Informe sobre el panorama de las amenazas: Lecciones de 2025 y lo que significan para 2026

Mire de cerca los riesgos que se esconden a plena vista

Para muchas organizaciones, gran parte de la conversación sobre ciberseguridad sigue centrándose en lo que está por venir: Ataques impulsados por la IA, nuevas clases de malware, disrupción cuántica y la suposición de que las amenazas de ayer ya están bajo control.

Pero cuando se examina más de cerca cómo se desarrollaron los incidentes reales durante el año pasado, surge una imagen más instructiva; una que está configurando el panorama de amenazas al que se enfrentan las organizaciones en estos momentos. Y en muchos casos, cuando se desmenuza, no fue la tecnología la que falló, sino el comportamiento humano bajo presión.

Las brechas más dañinas no fueron impulsadas por vías de ataque novedosas o futuristas. Surgieron de debilidades familiares que ya habían sido documentadas, parcheadas o explotadas previamente, pero que seguían presentes en entornos vivos. . Uso indebido de la identidad. Retrasos en los parches. Ingeniería social que se mezclaba a la perfección en los flujos de trabajo cotidianos. Lagunas operativas que persistían a pesar de los paneles tranquilizadores, las métricas de cumplimiento y las pilas tecnológicas aparentemente maduras.

Este informe deja a un lado las especulaciones y se centra en las pruebas. Los comportamientos, los patrones de ataque y los riesgos pasados por alto que definieron las infracciones recientes y que siguen influyendo en la forma de actuar de los atacantes en 2026.

Las amenazas en sí no son nuevas. El riesgo reside en la frecuencia con la que se subestiman y en lo poco preparadas que están las organizaciones cuando son explotadas.

Lo que realmente ocurrió el año pasado

1. Las vulnerabilidades se explotaron más rápido de lo que las organizaciones podían responder

La velocidad de explotación se aceleró de nuevo en 2025. En múltiples casos de alta gravedad, el código de prueba de concepto y la explotación activa aparecieron a las pocas horas de la divulgación, no días o semanas; como se vio en incidentes ampliamente divulgados que afectaron a plataformas VPN y cortafuegos como Ivanti Connect Secure y Palo Alto PAN-OSpor nombrar algunos.

En varios casos, los atacantes estaban actuando sobre vulnerabilidades recién reveladas pocas horas después de que se emitieran los avisos públicos.. Aunque los días cero acapararon los titulares, una proporción significativa de las intrusiones con éxito se basaron en vulnerabilidades más antiguas y bien documentadas que las organizaciones creían que ya eran riesgos «conocidos».

Los servicios remotos como las VPN, los cortafuegos, los hipervisores y los proveedores de identidad siguieron siendo los objetivos más atractivos debido a su acceso directo a los entornos internos.

Para muchas organizaciones, el problema no era la complejidad de las vulnerabilidades, sino la brecha operativa entre saber que existía un parche y poder aplicarlo con rapidez y seguridad.

Por qué es importante:

«Parchear más rápido» suena sencillo, pero el año pasado se demostró que la explotación supera de forma rutinaria los ciclos de parcheo tradicionales. Sin una visibilidad precisa de los activos, una priorización basada en los riesgos y una capacidad operativa, las vulnerabilidades conocidas siguen proporcionando puntos de entrada fiables.

2. El ransomware no ha disminuido, ha cambiado silenciosamente de forma

Las predicciones sobre el declive del ransomware no se materializaron. Por el contrario, el ransomware evolucionó.

El Informe de ENISA sobre el panorama de las amenazas muestra que la actividad del ransomware aumentó en frecuencia e impacto durante 2025, con un claro cambio hacia la exfiltración de datos y la extorsión sin cifrado. Sin embargo, muchas campañas ya no comenzaron con eventos de cifrado ruidosos y perturbadores. En su lugar, los atacantes se centraron primero en el robo de datos, el reconocimiento y la recolección de credenciales.

El cifrado pasó a ser opcional. En varios incidentes, se omitió por completo. La sola amenaza de revelación de datos resultó suficiente para forzar las negociaciones, incluso cuando las copias de seguridad estaban intactas.

Con frecuencia, el acceso inicial se consiguió mediante una combinación de explotación de vulnerabilidades y robo de credenciales, en lugar de mediante la entrega de malware únicamente.

