HayCanal.com

Ciberseguridad en 2026: hype VS realidad

Ciberseguridad en 2026: hype VS realidad

Al hablar de ciberseguridad, las organizaciones deberían aprender a diferenciar entre lo que da miedo y lo que es realmente peligroso.

Aunque la narrativa siga estando dominada por visiones apocalípticas de enjambres de IA y ataques de día cero generados por máquinas, lo verdaderamente peligroso es la realidad cotidiana: adopción de nuevas tecnologías sin políticas de seguridad maduras o estrategias de ciberdelincuencia consolidadas que siguen generando ingresos de forma constante para el ecosistema de ransomware como servicio.

Si separamos lo sensacionalista de lo importante, durante los próximos meses tendremos que hablar sobre las siguientes tendencias:

Crisis interna del control de la IA 

El mayor peligro para la seguridad de las empresas en 2026 será la falta de gobernanza de la IA. La adopción de inteligencia artificial está pasando rápidamente de los equipos de ingeniería a "Bob de contabilidad", el que falla en todas las simulaciones de phishing. Algunos estudios afirman que un 88 % de los empleados ya utiliza algún tipo de IA, pero que solo alrededor del 5 % la aprovecha de forma avanzada y estratégica. En este escenario, nos encontramos con que las pautas de seguridad que las organizaciones proporcionan a sus empleados suelen ser demasiado vagas y su cumplimiento solo depende de la voluntad de cada persona.

Una tendencia que agrava esta crisis es la prisa por adoptar sistemas de IA agéntica a través del Protocolo de Contexto de Modelo (MCP), un estándar abierto que busca simplificar la forma en que los modelos de IA, como los Modelos de Lenguaje Grandes (LLM), obtienen información y utilizan herramientas de internet y otros sistemas. El problema es que MCP se diseñó para la interoperabilidad y la funcionalidad, no con la seguridad como una preocupación principal e integrada, por lo que muchas organizaciones, especialmente las más pequeñas, lo están adoptando de forma acelerada y sin incorporar las medidas de seguridad necesarias.

El malware generado por IA no es innovador 

La idea sensacionalista de un malware verdaderamente innovador, generado por IA, es engañosa. Las capacidades que a menudo se consideran avances, como el polimorfismo (la capacidad de una carga útil de malware para modificar su estructura a medida que se propaga), son características bien conocidas que han sido comunes en el malware avanzado durante décadas.

La realidad es que los LLM son excelentes para reempaquetar código existente en el lenguaje elegido, y aunque el código generado sea derivado por naturaleza, esta capacidad conlleva tres posibles consecuencias para el panorama de la seguridad:

•   Declive de los descifradores de ransomware: los LLM elevarán el umbral de calidad para el malware de menor nivel, y los descifradores que se basan en errores de software y en fallos de implementación serán cada vez más escasos.

•   Adopción continua de Rust/Golang: la capacidad de los LLM de traducir o reescribir código con fluidez en distintos lenguajes seguirá impulsando la rápida adopción de lenguajes complejos y seguros para la memoria como Rust o Golang por parte de actores de amenazas.

•   La desaparición de la atribución: tradicionalmente, los investigadores han podido identificar a los actores de amenazas por su estilo de codificación. Con el uso de LLM, las huellas humanas únicas están desapareciendo, lo que dificulta considerablemente la atribución. 

Malware orquestado por IA: escepticismo y sutileza

Los profesionales de seguridad deben ser escépticos ante las afirmaciones que involucran malware totalmente autónomo orquestado por IA. Aunque surjan pruebas de concepto (PoC) experimentales, su utilidad práctica en entornos reales seguirá siendo baja debido a la fragilidad de la ejecución de LLM y su naturaleza no determinista. 

La suposición común de que la IA ofrece una ventaja al ejecutar un gran volumen de operaciones es errónea. El hackeo exitoso minimiza los pasos observables, ya que la actividad excesiva es una señal identificable que los sistemas EDR/XDR están entrenados para detectar de inmediato. El hackeo moderno de alto valor se basa en la sutileza y en pasar desapercibido (LOTL, ataques sin archivos…), un nivel de conocimiento contextual que los sistemas de IA actuales no pueden alcanzar de forma fiable.

Ransomware: la evolución continúa

El ransomware como servicio (RaaS) sigue siendo un ecosistema criminal sofisticado y racional, impulsado exclusivamente por motivos económicos. Cada decisión, desde la elección de un exploit hasta la selección de un objetivo, se centra en maximizar el retorno de la inversión y minimizar el riesgo operativo.

El verdadero indicador de la sofisticación de RaaS no es la complejidad del código del malware, sino la simplicidad, la fiabilidad y la velocidad de toda la cadena de ejecución. Esta eficiencia operativa permite a los grupos de RaaS generar ingresos constantes para todos los participantes. 

En 2026 esperamos una evolución continua, más que revolucionaria, de este modelo de negocio. Los actores de amenazas de RaaS seguirán experimentando, observando a la competencia y adoptando ideas sostenibles y rentables: 

•   Ingeniería social: aprovechamiento del phishing perfeccionado por la IA y de tácticas altamente engañosas.

