Los puntos ciegos del correo electrónico vuelven a afectar a los equipos de seguridad

El panorama de amenazas obliga a los CISO a replantearse lo que consideran normal. El último Informe de Ciberseguridad 2026 de Hornetsecurity, basado en el análisis de más de 70 000 millones de correos electrónicos y una amplia telemetría de amenazas, muestra que los atacantes están adoptando la automatización, la ingeniería social basada en IA y nuevas técnicas de evasión a gran escala.

El correo electrónico se convierte en un canal más peligroso

El correo electrónico sigue siendo la principal vía de entrada para las vulnerabilidades. El malware en el correo electrónico aumentó más del 130 % interanual. Las estafas aumentaron más del 30 % y el phishing, más del 20 %. Estas categorías siguen siendo las responsables del mayor impacto operativo que sufren las organizaciones, incluyendo la vulnerabilidad de cuentas y la interrupción del negocio.

Los archivos TXT aumentaron más del 180 % como portadores maliciosos, y los archivos DOC tradicionales aumentaron más del 118 %. Estos son tipos de archivos que muchos equipos de seguridad ya no consideran de alto riesgo. Su resurgimiento refleja una estrategia de los atacantes para explotar puntos ciegos en el filtrado y la inspección. Los archivos ZIP siguen siendo comunes, mientras que formatos como HTML y RAR han disminuido.

Los atacantes utilizan cada vez más encabezados falsificados, dominios de nivel superior ocultos, acortamiento de URL y técnicas HTML que confunden a los filtros en lugar de a los lectores. El objetivo es evadir los controles, evitar la detección temprana e iniciar cadenas de intrusión de varios pasos.

El ransomware regresa a gran escala

Tras un período de declive, el ransomware regresó como una amenaza de primer nivel. El 24 % de las organizaciones reportó un incidente de ransomware, frente al 18 % del año anterior. Solo el 13 % de las víctimas pagó un rescate , pero el volumen general y la persistencia de los ataques aumentaron.

Los CISO informan que el phishing generado por IA y el reconocimiento automatizado han aumentado la presión sobre las defensas. Los atacantes ahora combinan el robo de credenciales, la explotación de endpoints y el acceso a la cadena de suministro en lugar de depender únicamente del correo electrónico. La entrada a endpoints representó más de una cuarta parte de las infecciones, y las credenciales comprometidas también aumentaron.

El 62 % de las organizaciones utilizan actualmente copias de seguridad inmutables y más del 80 % cuentan con un plan de recuperación ante desastres. Estas prácticas reducen la influencia de los atacantes durante los intentos de extorsión. La cobertura del ciberseguro disminuyó y las primas siguen aumentando.

La IA como fuerza dual

Muchos CISO creen que la IA ha aumentado el riesgo de ransomware. Más de dos tercios de las organizaciones están invirtiendo en detección y análisis basados en IA como respuesta.

El informe muestra que la gobernanza no avanza al ritmo de la adopción. Los empleados adoptan herramientas públicas de IA sin comprender los riesgos de cumplimiento normativo y seguridad. Los CISO describen un bajo nivel de conocimiento entre los usuarios finales y una comprensión inconsistente entre la alta dirección. Esta brecha aumenta el riesgo de fuga de datos y desinformación.

Las amenazas emergentes impulsadas por la IA incluyen la suplantación de identidad deepfake, el envenenamiento de modelos, el fraude de identidad sintética y el uso indebido de servicios de IA para la recolección de credenciales. Estas tendencias revelan una creciente superficie de ataque, directamente relacionada con el uso incontrolado de la IA.

La IA es tanto una herramienta como un objetivo, y los vectores de ataque se están expandiendo más rápido de lo que muchos creen. El resultado es una carrera armamentística en la que ambos bandos utilizan el aprendizaje automático. Por un lado, el objetivo es engañar; por el otro, defender y prevenir. Los atacantes utilizan cada vez más la IA generativa y la automatización para identificar vulnerabilidades, crear señuelos de phishing más convincentes y orquestar intrusiones multietapa con mínima supervisión humana, afirmó Daniel Hofmann , director ejecutivo de Hornetsecurity.

La identidad sigue siendo el eslabón más débil

Las técnicas de intermediario ahora eluden muchas formas de MFA robando tokens de sesión en tiempo real. Los kits de phishing pueden gestionar solicitudes de MFA y pasar credenciales de usuario a portales de autenticación legítimos, a la vez que capturan tokens para el atacante.

Los métodos de MFA resistentes al phishing, como las claves de hardware, la autenticación basada en certificados, Windows Hello para empresas y las claves de acceso, ofrecen una protección sólida. Su adopción sigue siendo irregular. Las claves de acceso, en particular, presentan problemas con experiencias fragmentadas entre plataformas y restricciones en cuanto a claves sincronizables y no sincronizables en entornos empresariales.

Los procesos de recuperación de credenciales también siguen siendo vulnerables. Se produjeron varias brechas importantes porque el personal del servicio de asistencia fue engañado para restablecer cuentas con privilegios. Los CISO necesitan una verificación presencial más rigurosa para la recuperación administrativa de la identidad y controles más estrictos a lo largo del ciclo de vida de la identidad.

SaaS y el navegador se convierten en superficies de ataque clave

Las plataformas SaaS y las integraciones en la nube ahora ofrecen a los atacantes acceso directo a datos y flujos de trabajo críticos. El robo de tokens de OAuth es un problema recurrente, ya que revocarlos suele ser la única forma de contener el abuso. Incidentes recientes muestran cómo una sola integración comprometida puede exponer a varias organizaciones a la vez.

Las extensiones de navegador maliciosas o vulnerables pueden eludir los controles internos o recopilar datos confidenciales. Los CISO deben supervisar el uso de las extensiones y restringir las categorías de alto riesgo mediante una política centralizada.

Incidentes de alto perfil en los ecosistemas de tecnología, aviación, manufactura y nube demuestran que los atacantes atacan cada vez más a proveedores y proveedores de infraestructura. Estos ataques evaden las defensas perimetrales tradicionales y tienen consecuencias en cascada en las organizaciones dependientes.

Fuente y redacción: helpnetsecurity.com / Anamarija Pogorelec

El correo electrónico se convierte en un canal más peligroso

El ransomware regresa a gran escala

La IA como fuerza dual

La identidad sigue siendo el eslabón más débil

SaaS y el navegador se convierten en superficies de ataque clave

¿Qué es y cómo funciona el «nuevo» registro DNS CAA?

Shadow API: un riesgo desconocido para las organizaciones

Cuidado con esta aplicación de Google Play: se trata de un troyano bancario que roba tus credenciales