuada.

Otra preocupación cada vez mayor son las cuentas de usuario invitado, que se crean para colaboraciones a corto plazo, pero que a menudo se dejan sin supervisar o rara vez se desactivan. Algunas de estas cuentas cuentan con permisos elevados o acceso a documentos críticos, lo que las convierte en una puerta trasera perfecta para los atacantes que buscan infiltrarse en una organización sin despertar sospechas.

Inicios de sesión no autorizados detectados por SaaS Alerts

El motor de inteligencia sobre amenazas SaaS Alertssupervisa continuamente los entornos SaaS en busca de actividades sospechosas. En 2024, se produjo un fuerte aumento tanto de los intentos de acceso no autorizado como de los casos en los que se logró dicho acceso. Esto es lo que se descubrió:

Intentos de inicio de sesión no autorizados

Los ciberdelincuentes intentan cada vez más iniciar sesión utilizando credenciales de usuario válidas obtenidas a través de la dark web o de ataques de phishing. Para evitar ser detectados, estos intentos de inicio de sesión se realizan desde múltiples ubicaciones de todo el mundo en rápida sucesión.

En 2024, casi el 40% de todos los intentos de inicio de sesión no autorizados se rastrearon hasta China y Corea del Sur.

La fuerza bruta era el método más utilizado para obtener acceso no autorizado a los sistemas corporativos. En este método, los atacantes adivinan repetidamente las contraseñas hasta conseguir el acceso.

El Informe SASI 2025 indica que, en lugar de basarse únicamente en la fuerza bruta, los ciberdelincuentes se están decantando por el token harvesting, un método más rápido y sigiloso que les permite eludir por completo la MFA robando los tokens de sesión.

Detección de inicios de sesión no autorizados

Cuando los atacantes consiguen acceder a una cuenta, a menudo lo hacen desde lugares inesperados o no autorizados. El año pasado, Alemania, el Reino Unido y Polonia aparecieron como puntos calientes, con casi el 25% de las violaciones originadas en estos lugares. Se cree que los atacantes ocultan su verdadero origen dirigiendo su actividad a través de VPN occidentales, lo que hace que sus intentos parezcan más legítimos y difíciles de detectar.

Los ciberdelincuentes han logrado acceder a cuentas corporativas mediante técnicas de phishing. Engañan a los usuarios para que revelen sus credenciales de SaaS utilizando correos electrónicos, mensajes o páginas de inicio de sesión falsos, pero muy convincentes. Este método sigue siendo una de las formas más peligrosas y eficaces de burlar las defensas de las organizaciones.

Incidentes de seguridad en SaaS

Los incidentes de seguridad de SaaS actúan como señales de alerta temprana, lo que ayuda a los equipos de TI a detectar actividades inusuales o de riesgo en sus entornos en la nube. SaaS Alerts una lógica de aplicación inteligente para analizar patrones de comportamiento y clasificar estas actividades según su gravedad: baja, media y crítica.

En 2024, SaaS Alerts más de 7.300 millones de eventos en entornos SaaS. Aunque la gran mayoría (98,5 %) se clasificó como de baja gravedad, más de mil millones de estas alertas fueron de gravedad media o crítica.

Sucesos de baja gravedad

Los sucesos de baja gravedad suelen reflejar una actividad normal, pero aun así merece la pena vigilarlos en busca de patrones o anomalías a lo largo del tiempo.

El evento de baja gravedad más frecuente fue «archivo abierto», que se activaba cada vez que un usuario registrado o un invitado accedía a un archivo. Esta acción representó más del 50 % de todas las alertas de baja gravedad. La transferencia del servicio de copias de seguridad supuso el 23,7 % de estos eventos. Otro desencadenante habitual fue el acceso OAuth a través de la gestión de identidades y accesos (IAM), que supuso el 22,88 % de las alertas de baja gravedad. Estos eventos se producen cuando aplicaciones de terceros solicitan permisos de cuenta.

