¿Recuerda el salvaje robo en el museo del Louvre que tuvo lugar en París en octubre de 2025? Los ladrones utilizaron literalmente una sierra radial para romper una ventana y robar joyas de la corona francesa. Sinceramente, es la metáfora perfecta de lo que ha ocurrido en ciberseguridad este año: los atacantes utilizarán cualquier herramienta que puedan para hacerse con las joyas digitales de la corona.
Las herramientas de hoy en día son supersofisticadas, y el acceso a ellas es alarmantemente sencillo, gracias al ransomware como servicio (RaaS). Lo más grave es que, a diferencia de un museo, la "galería del tesoro" de su empresa es enorme y se extiende por todo el mundo. Son muchas las ventanas que debe vigilar.
En Akamai nos centramos en ayudar a las empresas a afrontar estos desafíos de seguridad. Nuestros informes sobre el estado de Internet (SOTI) están diseñados para ofrecerle la información que necesita para luchar contra las amenazas que están cambiando las reglas del juego en ciberseguridad.
Y sí, la IA se está convirtiendo en un actor cada vez más importante en seguridad, pero sabemos que no hay nada mejor que la experiencia humana real a la hora de detectar y detener ataques sofisticados.
Reflexiones y expectativas
Para este resumen del año hemos reunido a algunos de los cerebros más brillantes en ciberseguridad de Akamai para analizar las principales tendencias de seguridad de este año pasado y explorar lo que podría depararnos el 2026.
En esta entrada de blog, Roger Barranco, Richard Meeus, Reuben Koh, Steve Winterfeld y Tricia Howard comparten ideas prácticas y concretas para ayudarle a cerrar las brechas de seguridad y reforzar sus defensas.
¿Qué es lo que más le llamó la atención en 2025?
Observamos un aumento espectacular en el número de ataques distribuidos de denegación de servicio (DDoS) de gran envergadura. Los ataques en el rango de varios terabytes están comenzando a producirse con regularidad. Hasta ahora, estos ataques se habían mitigado fácilmente. Sin embargo, también estamos viendo un aumento de ataques más complejos, incluidos los que lanzan los Estados nación. Esto pone de relieve el valor de contar con una plataforma escalable con sólidas capacidades nativas combinadas con personas altamente cualificadas disponibles para abordar rápidamente ataques de día cero complejos.
También hemos visto un fenómeno en el que algunas organizaciones son objeto de ataques de bots por parte de un atacante extremadamente diligente. Mitigamos el ataque, pero los atacantes siguen persiguiendo el objetivo, a menudo mezclando actividad de scraping. Puede ser maliciosa o no; podría ser un agregador que busca recopilar información sobre productos.
A menudo, esta actividad coincide con eventos específicos, como el lanzamiento de un producto o un evento promocional. Cuando sea necesario, podemos dedicar un arquitecto de seguridad para que sea el puente con el cliente durante estos eventos y abordar cualquier anomalía en tiempo real.
El aumento del uso de la IA por parte de los atacantes fue otra de las tendencias en 2025. La IA ha reducido las barreras de entrada de los atacantes. Ya no necesitan ser programadores cualificados: pueden utilizar la IA para crear y montar verbalmente un ataque. Afortunadamente, la IA también ha ayudado a los defensores a identificar rápidamente anomalías de comportamiento sutiles que pueden ser indicativas de un ataque.
En el resumen del año pasado, resalté el resurgimiento de la botnet Mirai, y ha vuelto con sed de venganza. Este año ha sido testigo de la aparición de algunas variantes de Mirai extremadamente potentes que estamos vigilando muy de cerca.
¿Qué problemas notables prevé en 2026?
Los directores de seguridad de la información (CISO) están sometidos a una presión significativa para facilitar la adopción rápida de la IA, lo que puede afectar de forma negativa a la priorización de los elementos de registro de riesgos al asignar niveles de riesgo más bajos a las iniciativas relacionadas con la IA. Esto destaca aún más la necesidad de utilizar tecnologías específicas que protejan eficazmente los elementos de IA, incluidos los modelos de lenguaje de gran tamaño (LLM).