•   Dispositivos de red perimetral: explotación de vulnerabilidades de ejecución remota de código (RCE) en cualquier infraestructura conectada a Internet.

•   Cadena de suministro: los atacantes encuentran mucho más eficiente comprometer a un proveedor más pequeño con defensas más débiles y luego usar esa conexión de confianza para expandirse a una organización más grande y segura.

•   Living Off the Land (LOTL): los actores de amenazas profesionales continúan su transición hacia operaciones sin malware, recurriendo en gran medida a técnicas LOTL y abusando de herramientas legítimas de Windows como PowerShell para evadir la detección. Esto suele combinarse con herramientas legítimas de monitorización y gestión remotas (RMM).

•   Cifradores maduros y estandarizados: la mayoría de los grupos de RaaS reservan el malware compilado para la etapa final del ataque. Los cifradores suelen estar escritos en lenguajes multiplataforma de alto rendimiento como Rust o Golang. Esta opción no solo permite a los ciberdelincuentes atacar diferentes sistemas operativos con el mismo código, sino que también aumenta la complejidad y el coste del análisis para los defensores.

•   Apuntando a lo común: a medida que las soluciones EDR se han convertido en estándares de seguridad básicos, los atacantes seguirán inventando nuevas técnicas de evasión de EDR. El atacante suele operar con acceso a nivel de sistema o de Kernel. Cuando alcanza el mismo nivel de privilegios que la propia herramienta de seguridad, dispone de numerosas vías de ataque.

•   Ataques de precisión dirigidos a la infraestructura: los grupos profesionales de RaaS están adoptando cada vez más ataques a nivel de hipervisor, alejándose del enfoque de "bombardeo masivo" que consiste en cifrar cada endpoint. A medida que aumenta la concienciación, esto podría obligar a los principales proveedores de virtualización a reconsiderar decisiones fundamentales sobre la arquitectura y el funcionamiento de los agentes de seguridad a nivel de hipervisor.

Recomendaciones

•   Priorizar lo básico sobre las palabras de moda: el panorama de amenazas cambia, pero los requisitos fundamentales de la defensa no. Si una organización no sigue las directrices básicas de seguridad, debería detenerse y reordenar sus prioridades de inmediato. Las herramientas avanzadas de IA no pueden compensar una base frágil. Es recomendable que cada organización utilice una plataforma diseñada para sus necesidades específicas.

•   Mantener la calma y analizar las amenazas reales de la IA: el pánico genera vulnerabilidad y conduce a malas inversiones. Es recomendable ignorar el marketing exagerado y escuchar más a expertos en seguridad y malware. Invertir en teorías y no en realidades no es buena idea.

•   Detección y prevención: si bien EDR, XDR y los servicios SOC/MDR son cruciales, no son la solución definitiva. Las soluciones de detección y respuesta han alcanzado un alto grado de madurez. Es hora de complementar estas medidas reactivas con una estrategia de prevención eficaz.

•   Diseñar entornos hostiles e impredecibles: los grupos de ransomware se basan en estrategias predecibles y estandarizadas. Los equipos de seguridad deben romper este ritmo operativo haciendo que el entorno de red sea hostil e impredecible para los actores de amenazas.

•   Detectar malware "derivado" con análisis de comportamiento: a medida que el malware se vuelve más refinado, pero menos único, las firmas estáticas pierden valor. Apoyarse en funciones centradas en el comportamiento puede ser útil para identificar ataques a la cadena de suministro y código generado por LLM.

•   Asumir la personalidad de "administrador malicioso": las buenas prácticas de IT suelen estar diseñadas para prevenir accidentes, no malicia. Asumen que el administrador comete un error en lugar de intentar dañar el entorno. Esta mentalidad falla cuando un atacante obtiene privilegios de administrador. Es necesario aplicar un marco de gestión de riesgos para reevaluar los controles de seguridad como si se tuviera un infiltrado malicioso.

 

Martin Zugec, director de Soluciones Técnicas de Bitdefender

Opinión Internet Ciberseguridad Malware Vulnerabilidades Inteligencia Artificial Detección y respuesta Ransomware

Otras noticias de interés

Noticias que marcan tendencia en el sector IT

1. Bienvenidos a 2026, el año que confirmará el auge de las superapps

2. El dato, en el centro del crecimiento en 2026 para los partners de canal en España

3. Sophos implementa sus soluciones en el Hospital Provincial de Castellón

4. El cibercrimen con Agentes de IA podría ganar la carrera de velocidad a la ciberseguridad

5. El papel del código abierto en la IA

Últimas Noticias

1. Ciberseguridad en 2026: hype VS realidad

2. España es el sexto país del mundo en adopción de la IA, que no para de crecer a nivel global

3. Check Point amplía su colaboración con NVIDIA en data centers para inteligencia artificial

4. Vodafone y Ericsson activan una Red Privada Móvil para CIMPOR

5. Sealpath cerró 2025 con un crecimiento superior al 50 por ciento

Nombramientos