Alertas de gravedad media

Estas alertas se activan cuando se detectan comportamientos inusuales o actividades sospechosas que requieren una investigación para minimizar el riesgo.

La alerta de gravedad media más común en 2024 fue "límite de descarga de archivos superado", que indica intentos de extracción de datos. Este evento representó el 40,2% de todas las alertas de gravedad media. "Límite de carga de archivos superado" representó el 35% de las alertas de gravedad media, a menudo una señal de alerta de transferencias de datos no autorizadas. Por su parte, "archivo abierto desde una ubicación no autorizada" representó el 25%, lo que apunta a un posible compromiso de la cuenta o a violaciones de las políticas de acceso.

Alertas críticas

Las alertas críticas indican actividades de alto riesgo que pueden ser señal de brechas de seguridad, robo de datos o acceso no autorizado. Más del 34 % de las alertas críticas se debieron a inicios de sesión exitosos desde ubicaciones o rangos de IP no autorizados. Además, el 33 % de las alertas críticas se activaron por el acceso a archivos fuera de las zonas geográficas autorizadas. Otro 32,3 % estuvo relacionado con la descarga de archivos desde ubicaciones no autorizadas.

Aunque las alertas de gravedad baja y media pueden no suponer una amenaza inmediata ni requerir una acción inmediata, sí proporcionan un contexto y una perspectiva fundamentales sobre el comportamiento de los usuarios y del sistema. Supervisar de cerca estas alertas puede ayudar a los equipos de TI a reconocer patrones de actividad anómalos y a neutralizar las amenazas de forma proactiva antes de que causen daños. En resumen, es fundamental realizar un seguimiento de todas las alertas de seguridad —desde las de gravedad baja hasta las críticas— para poder desarrollar una estrategia de seguridad SaaS sólida y detectar las amenazas de forma eficaz.

¿Qué está poniendo en peligro sus entornos SaaS?

Las aplicaciones SaaS ofrecen innumerables ventajas a empresas de todos los tamaños. Sin embargo, cuando se descuidan las prácticas recomendadas en materia de seguridad, estas plataformas también pueden convertirse en vías de acceso para filtraciones de datos, vulneraciones de cuentas y accesos no autorizados. El Informe SASI 2025 destaca los vectores de amenaza más comunes que podrían dejar su entorno SaaS expuesto a posibles filtraciones.

MFA desactivado o inactivo

La autenticación multifactorial (MFA) se considera una de las defensas más eficaces contra el robo de identidad y el acceso no autorizado a las cuentas. Sin embargo, su adopción sigue siendo alarmantemente baja. Según el Informe SASI de 2025, la MFA está desactivada o inactiva en más del 60 % de las cuentas de usuarios finales. Sin esta capa de protección fundamental, los atacantes pueden comprometer fácilmente las cuentas mediante ataques de phishing o de robo de tokens.

Cuentas de usuario de invitado sin supervisar

Los usuarios invitados son fundamentales para la colaboración externa, pero a menudo se les pasa por alto. En 2024, SaaS Alerts más de 4,2 millones de cuentas SaaS, de las cuales más del 55 % eran de usuarios invitados. Si estas cuentas no se supervisan de cerca o no se desactivan rápidamente cuando ya no son necesarias, podrían convertirse en puntos de acceso ocultos para los ciberdelincuentes.

Integración de aplicaciones SaaS con SaaS

OAuth facilita a los usuarios la conexión de nuevas herramientas SaaS con solo unos clics, pero esta comodidad tiene un precio.

Cada nueva integración puede ampliar la superficie de ataque, sobre todo si la aplicación de terceros no cuenta con la seguridad adecuada. Sin una visión clara de estas conexiones, tu empresa podría correr el riesgo de proporcionar a los ciberdelincuentes acceso indirecto a través de aplicaciones comprometidas.

Comportamiento arriesgado al compartir archivos

Las aplicaciones SaaS han simplificado el intercambio de archivos, pero también han aumentado el riesgo de que se compartan datos sin autorización fuera de la organización. En 2024, el 37,28 % de toda la actividad de intercambio de archivos SaaS Alerts involucró a usuarios externos.

