La profesionalización de la industria de la ciberdelincuencia será más patente en 2026

Dentro de los habituales artículos de esta época sobre predicciones para el cercano nuevo año, mostramos hoy uno en el que una importante compañía de ciberseguridad coincide en buena medida, en su conclusión principal, con otro que publicamos hace poco, también de una empresa muy relevante

El Informe de Predicciones sobre Ciberamenazas para 2026 de Fortiguard Labs, el equipo de inteligencia de amenazas de Fortinet abunda en la idea de que el cibercrimen está evolucionando para convertirse en una industria cada vez más organizada, en la que los grupos de ataque operan cada vez más como empresas que como actores independientes, y sustentada por la automatización, la especialización y la inteligencia artificial. Según el Foro Económico Mundial, la economía del cibercrimen seguirá creciendo hasta alcanzar los 23.000 millones de dólares en 2027.

En la edición de 2025 de este informe, los expertos de FortiGuard vislumbraban patrones emergentes como la asistencia de la IA en las operaciones de ciberamenazas, la fragmentación geopolítica y la especialización en el crimen como servicio (CaaS, por sus siglas en inglés) y todas ellas son ahora características reales del panorama de amenazas. Es más, se han consolidado a una velocidad superior a la prevista.

2026 se verá marcado, tanto en lo que respecta a ataque como a defensa, por la eficacia y no por la innovación.

Estas son las principales tendencias para 2026 desde el lado de los malos:

La IA y la automatización transformarán los ciberataques: importará menos la innovación porque serán mucho más potentes. La IA y la automatización, junto con cadenas de suministro maduras en ciberdelincuencia, harán que las intrusiones sean más rápidas y sencillas. Los atacantes dedicarán menos tiempo a crear nuevas herramientas y más a perfeccionar y automatizar las técnicas existentes.

•   Agentes de ciberdelincuencia con inteligencia artificial: será el cambio definitivo de 2026. La aparición de agentes de ciberdelincuencia autónomos y diseñados específicamente para este fin. Estos sistemas irán mucho más allá de los primeros modelos que se vieron en los foros clandestinos en 2025. Están diseñados para tareas operativas específicas, como el robo de credenciales, el phishing o el movimiento lateral y actuarán contra segmentos completos de la cadena de ataque sin necesidad de supervisión humana.

•   La IA generativa acelerará la monetización y la extorsión de datos: la IA generativa cobrará mayor importancia en las operaciones posteriores al compromiso. Una vez que los atacantes obtengan acceso a grandes conjuntos de datos (mediante infiltración o comprando acceso en la web oscura), las herramientas de IA analizarán y correlacionarán grandes volúmenes de datos en cuestión de minutos, identificando los activos más valiosos para la extorsión o la reventa. Estas capacidades permitirán a los adversarios identificar datos críticos, priorizar víctimas y generar mensajes de extorsión personalizados a gran escala. Al automatizar estos pasos, los atacantes pueden transformar rápidamente los datos robados en inteligencia procesable, aumentando la eficiencia y la rentabilidad.

•   El uso de la IA y la automatización multiplicará la capacidad ofensiva: un mismo actor (afiliado) de ransomware puede lanzar 10 ataques en el mismo tiempo que antes se tardaba en coordinar uno o un modelo de IA puede analizar terabytes de datos robados en cuestión de minutos para identificar a qué objetivos extorsionar primero. El tiempo entre intrusión e impacto se reducirá de días a minutos, convirtiendo la velocidad en el principal factor de riesgo para las organizaciones en 2026.

Las infraestructuras críticas estarán cada vez más en el punto de mira: se espera que los atacantes se centren cada vez más en sectores de alto impacto, como las fábricas, la sanidad y los servicios públicos. El modelo Ransomware-as-a-Service (RaaS) ya se está expandiendo a entornos OT, donde el robo de datos, la extorsión y la interrupción del servicio conforman una única estrategia.

La cuarta generación de la ciberdelincuencia: la ciberdelincuencia está entrando en su cuarta fase industrial, marcada por automatización, integración y especialización. Los robos masivos de credenciales evolucionarán hacia “listas inteligentes combinadas”, enriquecidas con metadatos y análisis de comportamiento para hacer los ataques más precisos.

Los mercados de la dark web ya funcionan como auténticas plataformas de comercio electrónico: ofrecen atención al cliente, sistemas de reputación y servicios de depósito en garantía impulsados por IA. En los próximos años, estos sistemas se perfeccionarán aún más, haciendo que el ecosistema criminal sea más eficiente y profesional.

•   Los empleados serán objetivo de los ataques de ransomware: veremos un aumento en el reclutamiento de personal interno. Los operadores de ransomware se enfocarán cada vez más en los empleados, usando coacción, chantaje o incentivos económicos para que colaboren.

•   Fusión del crimen tradicional y el cibercrimen: las redes de fraude, tráfico y blanqueo de capitales se están solapando, creando empresas híbridas y resistentes que diversifican riesgos y fuentes de ingresos. Esto complica la labor de las fuerzas de seguridad. Para aprovecharlo, el crimen organizado tradicional y el cibercrimen seguirán fusionándose.

•   Botnets: la infraestructura oculta del cibercrimen industrializado: las botnets seguirán siendo la columna vertebral del cibercrimen. Hoy se venden dispositivos y terminales IoT ya infectados como kits listos para usar, lo que acelera el despliegue de ransomware o la exfiltración de datos. A medida que esta economía crezca, permitirá a los atacantes integrar servicios —robo de credenciales, alquiler de botnets, extorsión de datos— en modelos de negocio escalables.

La expansión de la economía del cibercrimen: Según el Foro Económico Mundial, se espera que aumente a más de 23.000 millones billones de dólares para 2027. El ransomware industrializado, las redes de fraude automatizadas y los modelos de delincuencia convergentes impulsarán este crecimiento. Sin embargo, con el tiempo, la cooperación internacional y las campañas de desarticulación específicas podrían comenzar a frenar esta expansión.

Y así evolucionará la defensa:

Velocidad de máquina: en 2026 las operaciones de seguridad se acercarán a lo que FortiGuard Labs describe como defensa a velocidad de máquina: un proceso continuo de inteligencia, validación y contención que comprime la detección y la respuesta de horas a minutos.

•   Autenticación más allá de las personas: con la incorporación de la IA, la autenticación tendrá que ir más allá de las personas e incorporar agentes automatizados, procesos de IA e interacciones máquina a máquina. Gestionar estas identidades no humanas será fundamental para evitar la escalada masiva de privilegios y la exposición de datos.

•   Hacer responsables a los autores de las amenazas: los esfuerzos de atribución y disrupción cobrarán aún más impulso. Operaciones como Serengeti 2.0 (una campaña contra la delincuencia en África dirigida por la INTERPOL y apoyada por partners como Fortinet) seguirán demostrando cómo la acción internacional coordinada puede desmantelar la infraestructura delictiva y permitir detenciones con fuerte impacto.

•   Colaboración de las fuerzas del orden con el sector privado: estas operaciones ya han marcado un punto de inflexión. La colaboración entre las fuerzas del orden y el sector privado está cada vez más sincronizada, combinando inteligencia, conocimientos técnicos y autoridad legal para desarticular los ecosistemas de la ciberdelincuencia desde dentro. Esperamos que esta tendencia continúe.

Evolución de los conocimientos sobre ciberseguridad: la educación y la formación no solo son fundamentales para la prevención, sino también cruciales para cerrar la brecha de habilidades en ciberseguridad que sigue siendo un reto tanto para el sector público como para el privado.