Los programas de seguridad enfrentan una presión creciente para proteger entornos cada vez más complejos frente a ciberataques más veloces, automatizados y difíciles de aislar.
El último año de actividad maliciosa evidencia un cambio medible en la forma en que los adversarios operan, se coordinan y escalan dentro de los entornos empresariales.
El Informe de Ciberseguridad 2026, elaborado por Check Point Research, se basa en el análisis directo de la actividad global de ataques.
El estudio abarca ataques basados en inteligencia artificial, operaciones de ransomware, entornos híbridos e ingeniería social multicanal, documentando cómo estas técnicas se ejecutan en la práctica y a gran escala en distintas industrias y regiones.
Los datos revelan un patrón claro: los ataques han superado los métodos aislados y ahora combinan deliberadamente inteligencia artificial, abuso de identidad, ransomware, infraestructura perimetral e interacción humana en campañas coordinadas que avanzan más rápido de lo que la mayoría de los programas de seguridad están preparados para gestionar.
Principales tendencias de ciberseguridad en 2026
La inteligencia artificial como vector de ataque de extremo a extremo
La adopción de inteligencia artificial en las empresas se aceleró más rápido que los controles de seguridad. Los atacantes siguieron ese ritmo e integraron la IA en toda la cadena de ataque.
Los datos muestran que:
- El 90% de las organizaciones se encontró con solicitudes de IA de riesgo en un período de tres meses.
- 1 de cada 48 solicitudes a herramientas de IA empresarial fue clasificada como de alto riesgo.
- Más del 16% de las solicitudes presentó señales de exposición de datos, abuso de privilegios o manipulación indirecta.
Estas situaciones ocurrieron dentro de flujos de trabajo empresariales, sistemas de atención al cliente y herramientas internas de productividad.
Además, la infraestructura que soporta los sistemas de IA también está siendo atacada activamente. Un análisis de Lakera, examinó cerca de 10.000 servidores del Protocolo de Contexto de Modelo y detectó vulnerabilidades de seguridad en el 40% de ellos.
El ransomware se fragmenta y se apoya en la automatización
Durante 2025, las operaciones de ransomware aumentaron en volumen y se fragmentaron en unidades más pequeñas, rápidas y especializadas, respaldadas por automatización basada en inteligencia artificial.
El informe señala:
- Un aumento interanual del 48 % en víctimas de extorsión.
- Un crecimiento del 50 % en nuevos grupos de ransomware como servicio.
- El predominio de grupos más pequeños y descentralizados.
La mayoría de los ataques no dependió de vulnerabilidades nuevas, sino del acceso ya existente y de la capacidad de actuar con rapidez una vez dentro de los sistemas. Más de la mitad de las víctimas conocidas de ransomware se concentraron en Estados Unidos.
Los entornos híbridos amplían la superficie de ataque
El riesgo más recurrente no fue la calidad de las herramientas de seguridad, sino la expansión operativa. La combinación de dispositivos locales, entornos en la nube e infraestructura perimetral genera nuevas oportunidades para los atacantes.
El informe detalla que:
- Los dispositivos perimetrales se utilizan cada vez más como puntos de acceso inicial.
- Equipos no supervisados funcionan como bases de lanzamiento encubiertas.
- Las credenciales se recolectan y el movimiento lateral comienza antes de que se detecten comportamientos anómalos.
La complejidad híbrida se convierte así en una ventaja operativa para los adversarios.
La ciberactividad se integra a la guerra moderna
En 2025, las operaciones cibernéticas comenzaron a integrarse de forma más directa en conflictos geopolíticos.
Las campañas analizadas incluyeron:
- Ataques simultáneos a sistemas civiles, servicios en la nube e infraestructura física.
- Uso de inteligencia artificial para acelerar operaciones de influencia y manipulación narrativa.
- Interrupciones dirigidas a espacios de trabajo civiles para afectar la confianza y las operaciones cotidianas.
La ingeniería social supera al correo electrónico
Si bien el correo electrónico sigue siendo el principal canal de entrega de malware, ya no actúa de forma aislada.
Los datos indican que:
- El 1,46% de los correos con archivos adjuntos fue malicioso.
- El correo electrónico representó el 82% de la entrega de archivos maliciosos, frente al 18% de ataques web.
- La actividad de ClickFix creció cerca de un 500%.
- La suplantación de identidad telefónica se consolidó como técnica de intrusión empresarial.
Los atacantes coordinan ahora correo electrónico, web, llamadas telefónicas y plataformas de colaboración para manipular a los usuarios y evadir controles técnicos.
Lo que deja claro la evidencia
El informe muestra que los atacantes combinan velocidad, automatización y confianza para escalar sus operaciones.
Se registró un aumento interanual del 18% en ciberataques y del 70% desde 2023. Para 2025, las organizaciones enfrentaron un promedio de 1.968 intentos de ataque por semana.
El sector educativo fue el más atacado, mientras que salud, gobierno, energía, automoción, hostelería y agricultura también mostraron incrementos significativos.
El Informe de Ciberseguridad 2026 busca ayudar a los líderes de seguridad a comprender no solo las amenazas individuales, sino cómo se conectan entre sí.
Para los CISO y los equipos de seguridad que planifican el próximo año, el mensaje es claro: los ataques ya están coordinados, la exposición es medible y la respuesta estratégica es inevitable.