Por qué es importante:

Las copias de seguridad ya no son una red de seguridad suficiente. La defensa contra el ransomware debe cubrir ahora todo el ciclo de vida de la intrusión, desde el acceso inicial hasta la exfiltración de datos, pasando por el movimiento lateral.

3. La ingeniería social se hizo consciente del contexto y más difícil de ver

El cambio más significativo en la ingeniería social durante 2025 no fue el volumen, sino la precisión.

Los atacantes utilizaron cada vez más señuelos altamente contextuales que reflejaban flujos de trabajo internos, comunicaciones de proveedores, solicitudes de aprobación y alertas del sistema. Las herramientas asistidas por IA permitían variar rápidamente el lenguaje, el formato y la marca, lo que ayudaba a los intentos de phishing a eludir los controles de detección estáticos.

Muchos usuarios no estaban respondiendo a correos electrónicos obviamente sospechosos. Estaban reaccionando a mensajes que parecían y parecían comunicaciones operativas rutinarias.

El uso generalizado de herramientas de acceso remoto, VPN y modelos de trabajo híbridos creó puntos de presión adicionales, especialmente en torno a las cuentas administrativas y privilegiadas.

Por qué es importante:

La formación de concienciación basada en ejemplos anticuados de phishing ya no refleja la realidad. Cuando el engaño parece auténtico, el riesgo pasa de las lagunas de conocimiento a la toma de decisiones bajo presión.

4. La identidad se convirtió en la principal superficie de ataque

Una de las lecciones más claras del año pasado fue el papel central de los ataques basados en la identidad.

El uso indebido de credenciales, la pulverización de contraseñas, el secuestro de sesiones, el robo de tokens y la fatiga de la AMF fueron factores recurrentes en las brechas de múltiples sectores. Las amenazas basadas en la identidad han aumentado considerablemente desde 2023, representando 59% de todos los incidentes confirmados a principios de 2025. Esto representa un aumento del 156% de los ataques basados en la identidad en un periodo de dos años.

En muchos entornos, el movimiento lateral siguió siendo sorprendentemente fácil debido a la limitada segmentación y a la débil gobernanza del acceso.

Por qué es importante:

La identidad ha superado a los puntos finales como punto de entrada más fiable. El mínimo privilegio (limitar a los usuarios y sistemas sólo el acceso que realmente necesitan) junto con una sólida gobernanza del acceso y una AMF resistente a la suplantación de identidad, es ahora un control de seguridad fundacional en lugar de una mejora opcional.

5. Los grandes trastornos vinieron de fallos conocidos

Muchos de los incidentes más perturbadores de 2025 se remontan a fallos operativos conocidos, como interfaces de gestión expuestas, activos en la nube mal configurados, sistemas al final de su vida útil, separación deficiente entre entornos críticos y no críticos, y puntos únicos de fallo en servicios de terceros.

No eran ataques avanzados. Eran fallos evitables que persistían tras supuestos de madurez y control.

Por qué es importante:

Las herramientas avanzadas no pueden compensar unos cimientos operativos débiles. La diferencia entre un incidente contenido y un suceso de primera plana a menudo se reduce a aspectos básicos que se daban por «hechos».

Vulnerabilidades y exposiciones comunes (CVE) más explotadas

En los informes globales surgieron varios patrones:

1. La explotación se concentró en gran medida en los sistemas de cara al público

Los dispositivos VPN, los cortafuegos, las pasarelas de correo electrónico y los proveedores de identidad en la nube siguieron siendo los principales objetivos.

2. Las vulnerabilidades ampliamente conocidas seguían estando entre las más explotadas

Los CVE más antiguos con parches disponibles siguieron siendo frecuentes debido a los largos plazos de remediación, los sistemas heredados o los despliegues incompletos de parches.

3. Los atacantes aprovecharon las oportunidades de encadenamiento

En lugar de basarse en un único fallo, los actores de amenazas suelen combinarlos:

• Una vulnerabilidad conocida de ejecución remota de código

• Un fallo de escalada de privilegios

• Una configuración errónea o una credencial no segura

Este enfoque de encadenamiento permitió un rápido movimiento lateral tras el acceso inicial.

4. Los tiempos de armamento se aceleraron drásticamente

Varias vulnerabilidades críticas vieron una explotación activa el mismo día se publicaron los avisos de los proveedores.

Lo que esto nos dice:

La amenaza no sólo tiene que ver con nuevas vulnerabilidades, sino también con la visibilidad, la priorización y la velocidad. Los atacantes se centran en la ruta de entrada más fácil, no en la más sofisticada.

