Del ruido y el cifrado a la discreción en la red: cómo los hackers cambiaron sus tácticas en 2026
Analistas publican informe que revela nuevas técnicas de ciberataques
Los hackers ya no irrumpen en los sistemas con estruendo. Entran en silencio, se instalan cómodamente y permanecen dentro de la red durante meses. Así lo concluyen los analistas de Picus Labs en el informe Red Report 2026, donde estudiaron más de 1,1 millones de archivos maliciosos y más de 15,5 millones de acciones de atacantes durante 2025.
Los autores del informe señalan un cambio brusco en la estrategia de los ataques. Si antes la principal amenaza eran los cifradores que paralizan negocios, ahora la prioridad se ha desplazado hacia la sigilosidad y la consolidación en la infraestructura. Ocho de las diez técnicas más comunes en la base MITRE ATT&CK están relacionadas con la evasión de mecanismos de defensa y el mantenimiento del acceso. En esencia, los atacantes se comportan como "parásitos digitales" y procuran pasar desapercibidos el mayor tiempo posible.
La técnica más popular por tercer año consecutivo sigue siendo la inyección de código en procesos. Se detectó en el 30% de las muestras maliciosas. La idea es sencilla: el código malicioso se inserta en la memoria de un proceso legítimo de Windows, por ejemplo el Explorador o un servicio del sistema, y se ejecuta en su nombre. Así operó el keylogger TinkyWinkey, que lanzaba su carga útil dentro de procesos de confianza y ocultaba el robo de datos al Administrador de tareas.
En segundo lugar quedó la explotación de intérpretes de comandos y scripts. El grupo DragonForce empleó comandos de una sola línea en PowerShell para cargar y ejecutar código malicioso directamente en memoria, sin dejar archivos en el disco. En equipos Apple, el malware Atomic Stealer usó scripts de AppleScript para robar contraseñas mediante ventanas del sistema falsas. Los atacantes cada vez "viven a costa de la infraestructura de la víctima", usando las herramientas administrativas legítimas.
El informe presta especial atención al robo de credenciales. La técnica de extraer contraseñas de los almacenes de navegadores y gestores se encontró en casi uno de cada cuatro casos. El malware SantaStealer, por ejemplo, no rompía el cifrado de Chrome, sino que accedía a las interfaces legítimas del navegador y obtenía las contraseñas descifradas igual que lo hace el propio navegador. Esto confirma que el objetivo principal de los atacantes hoy no es la destrucción, sino el control de las cuentas.
Al mismo tiempo, la proporción de la técnica de "cifrado de datos con fines de impacto", característica de los programas de rescate, disminuyó un 38% en un año. En 2025 se detectó en el 21% de las muestras, y en 2026 ya en el 12,9%. Los cifradores no han desaparecido, pero ahora combinan con más frecuencia el bloqueo con el robo de datos y el chantaje.
También aumentó la popularidad de la evasión de sandbox y entornos virtuales. Las muestras modernas analizan el comportamiento del usuario e incluso registran la trayectoria del movimiento del ratón. LummaC2, según indica el informe, calcula la distancia euclidiana y los ángulos del desplazamiento del cursor. Si el movimiento parece "inhumano", el malware no se activa.
Otra tendencia inquietante está relacionada con el acceso a hardware. El informe describe las llamadas "granjas de portátiles" controladas por operadores de Corea del Norte. Conectaban dispositivos IP-KVM a puertos HDMI y USB, obteniendo control a nivel del BIOS. Un acceso de este tipo opera por debajo del sistema operativo y deja impotentes las medidas tradicionales de protección.
Un bloque aparte trata del uso de servicios en la nube para gestionar malware. Los autores citan el ejemplo del backdoor SesameOp, que transmitía comandos a través de la interfaz de OpenAI, enmascarando la comunicación como una interacción normal con servicios de inteligencia artificial. Otros grupos recurrían a almacenes de secretos en la nube mediante interfaces de proveedores para robar credenciales sin contacto directo con el punto final. En un año, los analistas identificaron más de 13,3 millones de técnicas dentro del marco MITRE ATT&CK, un promedio de 12 técnicas distintas por muestra maliciosa.
El panorama es claro. Los ataques son menos ruidosos, pero más prolongados y sistemáticos. Si antes las empresas temían que sus datos fueran cifrados, ahora deberían temer que los atacantes ya estén dentro de la red y actúen en nombre de usuarios legítimos.