A los hackers les basta con poco: tres razones por las que siguen superando a las corporaciones
Los hallazgos más preocupantes del nuevo estudio a gran escala de Hunt & Hackett.
La mayor parte de los incidentes cibernéticos de alto perfil no comienzan con técnicas «innovadoras» de los atacantes, sino con problemas cotidianos en TI que se posponen durante años. Esa conclusión se extrae del Informe de Tendencias 2026 de la empresa Hunt & Hackett, que analizó 54 400 casos de SOC y respuesta durante 2025.
El dinero sigue siendo el principal motivo de los ataques: en el 71% de los casos los atacantes perseguían un beneficio financiero. El escenario más frecuente fue la extorsión con cifrado de datos, que representó el 43% de los incidentes. A continuación se sitúa el fraude por correo electrónico (29%).
Los autores del informe destacan tres causas persistentes que una y otra vez abren la puerta a los ataques. La primera: sistemas obsoletos y mantenimiento aplazado. En grandes entornos TI y OT se acumulan durante años componentes vulnerables, dependencias complejas y el «legado» de decisiones pasadas. Cualquier modificación conlleva riesgos para servicios vecinos, por eso se retrasan actualizaciones y correcciones, y la ventana para los atacantes se amplía.
La segunda: protección débil de las cuentas. La compromisión de usuarios y contraseñas sigue siendo uno de los caminos más directos para entrar, especialmente cuando el acceso depende de servicios remotos y dispositivos perimetrales. Yurien Harskamp relaciona la persistencia de estos ataques con que muchas organizaciones no pueden mantener medidas básicas de protección operativas a la escala de una infraestructura grande.
La tercera: observabilidad insuficiente. En el 86% de los incidentes la investigación se vio obstaculizada por registros y monitorización incompletos: en algunos lugares faltaban logs de auditoría, en otros los eventos se conservaban por un tiempo demasiado corto, y en otros sistemas importantes ni siquiera entraban en el perímetro de control. Como resultado, los atacantes permanecen desapercibidos durante más tiempo y logran afianzarse.
Ronald Prins subraya que el problema suele radicar no tanto en la concienciación como en la capacidad de convertir la seguridad en resultados. Las empresas adquieren soluciones de protección, pero subestiman la gestión, el mantenimiento periódico y la verificación continua de que el control funciona a lo largo de toda la cadena de ataque.
Además, el informe aborda la soberanía digital en el contexto de la dependencia de nubes y proveedores. Por soberanía se entiende no la geografía del almacenamiento de datos, sino el control y la transparencia de lo que ocurre en la infraestructura. El primer paso es garantizar la visibilidad de los eventos de seguridad para que las conclusiones y las alertas puedan verificarse de forma independiente de la plataforma.