La rápida adopción de la IA también crea un nuevo frente en la seguridad de API. Normalmente, un LLM necesitará transitar una API en algún momento, lo que hace que la protección de API sea fundamental. Ahora, los CISO reconocen que la seguridad de API se puede utilizar para identificar el tráfico esencial, como determinar si se trata de un LLM o de un humano el elemento que intenta acceder a algo.
Esto genera una alerta, lo que permite a los equipos de seguridad decidir si deben permitir o bloquear el tráfico. Por lo tanto, la supervisión de las API tiene un gran valor para identificar dónde se encuentran los LLM o cuándo se utiliza la IA para penetrar en la empresa.
Con un mayor enfoque en la gobernanza de la IA, cada vez más organizaciones están creando reglas sobre si se permite a los empleados crear sus propias IA para que les ayuden con su trabajo. Esto está dando lugar a que las juntas de control de la IA determinen lo que está permitido y proporcionen supervisión para que no esté completamente desregulada como en el pasado; este enfoque es vital desde una perspectiva de seguridad.
En el resumen del año 2024 mencioné la necesidad de centrarse en la computación cuántica, y sigue siendo una preocupación futura. Las organizaciones ya se están ocupando de la cuestión de los certificados seguros poscuánticos diseñados para proporcionar un nivel más alto de cifrado. El desafío es cómo realizar la transición a estos nuevos certificados digitales cuando algunos usuarios finales utilizan navegadores que no los admiten.
En 2026, espero ver que las empresas actualicen su infraestructura y animen a sus clientes a actualizar sus navegadores a otros que admitan certificados seguros poscuánticos.
¿Qué es lo que más le llamó la atención en 2025?
Creo que la mejor palabra para describir este último año es resiliencia: en concreto, la falta de ella. Aquí, en el Reino Unido, observamos algunos ataques significativos y muy publicitados contra empresas minoristas, así como ataques continuos dirigidos a algunos de los principales fabricantes. Muchos de estos ataques tenían como objetivo el servicio de atención al cliente para acceder a la información de los usuarios y restablecer las contraseñas. Aunque este no era el vector de ataque principal, surgió como un vector que tal vez no esté lo suficientemente asignado a los equipos rojos.
El año pasado debatí el enfoque de la directiva NIS2 en la resiliencia operativa. Fue diseñado para incorporarse en la legislación de cada país de la Unión Europea (UE) para octubre de 2024, aunque muchos países aún no lo han hecho.
Lo podemos comparar con la Ley de Resiliencia Operativa Digital (DORA), que proporciona un marco de resiliencia mejorado para las organizaciones financieras. Esta ley era un reglamento, no una directiva, por lo que era aplicable en toda la UE a partir del 17 de enero de 2025. NIS2, sin embargo, está demostrando ser un desafío mayor para algunos países.
En 2025 también vimos algunas interrupciones importantes causadas por actualizaciones erróneas. Estas fueron extremadamente perjudiciales para las empresas y los consumidores de una gran variedad de sectores. Esta cuestión plantea preguntas importantes:
¿Debería asumir que todas las actualizaciones de los proveedores pueden ser de confianza?
¿Debería clasificarla y, si es así, qué procesos tiene para ello?
¿La utiliza en un entorno de pruebas y realiza una implementación por fases o un despliegue Canary?
Las empresas deben prepararse y pensar en cómo mitigarán este riesgo.
¿Qué problemas notables prevé en 2026?
Ya mencioné el servicio de atención al cliente como un vector de ataque; pronostico que esta tendencia seguirá evolucionando en 2026, ya que los representantes de servicio humanos están cada vez más aumentados por los chatbots de IA. Estos chatbots están evolucionando más allá de respuestas más inteligentes y basadas en árboles, lo que les permite proporcionar a los clientes más información de manera rápida.
