¿Cómo será el panorama de la ciberseguridad el próximo año?
Más que especulaciones, estas predicciones de ciberseguridad representan evoluciones lógicas de las metodologías de ataque actuales y el comportamiento de los actores de amenazas, ya evidentes en el panorama actual. Nuestro vicepresidente de Inteligencia de Seguridad, Rik Ferguson, y nuestro vicepresidente de Investigación, Daniel dos Santos, analizan los principales desafíos y las nuevas tendencias que probablemente veremos pronto.
Tome estas predicciones como consejos útiles para preparar sus defensas con antelación.
1. Los actores de amenazas explotarán los permisos de las aplicaciones SaaS en lugar de las contraseñas.
Los atacantes están cambiando el enfoque de las contraseñas robadas a los permisos otorgados a las aplicaciones conectadas. Al abusar de los consentimientos de OAuth y los tokens de actualización de integraciones legítimas en plataformas como Microsoft 365, Salesforce y Slack, pueden cambiar de inquilino discretamente y mantener el acceso incluso después de restablecer las contraseñas.
En 2026, estas campañas de «salto de tokens» rivalizarán con el phishing tradicional como la vía más eficaz para comprometer la seguridad. Con la creciente popularidad de la autenticación sin contraseña, el día en que el abuso de OAuth supere al phishing está cada vez más cerca. Los defensores deberían crear un inventario de aplicaciones autorizadas, limitar las funciones de cada una y revocar periódicamente los tokens no utilizados o sospechosos.
2. Los atacantes no solo usarán IA para ingeniería social, sino que la venderán como servicio.
En 2026, SEaaS (Ingeniería Social como Servicio) se convertirá en el modelo de suscripción más popular del mundo criminal. Veremos el despegue de SEaaS, con kits listos para usar y disponibles para la compra que incluyen clonación de voz con IA, flujos de llamadas con guiones y enlaces falsos de «autorización de aplicaciones». Las opciones «Premium» ofrecerán los servicios de expertos en ingeniería social con experiencia que buscan distanciarse de incidentes posteriores y del interés de las fuerzas del orden.
Estos paquetes integrales permitirán que incluso atacantes sin experiencia se hagan pasar por empleados y eludan la autenticación multifactor mediante interacciones convincentes con el servicio de asistencia o el chat. A medida que prolifera la automatización de voz y chat, los defensores deben tratar cada conversación como información no confiable e integrar la verificación en cada flujo de trabajo.
3. La preparación cuántica pasará (finalmente) a primer plano
El riesgo cuántico ya no es una teoría, y cualquiera que lo trate como tal recibirá una gran llamada de atención. El próximo año será el año en que las organizaciones con visión de futuro finalmente se darán cuenta de que cada dispositivo no administrado que implementan hoy es una emergencia futura a punto de ocurrir.
Las redes con una vida útil de hardware de al menos cinco años deben comenzar a planificar la migración criptográfica, identificar qué activos no pueden soportar algoritmos postcuánticos, aislar los sistemas criptofrágiles y discutir hojas de ruta preparadas para PQC con los proveedores.
4. El ransomware se centrará en las cadenas de suministro para obtener el máximo beneficio
Los atacantes están aprendiendo que la forma más rápida de ganar dinero no es necesariamente cifrando o filtrando archivos, sino secuestrando las cadenas de suministro. En 2026, veremos el nacimiento de campañas de «rescate inverso» que perturban a pequeños fabricantes, proveedores de logística o centros de servicios, y luego presionan a los socios para que paguen y así mantener las operaciones en marcha. Esta táctica permite al atacante atacar a organizaciones más pequeñas, donde la seguridad puede ser más débil, y exigir dinero a la organización con mayor capacidad de pago.
Esta táctica podría explotar la interdependencia financiera y funcional entre empresas, convirtiendo una brecha de seguridad en una crisis para toda la industria. Proteger a sus socios ahora forma parte de protegerse a sí mismo.
5. Los atacantes acelerarán la explotación de dispositivos perimetrales e IoT
Se espera que los routers, firewalls, dispositivos VPN y otros dispositivos periféricos, así como las cámaras IP, hipervisores, NAS y VoIP en la red interna —todos fuera del alcance de la detección y respuesta de endpoints— se conviertan en objetivos prioritarios. El malware personalizado para dispositivos de red y periféricos está en auge, y con frecuencia abusa de herramientas de administración legítimas para un control sigiloso.
En 2025, más del 20 % de las vulnerabilidades recién explotadas afectaron a dispositivos de infraestructura de red. En 2026, esa cifra podría superar el 30 %, ya que la explotación de activos no gestionados proporciona la plataforma ideal para el acceso inicial y el movimiento lateral. Extender el inventario y la aplicación de la normativa a todos los dispositivos, con o sin agente, definirá la siguiente fase de la gestión de la exposición.
6. El cibercrimen se fragmentará aún más en especialistas, pero dependerá de herramientas compartidas.
El próximo año, la ciberdelincuencia seguirá fragmentándose en una industria de especialistas, con intermediarios de acceso inicial, blanqueadores de datos y operadores de extorsión que se reparten el trabajo e intercambian el acceso entre sí. Como predijo la filtración de Lockbit, muchos de los grupos que acaparan titulares se fragmentarán en marcas de estilo franquicia en lugar de organizaciones unificadas. Sin embargo, a pesar de toda esa variedad, la mayoría de los grupos seguirán dependiendo de la reutilización intensiva del mismo conjunto reducido de frameworks, cadenas de herramientas y exploits.
En 2026, esta combinación de especialización y herramientas compartidas desdibujará las fronteras entre los grupos de amenazas, haciendo que los comportamientos compartidos, no las marcas, sean el mejor indicador de quién está detrás de un ataque.
7. Los hacktivistas convertirán la confusión en un arma
Las campañas hacktivistas han aprendido que sembrar la duda puede ser tan disruptivo como causar interrupciones. Recientemente, nuestro honeypot de investigación detectó a un hacktivista que afirmaba haber interrumpido una empresa de agua holandesa. Vea lo que descubrimos en » Anatomía de un ataque hacktivista: Grupo alineado con Rusia ataca OT/ICS «.
En 2026, hacktivistas, faketivistas y actores afines al Estado combinarán cada vez más las reclamaciones públicas con ligeras intervenciones prácticas en los sistemas OT, obligando a los operadores a realizar cierres preventivos incluso cuando no se produzcan daños reales. Esto afectará a sectores de infraestructura críticos, como el agua, la energía y la sanidad.
Muchas de estas operaciones de «anuncio primero, prueba después» exageran su impacto para presionar a los operadores a desactivar los sistemas voluntariamente. La única defensa es la visibilidad clara, la detección de amenazas y la segmentación que separan los rumores de la realidad.
Para acceder al post original, pinche aquí.