Aunque no todo el intercambio externo es malo, el verdadero peligro reside en los enlaces huérfanos. Se trata de enlaces de intercambio de archivos compartidos con personas ajenas a la organización que nunca se revocan. Los atacantes que buscan una forma de entrar pueden descubrir y explotar fácilmente estos enlaces persistentes.

Conclusiones clave y recomendaciones de seguridad para adelantarse a las amenazas emergentes del SaaS

El informe SASI de 2025 revela que, si bien las aplicaciones SaaS mejoran la productividad y la colaboración, también dan pie a riesgos de seguridad si no se gestionan adecuadamente. La escasa adopción de la autenticación multifactorial (MFA), las cuentas de invitado sin supervisión, las integraciones de aplicaciones de terceros que entrañan riesgos y las prácticas descuidadas de intercambio de archivos se encuentran entre los vectores de amenaza más críticos. Los actores maliciosos están cambiando de táctica, adoptando métodos sigilosos como la recolección de tokens y el enmascaramiento de VPN, lo que hace que sea más importante que nunca que las organizaciones adopten un enfoque de seguridad proactivo, ganen visibilidad y apliquen políticas de seguridad.

Siga estos pasos para proteger su empresa de las amenazas emergentes del SaaS:

  • Habilite y aplique MFA en toda su organización y para todos los clientes
  • Aplique reglas de acceso condicional para las cuentas de Microsoft 365 siempre que sea posible.
  • Imparte formación continua en ciberseguridad a tus usuarios finales para reforzar las mejores prácticas de seguridad.
  • Supervisa constantemente las principales aplicaciones SaaS de productividad para detectar comportamientos inusuales o sospechosos por parte de los usuarios.
  • Rastree la actividad de intercambio de archivos para detectar posibles filtraciones de datos o amenazas internas.
  • Almacena y revisa periódicamente los datos históricos sobre el comportamiento de los usuarios, aunque no hayan dado lugar a ninguna violación de seguridad conocida.
  • Investigar y responder rápidamente a cualquier anomalía que pudiera indicar una amenaza.
  • Supervise los inicios de sesión basados en OAuth y no pase por alto las aplicaciones SaaS que no sean de Google o Microsoft.
  • Elimine periódicamente las cuentas de invitados inactivas o innecesarias para minimizar la exposición.
  • Lleve un inventario de todas las integraciones entre aplicaciones y evalúe sus implicaciones en materia de seguridad.
  • Revise los comportamientos de riesgo a la hora de compartir archivos para evitar la exposición de datos.
  • Utilice la automatización para detectar y responder inmediatamente a las secuencias de amenazas de alto riesgo.

Adelántese a las nuevas amenazas del SaaS. Descargue el Informe SASI 2025 para conocer las últimas tendencias en SaaS, las opiniones de los expertos, datos reales y estrategias prácticas.

Descargar el informe completo

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

Guía de Kaseya Connect 2026: Elige tu aventura

Kaseya Connect 2026 está a punto de comenzar, y estamos encantados de que nos acompañes. Con cuatro días de sesiones, talleresSeguir leyendo

Leer la entrada del blog
Conceptos sobre seguridad y gestión de incidentes. Los responsables gestionan los eventos y la seguridad a través de pantallas virtuales.

¿Qué es SIEM? Explicación de su funcionamiento, casos de uso y ventajas

Descubra cómo la gestión de información y eventos de seguridad (SIEM) ayuda a las organizaciones a identificar y abordar de forma proactiva posibles amenazas y vulnerabilidades de seguridad.

Leer la entrada del blog

La verificación de copias de seguridad ahora es más inteligente: presentamos la verificación de capturas de pantalla con tecnología de IA

En una época marcada por ciberataques constantes, la complejidad de las infraestructuras y las crecientes expectativas de los clientes, ya no basta con disponer simplemente de copias de seguridad. Copias de seguridadSeguir leyendo

Leer la entrada del blog