Sin embargo, al igual que a los agentes de servicios humanos se les puede aplicar ingeniería social, a los chatbots también. Comprender el cambio de atacar al personal del servicio de atención al cliente a atacar estos terminales se convertirá en una gran preocupación para las empresas.
Será interesante ver lo que sucede a medida que la IA cambia la forma en que utilizamos Internet. La forma en que la gente realiza búsquedas no ha cambiado fundamentalmente desde los días de AltaVista. Sin embargo, cambiará a medida que las personas utilicen agentes de IA para realizar sus búsquedas, reservas o pedidos.
Esto plantea una pregunta interesante: ¿Tratará el servidor web o la puerta de enlace esa situación como una solicitud humana o una solicitud de bot (instigada por un humano)? Creo que las organizaciones tendrán que deducir cuál es el impacto de esta interacción y cómo gestionarla desde el punto de vista de la seguridad. En cierto modo, las empresas pasarán de ver a los bots en gran medida como un problema a considerarlos un beneficio.
Por lo tanto, ser capaz de verificar y validar los bots será importante. Esto llevará a que se establezcan acuerdos con los principales proveedores de IA para verificar criptográficamente sus consultas, de modo que se traten de una forma diferente a las de un scraper de dudosa procedencia.
Por último, creo que veremos un aumento de los ataques DDoS que explotan las vulnerabilidades del Internet de las cosas (IoT). La Ley de Resiliencia Cibernética (CRA), aprobada por la UE en 2024, tiene como objetivo abordar la deficiente seguridad inherente que se observa en los dispositivos IoT, que facilita el abuso por parte de los atacantes.
La CRA ofrece un enfoque armonizado de la seguridad de los dispositivos IoT diseñado para simplificar el cumplimiento y evitar la superposición de normativas. Las disposiciones se irán incorporando gradualmente con el tiempo, por lo que será interesante ver cómo garantizan las empresas el cumplimiento y qué impacto tendrá en la seguridad del IoT.
¿Qué es lo que más le llamó la atención en 2025?
En 2025, vimos cómo la IA pasó de la experimentación a la implementación práctica en capacidades de ciberataques. La IA está garantizando la eficacia de los ataques y plantea desafíos a los equipos de defensa y seguridad convencionales porque los ataques son más difíciles de detectar, tienen más impacto y logran sus objetivos con mayor rapidez.
Los atacantes utilizan de forma activa la IA generativa para desarrollar todo, desde malware hasta agentes de amenazas de IA, a gran velocidad y sin necesidad de contar con amplias habilidades técnicas. Los defensores no pueden permitirse quedarse de brazos cruzados. Sus defensas se volverán obsoletas de forma muy rápida si no se adaptan a esta carrera armamentista de IA.
Esto enfatiza la necesidad de una mayor alfabetización en IA. Los equipos de seguridad deben conocer bien la tecnología para poder aprovechar todo su potencial. Por ejemplo, algunas empresas están creando sus propios chatbots de IA para capturar sus conocimientos de seguridad acumulados en un conjunto de datos de formación, de modo que los miembros del equipo con menos experiencia puedan obtener asistencia rápida.
Dado que la IA evoluciona de forma tan rápida, los equipos deben intercambiar ideas sobre qué más pueden hacer, más allá de las capacidades actuales. También es importante asegurarse de que los proveedores y los partners de la cadena de suministro se centran en la seguridad de la IA. Las empresas deben preguntarse lo siguiente: "Si estoy utilizando su herramienta basada en IA, ¿cómo protege su LLM, su conjunto de datos y otros elementos de IA?"
¿Qué problemas notables prevé en 2026?
