El panorama de amenazas no se está volviendo más sencillo
La industria de la ciberseguridad publica un informe de amenazas cada semana. La mayoría dice lo mismo: el volumen de ataques crece, el ransomware es un problema, el phishing evoluciona. Lo que rara vez hacen es traducir esa señal en decisiones defensivas que los profesionales puedan aplicar hoy.
Este artículo cubre las cinco categorías de amenazas que mayor impacto tuvieron en las organizaciones de distintos sectores durante 2025 y en lo que va de 2026, cómo se ve realmente la técnica del atacante en la práctica y qué controles —técnicos y operativos— ofrecen la mejor reducción de la exposición. Sin discursos de venta. Sin recomendaciones vagas. Solo las amenazas y las defensas.
1. Ataques basados en identidad: la contraseña no es el perímetro
El abuso de identidad se convirtió en el vector de acceso inicial dominante en 2025 y concentró la mayoría de las investigaciones de brechas en entornos cloud e híbridos. El patrón es constante: credenciales robadas o phishing, evasión de la autenticación mediante robo de tokens o proxies adversary-in-the-middle (AiTM) y, a continuación, movimiento lateral usando la identidad legítima.
El cambio crítico es que MFA ya no es una barrera fiable por sí sola. Los kits de phishing AiTM —que actúan como proxy de la página de login real en tiempo real y roban el token de sesión una vez completada la autenticación— pueden derrotar a la MFA estándar (TOTP, SMS). Las claves hardware FIDO2 son el único tipo de credencial resistente al phishing frente a AiTM en la capa de autenticación.
Prioridades defensivas: desplegar MFA resistente al phishing para todas las cuentas privilegiadas y de acceso externo, implementar políticas de Conditional Access que evalúen la postura del dispositivo junto con la identidad, monitorizar viajes imposibles y uso anómalo de tokens, y reducir el tiempo de vida de los tokens en las cargas de trabajo sensibles.
2. Ransomware-as-a-Service: la industrialización de la extorsión
El ransomware ya no es principalmente obra de pequeños grupos criminales. El modelo RaaS ha madurado hasta el punto de que los afiliados compran acceso a plataformas de malware pulidas y mantenidas profesionalmente, con soporte al cliente, portales de negociación y sitios de filtración de víctimas. Los desarrolladores se llevan un porcentaje; los afiliados se encargan de las operaciones. Los initial access brokers venden puntos de entrada a ambos grupos.
La evolución más significativa de 2025 fue la aceleración del tiempo que transcurre entre el acceso y el cifrado. Los actores de amenazas pasaron de permanecer semanas dentro de una red antes de desplegar el ransomware a desplegarlo en cuestión de horas tras el acceso inicial en algunos casos, reduciendo la ventana para la detección y la respuesta.
Una defensa eficaz contra el ransomware es por capas: la segmentación de red limita el radio de impacto, el EDR con detección por comportamiento detecta la preparación previa al cifrado, las copias de seguridad inmutables garantizan la recuperación y un plan de IR probado determina si la recuperación tarda horas o semanas. La inversión con mayor retorno para las organizaciones que aún no la han implementado es la segmentación de red: no impide el cifrado en un host comprometido, pero sí evita que el ransomware se propague a todo lo demás.
3. Ingeniería social asistida por IA: escala y personalización
El correo de phishing de 2026 no es el correo del príncipe nigeriano de 2010. La IA generativa ha eliminado los errores gramaticales, las faltas de ortografía y las frases torpes que servían como señales fiables de detección. Más preocupante es el uso de la IA para generar contenido de spear-phishing altamente personalizado a escala: correos que mencionan la actividad reciente del objetivo en LinkedIn, el nombre de su responsable, un proyecto concreto o una relación con un proveedor; contenido que antes requería horas de OSINT manual por objetivo.
El phishing de voz (vishing) mediante clonación de voz con IA se ha utilizado para suplantar a directores financieros y ejecutivos en ataques de fraude financiero. En 2025 se documentaron videollamadas con deepfakes en estafas de reclutamiento, con candidatos fraudulentos usando superposiciones de vídeo generadas por IA durante entrevistas en directo.
La defensa no es solo el filtrado técnico: son los protocolos de verificación. Cualquier solicitud de acción financiera, cambio de credenciales o transferencia de datos sensibles que llegue por un canal nuevo o con una urgencia inusual debe verificarse a través de un canal separado y previamente establecido. Forma a los equipos para reconocer la urgencia como una señal de ingeniería social, y no solo como una prioridad de negocio.
