Los responsables de seguridad se enfrentan a un año de grandes cambios. En su informe Cybersecurity Forecast 2026, Google describe un panorama de amenazas transformado por la IA, el cibercrimen a gran escala y las operaciones cada vez más agresivas de los estados-nación. Los atacantes actúan con mayor rapidez y automatizan sus operaciones.
La IA se vuelve fundamental para ambos lados.
Para 2026, la IA será una parte habitual de las actividades cotidianas de ataque y defensa. Los adversarios ya la utilizan para automatizar el phishing, clonar voces y difundir desinformación.
Una de las amenazas que crece con mayor rapidez es la inyección rápida, que manipula los sistemas de IA para que ignoren las medidas de seguridad y ejecuten comandos ocultos. A medida que más empresas implementan herramientas de aprendizaje automático (LLM) en sus procesos de negocio, estos ataques se vuelven más fáciles de lanzar y más difíciles de detectar.
La IA también está transformando la ingeniería social . Grupos como ShinyHunters han utilizado voces generadas y técnicas de phishing realistas para engañar a las personas, en lugar de recurrir a la tecnología. La clonación de voz es ahora lo suficientemente económica y convincente como para suplantar la identidad de ejecutivos o personal de TI durante llamadas de vishing.
El informe señala una creciente dependencia de agentes de IA , sistemas que actúan de forma autónoma para completar tareas. Estos agentes requerirán identidades digitales propias y estrictos controles de acceso. Los programas de seguridad diseñados para usuarios humanos no serán suficientes. La gestión de identidades deberá contemplar la toma de decisiones basada en IA y los privilegios temporales para tareas específicas.
La IA también está transformando las operaciones de seguridad. Pronto, los analistas dirigirán herramientas de IA en lugar de revisar manualmente las alertas. En vez de consultar registros, examinarán resúmenes de casos y confirmarán las medidas de contención automatizadas. Este cambio permite una respuesta más rápida, pero también plantea nuevos retos de supervisión .
“Si bien los adversarios intentan usar plataformas de IA convencionales, las restricciones han impulsado a muchos a recurrir a modelos disponibles en el submundo criminal. Estas herramientas no tienen restricciones y pueden ofrecer una ventaja significativa a quienes tienen menos experiencia. Ya existen varias disponibles y prevemos que facilitarán el acceso a la IA a muchos delincuentes”, afirmó Billy Leonard, líder técnico del Grupo de Inteligencia de Amenazas de Google.
Una preocupación relacionada es el auge de los agentes fantasma . Los empleados pueden usar herramientas de IA no autorizadas para realizar tareas, a menudo sin ser conscientes de los riesgos para sus datos. Prohibir estas herramientas traslada el problema a la clandestinidad. El informe recomienda establecer controles , supervisión y gobernanza para el uso interno de los sistemas de IA.
El cibercrimen sigue expandiéndose
El ransomware y el robo de datos siguen siendo las amenazas más perjudiciales a nivel mundial. Los ataques combinados que cifran sistemas, roban datos y presionan a las víctimas mediante filtraciones públicas continúan propagándose.
En el primer trimestre de 2025, se identificaron más de 2300 víctimas en sitios de filtraciones, la cifra más alta desde que se inició el seguimiento en 2020. Los atacantes están explotando las cadenas de suministro de software y las vulnerabilidades de día cero para alcanzar a cientos de objetivos a la vez.
La ingeniería social sigue siendo una vía de entrada común. El phishing por voz y los mensajes personalizados aún eluden la autenticación multifactor y otras medidas de seguridad. Los esquemas de extorsión están evolucionando, yendo más allá del robo de datos e incluyendo amenazas que paralizan las operaciones o exponen a los ejecutivos.
A medida que aumenta la actividad financiera en plataformas blockchain , los atacantes utilizan estos mismos sistemas para ocultar sus huellas y transferir activos robados. Los investigadores ahora necesitan leer contratos inteligentes, rastrear billeteras y conectar transacciones en registros públicos. La transparencia de blockchain funciona en ambos sentidos: ayuda a los delincuentes a evadir la justicia, pero también deja registros permanentes que pueden utilizarse posteriormente para su atribución.
Con defensas de endpoints más robustas, los adversarios están recurriendo a plataformas de virtualización. Al atacar los hipervisores que alojan máquinas virtuales, pueden inhabilitar cientos de cargas de trabajo en cuestión de horas. El informe recomienda invertir directamente en la seguridad de esta infraestructura, no solo en las aplicaciones que dependen de ella.
Los entornos industriales también siguen siendo objetivos. Los delincuentes atacan el software empresarial que da soporte a la tecnología operativa , lo que obliga a pagar rescates rápidos cuando se interrumpe la producción.
Fuente y redacción: helpnetsecurity.com