La rápida aceleración del ciclo de vida de los ataques, impulsada por la IA autónoma, será uno de los principales desafíos en 2026. La IA está impulsando nuevos niveles de precisión y eficiencia de los ataques, desde explotaciones automatizadas de vulnerabilidades hasta el desarrollo de malware asistido por IA.
Los estudios han demostrado que el tiempo necesario para que los ataques basados en IA sean eficaces se ha reducido drásticamente. Una filtración de datos típica en 2026 requerirá horas en lugar de semanas para generar un impacto. Esta es una preocupación especialmente importante en la región de Asia-Pacífico (APAC), donde las empresas siguen dependiendo normalmente de la defensa perimetral tradicional y de la respuesta centrada en las personas. Las organizaciones que carecen de operaciones de seguridad maduras y alfabetización en IA se encontrarán en desventaja de manera significativa.
En 2026, las API superarán a todos los demás vectores de ataque y se convertirán en la fuente dominante de filtraciones de datos en la capa de aplicación, lo que podría suponer más de la mitad de todos los ataques a aplicaciones en la región de APAC. Más del 80 % de las organizaciones de la región de APAC indicaron que habían experimentado al menos un incidente de seguridad de API en el último año.
Lo más preocupante es que casi dos tercios de las organizaciones de la región de APAC no saben cuáles de sus API están procesando datos confidenciales. Esto pone de relieve la necesidad de una mayor visibilidad y gobernanza de los inventarios de API.
La adopción del "vibe coding", donde la IA generativa se utiliza para crear API, solo aumentará el riesgo. La codificación asistida por IA se ha vinculado a un aumento de errores de configuración, configuraciones predeterminadas no seguras y vulnerabilidades que se pasan por alto. Para gestionar el riesgo, las organizaciones necesitarán herramientas de seguridad especializadas para detectar, probar y proteger las API a lo largo de su ciclo de vida.
El ransomware se democratizará por completo en 2026, impulsado por el RaaS y el "vibe hacking" basado en IA. Veremos un aumento en la frecuencia y la velocidad de los ataques. Las líneas que separan a los ciberdelincuentes, los hacktivistas y los operadores alineados con los Estados se están difuminando, ocultando los motivos de los ataques y dificultando la atribución.
En la región de APAC, es probable que la fabricación de alta tecnología sea un objetivo prioritario. Un ataque eficaz de ransomware contra plantas de fabricación de semiconductores interrumpiría el suministro global de chips e infligiría enormes daños económicos. Con la democratización de las herramientas de ataque avanzadas, las organizaciones deben aumentar rápidamente su resiliencia operativa y no solo centrarse en prevenir las brechas.
¿Qué es lo que más le llamó la atención en 2025?
Este año, los informes sobre el estado de Internet (SOTI) han incluido una guía para los defensores y la información más reciente sobre aplicaciones y API, ransomware y DDoS, y tendencias de amenazas de fraude y abuso. En todos los informes se observaron dos patrones claros:
En primer lugar, los bots siguen innovando y serán tan persistentes como lo han sido los ataques DDoS.
En segundo lugar, vemos que los ciberdelincuentes siguen enfocándose en los datos críticos para monetizar sus ataques, y vemos las API como el objetivo principal; la IA generativa y los LLM emergerán como la nueva área de ataque.
Las estadísticas confirman estas dos tendencias. Por ejemplo, el tráfico de bots de IA ha tenido un crecimiento interanual del 300 % desde julio de 2024, hemos observado un crecimiento del 94 % en los ataques DDoS trimestrales a la capa de aplicación (capa 7) y el 47 % de los equipos responsables de la seguridad de las aplicaciones mantienen inventarios completos de API, pero no identifican las API que gestionan datos confidenciales.
