¡Hola! Acabo de revisar un informe reciente sobre ciberamenazas y hay mucho contenido interesante. Resulta que en 2026 no solo esperamos una mayor complejidad en los ataques, sino una transformación completa en cómo operan los ciberdelincuentes. Quisiera compartir las principales tendencias que hay que tener en cuenta.

Empecemos por el hecho de que la frontera entre ataques cibernéticos masivos y dirigidos prácticamente se ha borrado. Antes era simple: envíos masivos de malware o phishing contra miles de personas, mientras que los ataques dirigidos requerían una investigación y recursos serios. ¿Ahora? La automatización, los modelos de IA accesibles y la comercialización de infraestructura criminal han permitido a los atacantes aplicar técnicas avanzadas incluso en campañas masivas. El phishing se vuelve más sofisticado, más creíble, y las instituciones gubernamentales, la industria y las empresas de TI son los principales objetivos.

Quisiera destacar especialmente el tema de la confianza como vector de ataque. Cuando hablamos de ataques a la cadena de suministro —es decir, cuando un atacante inserta malware en un software que luego descarga la víctima—, según Cyble, en octubre de 2025 el número de estos ataques superó en un 30% el récord anterior. Pero eso no es todo. Las empresas también son hackeadas a través de socios, contratistas y proveedores. En lugar de un asalto directo a la compañía protegida, los delincuentes usan la «entrada trasera»: hackean a quien tiene acceso. En medio año, este vector se utilizó en el 28% de los ciberataques, un aumento del 15%.

La IA oculta —shadow AI— es un tema que realmente preocupa. En los primeros tres meses de 2025, el uso de plataformas genAI creció un 50%, y más de la mitad de esto corresponde a shadow AI, es decir, empleados que usan herramientas sin aprobación del departamento de TI. La información confidencial puede filtrarse fácilmente en servicios públicos. Además, el 63% de las empresas no evalúan la seguridad de las herramientas de IA antes de implementarlas, y el 86% de las compañías en los últimos 12 meses han enfrentado incidentes de seguridad relacionados con IA. Además, el 45% del código generado por redes neuronales contiene vulnerabilidades.

Los extorsionadores están evolucionando. La doble extorsión (cuando primero extraen datos y luego cifran) sigue siendo la táctica predominante —en el 87% de los casos. Pero también aparecen la triple y cuádruple extorsión. Una táctica interesante del grupo SecP0 es exigir rescate no por los datos cifrados, sino por vulnerabilidades ocultas. Los extorsionadores incluso ofrecen asesoría legal a sus socios para presionar mejor a las víctimas. Los operadores de Lazarus añadieron un Wiper para forzar a las víctimas a pagar más rápido.

La IA al servicio de los atacantes no solo implica codificación con IA. Los LLM se usan para crear malware (aunque los resultados suelen ser inmaduros y requieren mejoras), generar scripts específicos, ocultar programas maliciosos. Pero lo más interesante es que ya existen malware que usan LLM por sí mismos. PromptLock de ESET, por ejemplo, usa un modelo GPT local para generar scripts maliciosos en Lua en tiempo real. Funciona en Windows, Linux y macOS. También hay otros ejemplos: LameHug usó LLM para generar comandos de shell.

Los sistemas operativos: Windows ya no es el rey indiscutible de las amenazas cibernéticas. En 2022, representaba el 86% de los incidentes, pero para 2025 bajó al 84%. En cambio, macOS ha recibido atención —el aumento de amenazas fue del 400% entre 2023 y 2024. Linux también está en tendencia, especialmente tras la migración masiva a infraestructuras Linux. Los grupos APT ya adaptan herramientas de Windows a otras plataformas. LockBit 5.0 apunta a Windows, Linux y ESXi. Además, el interés en hipervisores como VMware ESXi es preocupante: hackear un hipervisor puede significar comprometer todas las máquinas virtuales.