Tácticas, técnicas y procedimientos del ransomware

• La actividad del ransomware repuntó en 2025: un análisis estima un aumento del ~34 en incidentes de ransomware confirmados en comparación con 2024.

• Sin embargo, contrariamente a los modelos más antiguos que se centraban en la pura encriptación de archivos, muchos atacantes favorecen ahora la la doble extorsión: primero exfiltran los datos y después los cifran o amenazan con filtrarlos.

• La economía del ransomware está cambiando. Según una encuesta mundial, el pago medio por rescate en 2025 siguieron siendo elevados (≈ 1,0 M$)pero sólo una minoría de organizaciones pagó.
• Los actores del ransomware combinan cada vez más la explotación de vulnerabilidades (por ejemplo, VPN/firewalls sin parches) con el robo de credenciales o phishing/ingeniería social para obtener el acceso inicial.

Por qué es importante:

El cambio hacia la táctica de la exfiltración primero y el cifrado después significa que los defensores no pueden confiar únicamente en las copias de seguridad de los archivos. La detección y la prevención deben cubrir ahora todo el ciclo de vida de la intrusión, desde el acceso hasta la exfiltración, y seguir el ritmo de los ataques impulsados por exploits.

Evoluciones de la ingeniería social: Lo que sorprendió (y tuvo éxito)

• La ingeniería social siguió siendo uno de los principales impulsores de las campañas de ransomware e infracciones en 2025. En particular, phishing como punto de acceso inicial saltó significativamente.

• El auge del phishing potenciado por la IAEn la actualidad, los atacantes utilizan con frecuencia herramientas automatizadas o asistidas por IA para elaborar correos electrónicos de phishing convincentes y altamente personalizados que eluden la detección tradicional.

• Como resultado, muchos correos electrónicos de phishing utilizan ahora «polimórfico» variando los nombres del remitente, los metadatos, los asuntos y los logotipos para burlar los filtros basados en firmas y evitar la detección de patrones.
• El cambio hacia el trabajo híbrido, los entornos remotos y el uso generalizado de software de acceso remoto (VPN, RDP, herramientas de escritorio remoto) aumentaron aún más la eficacia del robo de credenciales y las tácticas de ingeniería social.

Por qué es importante:

La concienciación sobre la seguridad por sí sola ya no es suficiente. A medida que los atacantes utilizan la IA para escalar y adaptar la ingeniería social, las organizaciones necesitan invertir en defensas en capas (controles técnicos y formación humana y detección de anomalías), especialmente en torno al correo electrónico y el acceso a la identidad.

Dónde fallaron las predicciones y por qué

Muchas previsiones anteriores daban por hecho que el ransomware seguiría dominado por los ataques de cifrado de alto impacto y que los ciclos de aplicación de parches seguirían el mismo ritmo. Esa opinión se subestimó:

1. La explosión del volumen de vulnerabilidades y su rápida militarizaciónEn 2025 se produjeron muchas más divulgaciones de CVE de lo que muchas predicciones preveían, y los atacantes explotaron muchas de ellas en cuestión de horas.

1. El cambio a modelos de negocio de doble extorsión/fuga de datos: El cifrado por sí solo está perdiendo su valor cuando los objetivos tienen buenas copias de seguridad; el robo de datos y la extorsión dan más ventaja.

1. El poder de la ingeniería social + IA: las previsiones que se centraban únicamente en las vulnerabilidades técnicas pasaban por alto lo eficaces que llegarían a ser el phishing asistido por IA y los ataques basados en credenciales.

Esto significa que los defensores y los modelos de riesgo que se basaban principalmente en los ciclos de parches, la resistencia de las copias de seguridad o la mitigación basada en el cifrado necesitan una reevaluación. La amenaza real, especialmente para muchas organizaciones, es ahora más amplia: abarca la identidad, el acceso inicial, la exfiltración de datos y la ingeniería social.

Qué señala el panorama de amenazas para 2026

Cuando se observa detenidamente cómo se desarrollaron los ataques recientes, empieza a formarse un patrón. Los atacantes no recurrieron a técnicas futuristas ni a complejos días cero. En la mayoría de los casos, eligieron la ruta más sencilla y fiable para entrar en una organización.

A menudo, esa ruta implicaba a personas.