A continuación, debo mencionar algunos de los marcos que se examinaron en los informes SOTI. Estos son los recursos que me han llamado la atención:
La información sobre la asignación de alertas de ataques del mundo real a diferentes marcos de trabajo que mostraron qué tendencias de ataque reales se basaban en los estándares del sector (resultados de ejemplo: OWASP 32 %, MITRE 30 %, ISO 22 %, RGPD 21 %, PCI DSS 16 %)
Un proceso de integración del cumplimiento que presentaba los seis pasos para crear un programa multidisciplinario unificado
Orientación sobre cómo asignar las 10 principales vulnerabilidades según OWASP a su programa de fraude para ayudar a priorizar lo que se debe corregir primero
Mientras reflexionamos sobre cómo aprovechar esta información, es importante recordar que necesitamos conocer la situación para comprender lo que está sucediendo. También necesitamos trabajar con un proveedor cuya plataforma pueda proporcionar la capacidad integrada de adaptar sus mitigaciones en función del apetito por el riesgo de su liderazgo. A continuación, debemos validar nuestros controles técnicos y de procesos mediante ejercicios y pruebas.
Por último, es importante tener en cuenta el ecosistema criminal en el que vemos que los ataques patrocinados por los Estados basados en guerras regionales, las capacidades monetizadas de bots y RaaS, y las herramientas de fraude basadas en IA, como FraudGPT y WormGPT, están redefiniendo el panorama actual de ciberamenazas.
¿Qué problemas notables prevé en 2026?
A medida que nos acercamos a 2026, vemos que la mayoría de las organizaciones necesitan actualizar su cartera de riesgos cibernéticos para asegurarse de que pueden gestionar las últimas tendencias, como el nuevo aumento del scraping, la necesidad de protección de la marca y los nuevos ataques DDoS sin precedentes. Sin embargo, el trabajo real consiste en asegurarse de que puedan mitigar dos amenazas clave: los ataques al Edge y la interrupción de la actividad empresarial.
Las capacidades de las API y la IA generativa están en auge, y las organizaciones deben asegurarse de que están protegidas. También necesitan detectar y segmentar los ataques de ransomware para que no tengan un impacto significativo en la empresa.
En todos los sectores y regiones, las ciberamenazas están aumentando tanto en escala como en sofisticación, impulsadas por la innovación en IA. El imperativo para 2026 es claro: cree resiliencia a través de guías probadas, aproveche marcos (como OWASP, MITRE, ISO) y ejecute ejercicios de validación que conviertan el conocimiento de la situación en un nivel de preparación medible.
¿Qué es lo que más le llamó la atención en 2025?
El año 2025 continuó demostrándome que cuanto más complejas son las amenazas, más importantes son los principios básicos. Imagínese que compra una casa de 5 millones de dólares y luego descubre que los cimientos son deficientes. Le molestaría bastante, ¿verdad? Imagine la cantidad de dinero adicional que tendría que gastar para corregir los cimientos una vez que ya se haya mudado.
La seguridad no es una excepción: necesita una base sólida de lo básico para mantenerse seguro. Algunas de las mayores brechas que hemos visto se produjeron debido a casos de phishing simple o por no tener establecida la autenticación multifactorial (MFA). Lo básico importa. Por favor, aplique los parches disponibles a sus vulnerabilidades.
Los atacantes llevan mucho tiempo reutilizando tácticas válidas y establecidas para sus fines maliciosos, pero incluso eso ha evolucionado. Una tendencia preocupante que estamos observando cada vez más es el abuso de procesos o características que no solo son legítimos, sino que también están destinados a ayudar. Un gran ejemplo de ello es la nueva variante del malware Coyote, el primer caso confirmado de uso malicioso del marco de automatización de la interfaz de usuario (UIA) de Microsoft en el mundo real mediante el uso de las funciones de accesibilidad como arma.
Otro ejemplo es el abuso del cumplimiento y el conocimiento de las ramificaciones legales para garantizar un pago en una situación de ataque de ransomware. Funciona porque es genial, así que quita el sueño y vale la pena vigilarlo.