Los virus transformadores —malware híbrido que combina funcionalidades de varios tipos de malware— son una tendencia. Para los delincuentes, es conveniente: control centralizado (C&C), adaptación a diferentes entornos, escalabilidad. La base suele ser un RAT, que permite mantener acceso persistente.

Los eliminadores AV/EDR se han vuelto imprescindibles. La técnica popular BYOVD (Bring Your Own Vulnerable Driver) —los atacantes instalan controladores legítimos pero vulnerables, usan errores conocidos para elevar privilegios y desactivar antivirus o EDR. En foros oscuros se venden estas herramientas por unos 1500 dólares por compilación para un solo antivirus.

El phishing como servicio (PhaaS) está en pleno auge. Plataformas como VoidProxy, Salty2FA, Whisper 2FA reducen la barrera de entrada para delincuentes no especializados. La suscripción cuesta unos 250 dólares. Estas plataformas incluyen evasión de MFA (Tycoon 2FA se usó en el 76% de los ataques con PhaaS), plantillas de phishing, clonación de sitios, soporte para CAPTCHA, métodos de evasión. Por ejemplo, Darcula añadió soporte para IA generativa, lo que permite adaptar formularios al idioma y región. En Gabagool, un código QR malicioso se dividió en dos para evadir filtros.

Los deepfakes y dipoys —reales amenazas—. Según Gartner, el 62% de las organizaciones en los últimos 12 meses sufrieron ataques con deepfakes. En el primer trimestre de 2025, se registraron 179 casos, un aumento del 19% respecto a todo 2024. En Rusia, los deepfakes aumentaron en un tercio desde principios de 2025. Curiosamente, la técnica T1123 (Audio Capture) fue la más utilizada —antes ni siquiera entraba en el top-10. Hubo incidentes con videoconferencias en Zoom con deepfakes de altos ejecutivos, mensajes de voz de funcionarios. Crear un deepfake no es difícil: servicios de deepfake as a service (DaaS) cuestan desde 50 dólares por video y 30 dólares por voz.

La IA como potenciador de la ingeniería social —es otra historia. Gartner señala que la implementación de IA permite a los atacantes reducir costos en más del 95%. Hoxhunt descubrió que los agentes de IA crearon correos de phishing más efectivos que los mejores especialistas en red team — un 24% más efectivos en marzo de 2025. Microsoft indica que solo el 12% de los destinatarios abre correos normales, mientras que el 54% abre los generados por redes neuronales. La IA puede generar contenido realista, automatizar campañas masivamente (la plataforma IBM desarrolló correos en 5 minutos con 5 indicaciones, en lugar de 16 horas), crear deepfakes, personalizar para víctimas específicas. En foros oscuros se vende SpamGPT — servicio de envío masivo que evade sistemas antispam y garantiza entrega en Outlook, Yahoo, Office 365, Gmail.

El vishing (phishing de voz) está en auge. Su uso aumentó en 2 puntos porcentuales en 2025. ShinyHunters organizó ataques a grandes empresas (Adidas, Allianz Life, LVMH, Qantas) mediante vishing en Salesforce. La razón: la prevalencia del trabajo remoto (en EE. UU., el 52% del personal trabaja en modo híbrido, frente al 32% en enero de 2019), y que los empleados interactúan con personas que no conocen personalmente.

Los archivos SVG —una tendencia inesperada—. En 2024, se usaron en menos del 1% de los ataques, y para diciembre de 2025 casi el 5%. Para el usuario, solo son imágenes, pero en realidad los SVG están escritos en XML y pueden contener HTML y JavaScript. Microsoft detectó una campaña de phishing donde el archivo malicioso simulaba un PDF, pero en realidad era un SVG con código JavaScript.