Entre el uso indebido de identidades, el retraso en la aplicación de parches, las vías de intrusión del ransomware y las campañas de ingeniería social, el hilo conductor no era sólo la tecnología. Era el comportamiento. Decisiones tomadas bajo presión. Accesos que habían crecido con el tiempo. Controles que parecían sólidos sobre el papel pero que no se habían probado en la práctica.

La identidad sigue estando en el centro de todo esto. Las credenciales se comparten, se reutilizan, se aprueban con demasiada rapidez o se exponen a través del phishing. Incluso los entornos bien configurados se vuelven vulnerables cuando los comportamientos cotidianos crean aperturas involuntarias.

La velocidad de la explotación también está forzando un cambio de mentalidad. Los ciclos de parches tradicionales y los controles basados en políticas pueden tener dificultades para seguir el ritmo cuando los atacantes actúan en cuestión de horas. Esa brecha entre el saber y el hacer es donde vive el riesgo.

El ransomware ha seguido la misma trayectoria. La exposición de datos y la extorsión se sitúan ahora junto a la encriptación como tácticas principales. Prevenir el impacto significa comprender no sólo dónde son vulnerables los sistemas, sino dónde las personas y los procesos pueden introducir riesgos.

Los programas de concienciación también deben evolucionar. El phishing moderno no parece obviamente sospechoso. Parece rutinario. Refleja a proveedores, colegas, notificaciones del sistema y solicitudes internas. Reconocer ese tipo de engaño requiere algo más que una formación básica. Requiere juicio.

Lo que 2025 dejó claro es que la fortaleza operativa depende de algo más que de las herramientas. Depende de la visibilidad del comportamiento real, de la exposición real y de la preparación real.

En 2026, las organizaciones que comprendan su riesgo humano con tanta claridad como su riesgo técnico estarán en una posición mucho más fuerte para prevenir las perturbaciones y responder con confianza.

Trabajar con MetaCompliance

En MetaCompliance, ayudamos a las organizaciones a examinar más de cerca los riesgos que a menudo se esconden bajo la superficie. Los incidentes que configuran el panorama actual de las amenazas rara vez ocurren porque los empleados no conozcan las normas. Ocurren porque las organizaciones se basan en suposiciones sobre el comportamiento, la cobertura y la preparación que ya no reflejan cómo se desarrollan realmente los ataques.

Nuestro enfoque se basa en convertir esas suposiciones en pruebas. A través de nuestra plataforma de Gestión del Riesgo Humano, los líderes de seguridad obtienen visibilidad sobre dónde existe realmente el riesgo, basándose en el comportamiento real, los patrones de compromiso y la exposición a las amenazas modernas en lugar de las tasas de finalización o las métricas estáticas.

En lugar de programas de concienciación de talla única, las organizaciones pueden ofrecer intervenciones específicas y personalizadas en función del perfil de riesgo de cada usuario. Esto garantiza que la formación centre la atención donde más importa, en lugar de repartir el esfuerzo de forma uniforme entre los usuarios de bajo y alto riesgo por igual.

Nuestra formación basada en escenarios refleja cómo es realmente el engaño hoy en día, desde el phishing contextual y la suplantación de identidad de proveedores hasta los intentos de intrusión basados en la identidad. Estos momentos de aprendizaje breves y centrados están diseñados para agudizar el juicio en condiciones realistas, ayudando a los empleados a reconocer el riesgo cuando es sutil, familiar y fácil de pasar por alto.

Las simulaciones de phishing evolucionan continuamente dentro de la plataforma, reflejando las tácticas, el lenguaje y el contexto que utilizan los atacantes en las campañas reales. De este modo, las organizaciones van más allá de las simples pruebas de aprobado o suspenso y avanzan hacia un cambio de comportamiento sostenido que reduce la exposición a lo largo del tiempo.

La gestión de las políticas y el cumplimiento está totalmente integrada, lo que ofrece a las organizaciones una visión más clara de cómo se entrecruzan la gobernanza, el comportamiento y el riesgo. Los informes ponen de relieve las tendencias emergentes y los puntos débiles ocultos, lo que permite a los dirigentes dar prioridad a las acciones basadas en pruebas y no en la tranquilidad.

A medida que la brecha entre la confianza en la seguridad y la realidad de las infracciones sigue ampliándose, MetaCompliance ayuda a las organizaciones a cerrarla centrándose en las decisiones humanas y los controles cotidianos que los atacantes explotan con más frecuencia. Es hora de mirar más de cerca dónde vive realmente el riesgo.