4. Exposición de la cadena de suministro: confiar en lo que no construiste
Los ataques a la cadena de suministro funcionan porque las organizaciones extienden una confianza implícita al software y los servicios de sus proveedores. Comprometer un paquete de software ampliamente utilizado, un pipeline de CI/CD o un managed service provider da a los atacantes una cabeza de playa dentro de miles de organizaciones de forma simultánea.
El panorama de 2025 incluyó múltiples incidentes con pipelines de compilación de software comprometidos, paquetes maliciosos de npm y PyPI con cifras de descargas significativas, y compromisos de managed service providers (MSP) usados para pivotar hacia las redes de los clientes. El hilo común es que los defensores no tenían visibilidad de lo que realmente estaban ejecutando.
La respuesta práctica: mantener un software bill of materials (SBOM) para los sistemas críticos, monitorizar conexiones salientes inesperadas desde la infraestructura de compilación, aplicar segmentación de red para limitar lo que el software comprometido del proveedor puede alcanzar, y evaluar la postura de seguridad de los MSP como parte del onboarding de proveedores.
5. Configuraciones erróneas en la nube: la exposición que creaste tú mismo
La configuración errónea en la nube no es una categoría nueva, pero sigue siendo una de las vías más fiables hacia la exposición de datos sensibles y el acceso inicial. Buckets de almacenamiento con permisos de lectura públicos, roles IAM con permisos excesivos, secretos subidos a repositorios públicos y APIs sin autenticación son descubiertos por los atacantes mediante escaneo automatizado a los pocos minutos de hacerse públicos.
El reto es el ritmo de cambio en los entornos cloud. La infraestructura levantada por un desarrollador para un proyecto de fin de semana se olvida. Una política IAM añadida para depurar un problema de permisos nunca se limpia. Un feature flag en un entorno de staging que concede acceso de administrador acaba promocionándose a producción.
La respuesta práctica es la gestión continua de la postura de seguridad en la nube (CSPM): herramientas que evalúan de forma continua la configuración de los recursos cloud frente a políticas de referencia y alertan ante cualquier desviación. Combinados con un paso de escaneo de secretos en los pipelines de CI/CD (para detectar credenciales antes de que lleguen a los repositorios), estos dos controles abordan la mayor parte de la exposición por configuraciones erróneas en la nube.
6. Malware móvil: Android como objetivo empresarial
El compromiso de dispositivos móviles se ha considerado históricamente un problema de consumo. Esa percepción está cambiando. Se han documentado a escala campañas de spyware en Android dirigidas a periodistas, ejecutivos y personal gubernamental. Las plataformas de spyware comercial entregan exploits zero-click. Las aplicaciones instaladas por sideloading en entornos corporativos transportan troyanos bancarios y RATs.
Para los defensores empresariales, los controles clave son las políticas de mobile device management (MDM) que imponen restricciones sobre el origen de las aplicaciones, la revisión periódica de las listas de aplicaciones instaladas en los dispositivos gestionados, y la inteligencia de amenazas sobre las familias de malware que apuntan a los sectores relevantes para la organización.
Entender cómo opera el malware móvil —cómo persiste, qué APIs abusa, cómo se comunica con la infraestructura de command and control— es cada vez más relevante para los equipos de respuesta a incidentes y los analistas de SOC. Las técnicas se solapan en gran medida con el análisis de malware de endpoint tradicional.
Qué hacer con esta información
La inteligencia de amenazas tiene un valor limitado si no cambia el comportamiento. La conclusión práctica de esta revisión del panorama de amenazas:
La identidad es el nuevo perímetro: invierte en MFA resistente al phishing y acceso condicional antes que en cualquier otro control de identidad. La recuperación frente al ransomware es tanto un problema de copias de seguridad como de detección: prueba la restauración cada trimestre. Los ataques de ingeniería social son cada vez más difíciles de detectar técnicamente: invierte en protocolos de verificación humana. El riesgo de la cadena de suministro y de la nube exige una visibilidad que tienes que construir: SBOM, CSPM y escaneo de secretos son la base. El móvil es una superficie de ataque empresarial real: gestiónalo en consecuencia.
Ninguno de estos puntos requiere un gran equipo de seguridad ni un presupuesto empresarial para lograr avances significativos. Requieren priorización y constancia.