Por último, la IA y los LLM tuvieron un impacto evidente este año, incluidos los ataques centrados en el abuso de la lógica empresarial. Cuanto más utilicen los atacantes la IA, más importante será comprender a las personas y la psicología que hay detrás de los ataques.
No solo está luchando contra las herramientas, sino que está luchando contra las personas que desarrollan y utilizan esas herramientas. Los atacantes también son personas, y las organizaciones delictivas son empresas. Están tratando de hacer más con menos, como todos nosotros. Por lo tanto, en lugar de centrarse únicamente en las herramientas en sí, preguntarse por qué los atacantes están utilizando estas herramientas y qué están tratando de lograr es realmente importante para una defensa adecuada. Los LLM y la IA generativa extrapolan el factor humano, no lo eliminan.
¿Qué problemas notables prevé en 2026?
Las organizaciones deben asumir que se va a producir una brecha. Punto final. Hemos llegado a un punto que va más allá de preguntarnos simplemente si entrarán. La realidad es que entrarán. De hecho, probablemente ya hayan estado dentro. La recuperación ante desastres debería formar parte de su plan de continuidad del negocio ahora mismo.
Sobre todo, en el caso de una empresa: cuando se produce un incidente, es necesario que sucedan muchas cosas en muy poco tiempo. Esto significa que las organizaciones deben derribar las barreras técnicas y de comunicación que separan a los departamentos (por un lado, los de marketing y relaciones públicas, por otro lado, el de TI, y por otro, el de seguridad) para poder desarrollar una respuesta eficaz. Además, cuanto más se comuniquen los equipos entre ellos, más oportunidades tendrá de encontrar posibles vulnerabilidades.
Creo que el riesgo de terceros y el riesgo de la cadena de suministro serán realmente críticos en 2026. Debido a la IA y los LLM, se trata de un terreno de juego completamente diferente al que hemos visto en el pasado. Es posible que haya proveedores de seguridad que utilicen estos modelos GPT sin revelar que los datos de sus clientes se están utilizando para alimentarlos.
Como defensor o director de Seguridad de la Información (CISO), ¿cómo puede gestionar su riesgo cuando ni siquiera sabe cuál es ese riesgo? Será de vital importancia evaluar a sus proveedores (y a los proveedores que utilizan ellos), saber qué preguntas se deben formular y ser capaz de puntuar su riesgo.
Preveo que también veamos una continuación del hacktivismo vinculado a la geopolítica. Hoy en día, las personas están incluso más motivadas debido a los climas políticos tempestuosos que hay en todo el mundo. Creo que vamos a ver más ataques de tipo ballena ("whale") dirigidos de forma muy específica (es decir, ataques sofisticados de phishing dirigidos a ejecutivos de alto perfil) que utilizan herramientas de IA. La agilidad que proporcionan estas herramientas permite a los atacantes centrarse en un objetivo con un potencial de ingresos significativamente mayor sin más esfuerzo del necesario para dirigirse a una empresa más pequeña.
Independientemente de que los ataques sean financieros, puramente disruptivos o de algún otro tipo, comprender la motivación de los atacantes ayudará a las organizaciones a tomar decisiones sobre dónde deben centrar sus esfuerzos defensivos.
Un compromiso con el aprendizaje
Esperamos que este resumen del año 2025 os haya proporcionado información valiosa y conclusiones útiles. A medida que nos adentramos en 2026, nos comprometemos a profundizar en el mundo de la ciberseguridad y a cubrir todos los temas que realmente son importantes para ustedes. Estamos encantados de aportar nuevas perspectivas a la vez que mantenemos la relevancia de los temas, tanto si se enfrenta a amenazas globales como a problemas regionales.
Más información
Para obtener más información sobre las tendencias que han prevalecido este año, visite nuestra página de investigación sobre inteligencia de seguridad de Akamai para acceder a nuestra biblioteca de informes SOTI y de investigación.
¡Nos vemos en 2026!
Etiquetas
