El panorama de ciberseguridad en 2025 presentó un paradoxo: contamos con más datos, más visibilidad y más herramientas que nunca, pero también estamos más sobrecargados de alertas. El desafío ya no es saber qué está ocurriendo, sino transformar la información en acción. Con más de 6 mil millones de credenciales nuevas detectadas y un crecimiento del 65% en phishing dirigido al sector financiero, cinco tendencias se destacan como críticas para la preparación de los equipos de seguridad en 2026.

Lo que encontrará en este artículo

• Los dispositivos de borde se convierten en el principal objetivo de intrusiones
• La ingeniería social migra hacia equipos de TI y desarrolladores
• La extorsión triple sustituye al ransomware tradicional
• Los ataques a la cadena de proveedores se vuelven estratégicos
• Los agentes de IA cambian el juego tanto para ataque como para defensa
• Cómo el CTI y el EASM de Axur ayudan en la protección
• Acceso al informe completo Threat Landscape 2025/26
  
  

1. Dispositivos de borde: la nueva puerta de entrada preferida de los cibercriminales

Los ataques a dispositivos de borde —especialmente VPNs y firewalls— se consolidaron en 2025 como uno de los vectores de intrusión más críticos. El Catálogo de Vulnerabilidades de la CISA registró explotaciones activas en dispositivos de fabricantes como Cisco, Fortinet, Ivanti, Palo Alto Networks y SonicWall.

La preocupación aumenta por la variedad de objetivos: algunos atacantes instalan ransomware para extorsión financiera, mientras que grupos vinculados a gobiernos apuntan a infraestructura crítica para espionaje. Incluso routers domésticos fueron incorporados a botnets basadas en Mirai para ataques DDoS y actividades de proxy delictivo.

Las vulnerabilidades más explotadas incluyen fallos que permiten ejecución remota de comandos y bypass de MFA. En algunos casos, los atacantes evitaron la MFA aprovechando vulnerabilidades o posibles filtraciones de claves de generación de códigos.

2. La ingeniería social evoluciona: TI y desarrolladores se convierten en objetivos primarios

Una de las transformaciones más relevantes de 2025 fue la migración de ataques de ingeniería social desde usuarios finales hacia profesionales de TI y desarrolladores. El grupo Scattered Spider demostró cómo llamadas telefónicas ilegítimas a equipos de soporte pueden resultar en credenciales comprometidas y acceso total a la red corporativa.

Los delincuentes se hacen pasar por usuarios legítimos solicitando restablecimiento de contraseñas o soporte técnico. Los incidentes más notorios afectaron cadenas de retail en el Reino Unido, generando pérdidas significativas.

Los desarrolladores también se convirtieron en blancos mediante ofertas falsas de empleo y typosquatting en repositorios como npm y PyPI. Los atacantes envían propuestas laborales que exigen instalar “herramientas de prueba”, que en realidad son malware diseñado para robar credenciales y tokens de acceso a repositorios corporativos.

3. Extorsión triple: cuando el ransomware es solo una parte de la amenaza

El ransomware evolucionó hacia un modelo de extorsión triple, multiplicando la presión sobre las víctimas. Además de cifrar archivos, los atacantes combinan la amenaza de exponer datos corporativos con ataques DDoS coordinados.

En algunos casos, ni siquiera cifran información: realizan extorsión únicamente amenazando con filtrar datos. Esto es especialmente eficaz cuando los archivos pueden restaurarse desde respaldos en la nube. Grupos criminales emplean incluso “abogados” durante las “negociaciones”.

Grupos como RansomHub y Qilin sumaron cientos de nuevas víctimas en 2025, mientras que Scattered Spider pasó a desarrollar su propio ransomware, abandonando el papel de afiliado.

4. Los ataques a la cadena de proveedores se vuelven sistemáticos y estratégicos

Los ataques de supply chain dejaron de ser oportunistas y se convirtieron en métodos intencionales y estratégicos. En 2025, los delincuentes apuntaron deliberadamente a proveedores y plataformas SaaS para amplificar su alcance.

