Check Point: tendencias que definen la ciberseguridad en 2026

Principales tendencias de ciberseguridad en 2026

El Informe de Ciberseguridad 2026 se basa en un análisis directo de la actividad global de ataques, que abarca ataques impulsados por IA, operaciones de ransomware, entornos híbridos e ingeniería social multicanal. Documenta cómo se ejecutan estas técnicas en la práctica, a escala, en diferentes industrias y regiones.

Los datos apuntan a un patrón claro. Los ataques han ido más allá de los métodos aislados, combinando deliberadamente IA, abuso de identidad, ransomware, infraestructura perimetral e interacción humana en campañas coordinadas que avanzan más rápido de lo que la mayoría de los programas de seguridad están diseñados para gestionar.

La IA se ha convertido en un vector de ataque de extremo a extremo

La adopción de la IA en las empresas se aceleró más rápido que la mayoría de los controles de seguridad. Los atacantes la siguieron de inmediato y ahora está integrada en toda la cadena de ataque. Los datos recopilados de entornos de IA empresarial muestran:

• El 90 % de las organizaciones se encontraron con solicitudes de IA de riesgo en un período de tres meses.
• 1 de cada 48 solicitudes enviadas a herramientas de IA empresarial se clasificó como de alto riesgo.
• Más del 16 % de las solicitudes mostraron características relacionadas con la exposición de datos, el abuso de privilegios o la manipulación indirecta de solicitudes.

Estos no fueron experimentos aislados. Ocurrieron dentro de los flujos de trabajo empresariales, los sistemas de atención al cliente y las herramientas de productividad interna.

La infraestructura que soporta los sistemas de IA también está siendo atacada activamente. Un análisis realizado por Lakera, una empresa de Check Point, examinó aproximadamente 10 000 servidores del Protocolo de Contexto de Modelo (MCP) y encontró vulnerabilidades de seguridad en el 40 % de ellos.

Los sistemas de IA ahora forman parte del tejido operativo de las organizaciones. Cuando fallan, lo hacen de forma estrepitosa y a gran escala.

El ransomware se está fragmentando y se apoya en la IA

Las operaciones de ransomware continuaron aumentando en volumen, a la vez que se volvieron más distribuidas y automatizadas. En 2025, la actividad del ransomware se fragmentó en unidades más pequeñas, rápidas y especializadas, respaldadas por la automatización de la IA. El resultado fue un aumento de los ataques, un menor tiempo de permanencia y una mayor presión operativa sobre los equipos de seguridad.

El informe muestra:

• Un aumento interanual del 48% en las víctimas de extorsión
• Un aumento del 50% en los nuevos grupos de ransomware como servicio a medida que se debilitan los modelos basados en la reputación
• Grupos más pequeños y descentralizados dominan la actividad

Estos ataques rara vez dependían de vulnerabilidades novedosas. Se basaban en el acceso ya existente y en la capacidad de actuar con rapidez una vez dentro.

‘La IA se utiliza cada vez más para mejorar las operaciones de selección de objetivos, negociación y presión, especialmente en escenarios de extorsión basados únicamente en datos. Más de la mitad de las víctimas conocidas de ransomware residían en Estados Unidos’, afirma Ángel Salazar, Gerente de Ingeniería de Canales para América Latina de Check Point Software.

Esta fragmentación ha reducido la previsibilidad y aumentado el volumen, lo que dificulta la interrupción del ransomware mediante acciones de control específicas.

Los entornos híbridos están ampliando la superficie de ataque

El factor de riesgo más constante en todos los sectores no fue la calidad de las herramientas, sino la expansión operativa. A medida que las empresas operan con dispositivos locales, entornos en la nube e infraestructura perimetral, los atacantes aprovechan la exposición resultante. El informe destaca cómo:

• Los dispositivos periféricos y las cajas de retransmisión operativas se utilizan cada vez más como puntos de acceso iniciales.
• Los dispositivos no supervisados se utilizan como bases de lanzamiento que se integran con el tráfico legítimo de la red.
• Se recopilan credenciales y el movimiento lateral comienza antes de que los defensores detecten un comportamiento anormal.

La complejidad híbrida no es solo un desafío de gestión. Es una ventaja operativa para los adversarios.

Las operaciones cibernéticas se integran en la actividad bélica moderna

En 2025, la actividad cibernética respaldó cada vez más objetivos de conflicto más amplios.

Las campañas observadas muestran:

• Operaciones cibernéticas que abarcan sistemas civiles, servicios en la nube e infraestructura física en un solo esfuerzo
• La IA acelera las operaciones de influencia y la manipulación narrativa
• Espacios de trabajo civiles dirigidos a perturbar la confianza y las operaciones diarias

La exposición no gestionada permite que el reconocimiento se convierta rápidamente en una herramienta operativa.

La ingeniería social ha trascendido el correo electrónico

El correo electrónico sigue siendo el principal mecanismo de entrega de archivos maliciosos, pero ya no actúa solo. Los datos muestran:

• El 1,46 % de todos los correos electrónicos con archivos adjuntos recibidos por las organizaciones fueron maliciosos
• El correo electrónico representó el 82 % de la entrega de archivos maliciosos, mientras que los ataques web representaron el 18 %
• La actividad de ClickFix aumentó aproximadamente un 500 %
• La suplantación de identidad telefónica se ha convertido en una técnica de intrusión centrada en las empresas

Los atacantes ahora coordinan el correo electrónico, la web, el teléfono y los canales de colaboración para manipular a los usuarios y eludir los controles técnicos.

Lo que la evidencia deja claro

En todas las categorías, el informe muestra que los atacantes combinan velocidad, automatización y confianza para escalar sus operaciones.

Se registró un aumento del 18% en los ciberataques interanual y del 70% desde 2023. Para 2025, las organizaciones se enfrentaron a un promedio de 1968 intentos de ataque por semana. El sector educativo experimentó el mayor volumen de ataques, mientras que sectores como la salud, el gobierno, la energía, la automoción, la hostelería y la agricultura registraron aumentos significativos.

El Informe de Ciberseguridad 2026 reúne estos datos para ayudar a los líderes de seguridad a comprender no solo las amenazas individuales, sino también cómo se conectan.

Para los CISO y los equipos de seguridad que planifican el próximo año, el mensaje es claro:

• Los ataques ya están coordinados.
• La exposición ya es medible.
• El siguiente paso es decidir cómo responder.