A los programas de seguridad se le exige que defiendan entornos cada vez más complejos contra ciberdelitos más rápidos, automatizados y difíciles de aislar. El último año de ataques muestran un crecimiento importante.

El Informe de Ciberseguridad 2026 realizado por Check Point Research, especializada en soluciones de ciberseguridad, se basa en un análisis directo de la actividad global de ataques, que abarca ataques basados en Inteligencia Artificial , operaciones de ransomware, entornos híbridos e ingeniería social multicanal. Documenta cómo se ejecutan estas técnicas en la práctica, a escala, en diferentes industrias y regiones.

Los datos apuntan a un patrón claro. Los ataques han ido más allá de los métodos aislados, combinando deliberadamente IA, abuso de identidad, ransomware, infraestructura perimetral e interacción humana en campañas coordinadas que avanzan más rápido de lo que la mayoría de los programas de seguridad están diseñados para gestionar.

La adopción de la IA en las empresas se aceleró más rápido que la mayoría de los controles de seguridad. Los atacantes la siguieron de inmediato y ahora la IA está integrada en toda la cadena de ataque.

Los datos recopilados en entornos de IA empresarial muestran lo siguiente:

-El 90 % de las organizaciones se encontraron con solicitudes de IA de riesgo en un período de tres meses.

-1 de cada 48 solicitudes enviadas a herramientas de IA empresarial se clasificó como de alto riesgo.

-Más del 16 % de las solicitudes mostraron características relacionadas con la exposición de datos, el abuso de privilegios o la manipulación indirecta de solicitudes.

Estos no fueron experimentos aislados. Ocurrieron dentro de los flujos de trabajo empresariales, los sistemas de atención al cliente y las herramientas de productividad internas.

La infraestructura que soporta los sistemas de IA también está siendo atacada activamente. Un análisis realizado por Lakera, una empresa de Check Point, examinó aproximadamente 10 000 servidores del Protocolo de Contexto de Modelo y encontró vulnerabilidades de seguridad en el 40 % de ellos.

Los sistemas de IA forman parte ahora del tejido operativo de las organizaciones. Cuando fallan, lo hacen de forma estrepitosa y a gran escala.

Las operaciones de ransomware siguieron aumentando en volumen, a la vez que se volvían más distribuidas y automatizadas. En 2025, la actividad del ransomware se fragmentó en unidades más pequeñas, rápidas y especializadas, respaldadas por la automatización de la IA.

El resultado fue un mayor número de ataques, un menor tiempo de permanencia y una mayor presión operativa sobre los equipos de seguridad.

El informe muestra un aumento interanual del 48 % en las víctimas de extorsión. Un aumento del 50 % en los nuevos grupos de ransomware como servicio a medida que se debilitan los modelos basados en la reputación.

Estos ataques rara vez dependían de vulnerabilidades novedosas. Se basaban en el acceso ya existente y en la capacidad de actuar con rapidez una vez dentro.

El factor de riesgo más recurrente en todos los sectores no fue la calidad de las herramientas, sino la expansión operativa. A medida que las empresas operan con dispositivos locales, entornos en la nube e infraestructura perimetral, los atacantes aprovechan la exposición resultante.

Los dispositivos perimetrales y las cajas de retransmisión operativas se utilizan cada vez más como puntos de acceso iniciales.

Los dispositivos no supervisados se utilizan como bases de lanzamiento que se integran en el tráfico legítimo de la red.

Se recopilan las credenciales y se inicia el movimiento lateral antes de que los defensores detecten un comportamiento anormal.

El correo electrónico sigue siendo el principal mecanismo de entrega de archivos maliciosos, pero ya no actúa solo.

Los datos muestran que el 1,46 % de todos los correos electrónicos con archivos adjuntos recibidos por las organizaciones fueron maliciosos.

El correo electrónico representó el 82 % de la entrega de archivos maliciosos, mientras que los ataques web representaron el 18 %.

La actividad de ClickFix aumentó aproximadamente un 500 %.

La suplantación de identidad telefónica se ha convertido en una técnica de intrusión centrada en las empresas.

Los atacantes ahora coordinan el correo electrónico, la web, el teléfono y los canales de colaboración para manipular a los usuarios y eludir los controles técnicos.

En todas las categorías, el informe muestra que los atacantes combinan velocidad, automatización y confianza para escalar sus operaciones.

Se registró un aumento del 18% en los ciberataques interanual y del 70% desde 2023. Para 2025, las organizaciones se enfrentaron a un promedio de 1968 intentos de ataque por semana. El sector educativo experimentó el mayor volumen de ataques, mientras que sectores como la salud, el gobierno, la energía, la automoción, la hostelería y la agricultura registraron aumentos significativos.