Un caso emblemático ocurrió en Salesloft: credenciales del GitHub de un ingeniero fueron comprometidas mediante ingeniería social, lo que permitió a los atacantes acceder a la infraestructura en la nube y extraer tokens OAuth del chatbot Drift. Como estos tokens otorgaban acceso a los CRMs Salesforce de múltiples clientes, varias empresas fueron comprometidas desde un único punto de falla.

En Brasil, ataques a PSTIs del sistema financiero (C&M Software y Sinqia/Evertec) originaron fraudes superiores a R$ 1 mil millones vía Pix. Esto demostró que los grupos criminales brasileños ya no operan solo en pequeña escala.

5. Agentes de IA: la próxima frontera para defensa y ataque

La tendencia más disruptiva para 2026 es la autonomía de los agentes de IA. Herramientas que hoy funcionan como asistentes pasarán a tomar decisiones operativas: escalar respuestas, priorizar investigaciones y ejecutar remediaciones sin intervención humana.

Pero existe un dilema: los delincuentes también obtienen ese poder.

En 2025 observamos:

• Páginas de phishing creadas en minutos con herramientas como Lovable
• Campañas hiperpersonalizadas generadas por modelos de lenguaje
• Fuzzing guiado por IA para acelerar el descubrimiento de vulnerabilidades
• Vulnerabilidades en navegadores con IA (Perplexity Comet y ChatGPT Atlas) que introducen nuevos vectores: esteganografía en texto invisible, inyección persistente de comandos y ejecución arbitraria de código vía APIs expuestas
  
  

Impactos estratégicos para CISOs

El cambio en el escenario de amenazas en 2025 es técnico y estratégico. Exige que los CISOs adopten un enfoque holístico que contemple:

Visión más allá del perímetro

La mayoría de exposiciones se origina fuera de los activos internos. Es esencial monitorear credenciales filtradas, artefactos de build y menciones de marca en fuentes externas.

Protección de activos internos críticos

Desarrolladores y equipos de soporte son objetivos privilegiados; ataques exitosos en estos perfiles tienen efectos multiplicadores.

Mapeo de la superficie de terceros

Un solo proveedor comprometido puede propagar código malicioso o conceder acceso a todo el entorno. La validación continua es indispensable.

Preparación para la autonomía

Antes de delegar tareas a agentes de IA, establezca límites de ejecución, políticas de autonomía y mecanismos de auditoría.

Cómo el CTI y el EASM de Axur contribuyen a mitigar estas amenazas

El Cyber Threat Intelligence de Axur desempeña un papel central en la identificación y mitigación de riesgos asociados a estas cinco tendencias. Con monitoreo continuo de la exposición externa y correlación de vulnerabilidades, la plataforma permite anticipar amenazas y priorizar acciones.

El EASM identifica dominios, subdominios, IPs y servicios expuestos, correlaciona datos con CVEs, analiza certificados digitales, puertos abiertos y protocolos en uso. Esto revela activos desconocidos, clasifica vulnerabilidades críticas y anticipa riesgos emergentes.

Soluciones que integran CTI, EASM y takedown agéntico combinan inteligencia automatizada con insights accionables, garantizando visibilidad sobre superficies de ataque críticas y proporcionando las herramientas necesarias para proteger operaciones en un panorama en constante evolución.

Explore más en el informe Threat Landscape 2025/26

El informe completo profundiza estas y otras tendencias, ofreciendo insights valiosos para CISOs y analistas de seguridad. Descárguelo gratuitamente para comprender los desafíos y oportunidades de 2026.

Si enfrenta amenazas cibernéticas en este momento, cuente con Axur para ayudarle a proteger su organización. Programe una reunión con nuestros especialistas y descubra cómo reforzar su seguridad digital.