ClickFix —técnica donde el usuario inicia la infección. Según ESET, en la primera mitad de 2025, la proporción de ataques con ClickFix creció más del 500% respecto a la segunda mitad de 2024. Se usan scripts con CAPTCHA, instrucciones, actualizaciones falsas. Grupos APT como MuddyWater, Kimsuky, Lazarus han añadido esta técnica a su arsenal. ClickFix ya no se limita a Windows: apareció una versión para Linux y macOS. Luego surgieron FileFix (a través del Explorador) y PromptFix (para sistemas de IA).

Las vulnerabilidades se convierten en catalizadores de ataques masivos. En el primer semestre de 2025, se descubrieron más de 23,600 vulnerabilidades, un 16% más que en el mismo período de 2024. En la dark web, crece el mercado de vulnerabilidades y exploits: casi el 30% de los anuncios son para compra, con precios que varían entre 1000 y 20,000 dólares, llegando a millones en algunos casos. Hubo publicidad de PoC-exploit para una vulnerabilidad zero-day en JavaScript (presente en el 99% de los sitios) por 800,000 dólares. El modelo EaaS (exploit as a service) permite realizar ataques en un clic, reduciendo la barrera de entrada. La agrupación Earth Minotaur usó el exploit kit MOONSHINE — para 2024, una infraestructura de más de 55 servidores.

La IA en el desarrollo de exploits ya es una realidad. Big Sleep de Google detectó una vulnerabilidad zero-day en SQLite antes de su explotación. GreyNoise usó LLM para detectar vulnerabilidades en cámaras de internet. El framework PwnGPT usa LLM para analizar vulnerabilidades, generar exploits y verificar conceptos. Para OpenAI, o1-preview, la probabilidad de divulgación aumentó del 26,3% al 57,9%, y para GPT-4o, del 21,1% al 36,8%. La plataforma HexStrike AI fue diseñada como herramienta de prueba, pero en las primeras horas tras su lanzamiento ya se usó para explotar vulnerabilidades en Citrix NetScaler — el tiempo de explotación se redujo de días a 10 minutos.

Los dispositivos periféricos: un nuevo frente. En H1-2025, las vulnerabilidades más frecuentes se detectaron en soluciones de Cisco, Citrix, Fortinet, SonicWall y Zyxel. La proporción de incidentes relacionados con dispositivos periféricos fue del 22%, casi ocho veces más que el año pasado. Hackear un VPN o un firewall da acceso directo a la red interna. Google Mandiant destacó la vulnerabilidad CVE-2024-3400 en Palo Alto Networks como la más explotada en 2024.

Las herramientas RMM —Remote Monitoring and Management— son un objetivo valioso. En 2023, el mercado RMM valía 918,51 millones de dólares, y se estima que para 2030 alcanzará los 1548,94 millones con un CAGR del 9%. Hackear RMM no significa comprometer un solo nodo, sino obtener acceso a toda la infraestructura. Microsoft Defender Experts detectó explotación de vulnerabilidades zero-day en BeyondTrust Remote Support, ConnectWise ScreenConnect y SimpleHelp.

Los Initial Access Brokers (IABs) —son un segmento aparte del mercado negro. En dos años, (Q1 2023 – Q1 2025), la cantidad de anuncios de venta de accesos creció más del 100%. Los IABs se enfocan en evadir la protección perimetral mediante servicios vulnerables, credenciales robadas y acceso remoto sin protección. La mayoría de los accesos se basan en datos de infostillers. Tras obtener acceso, se consolidan mediante cuentas de administrador ocultas o web shells. El precio medio de acceso es de 500-3000 dólares, y por control total del dominio piden más de 10,000 dólares. Este enfoque es rentable para todos: los operadores de RaaS pueden centrarse en el desarrollo, los IABs obtienen ingresos estables con mínimos riesgos de detección.

Este es el panorama de amenazas para 2026. Lo principal es que las organizaciones deben entender que las ciberamenazas evolucionan más rápido que nunca, y que invertir en fortalecer la infraestructura de TI, capacitar a los empleados y gestionar vulnerabilidades no es una opción, sino una necesidad.