Más rápido de lo que te tomas un café: la nueva velocidad a la que se cede el control de la red preocupa incluso a los expertos.
A los propietarios de los sistemas solo les queda ver cómo otros marcan el rumbo.
Mandiant publicó el informe M-Trends 2026, y el panorama de las ciberamenazas del año pasado resulta preocupante. Los ataques son más rápidos, más sigilosos y más destructivos, y la línea entre distintos tipos de actores maliciosos se difumina. Unos actúan con gran rapidez, otros se afianzan en la infraestructura durante meses sin ser detectados.
El documento se basa en más de 500 000 horas de investigaciones de incidentes en todo el mundo durante 2025. El tiempo medio de permanencia oculta de los atacantes en la red aumentó a 14 días frente a 11 el año anterior. En las operaciones de ciberespionaje ese indicador llega a 122 días, lo que refleja un incremento de la complejidad de los ataques y la capacidad para eludir las defensas.
La vía principal de intrusión sigue siendo la explotación de vulnerabilidades: representó el 32 por ciento de los incidentes. Al mismo tiempo aumentó de forma notable la proporción de phishing por voz, hasta el 11 por ciento. El correo electrónico, por el contrario, perdió protagonismo: ese tipo de ataques cayó al 6 por ciento de los casos. Con más frecuencia los atacantes se dirigen directamente a empleados, simulando llamadas a servicios de asistencia y sorteando la autenticación multifactor.
Otro cambio destacado es la transferencia casi instantánea del acceso entre grupos. Si en 2022 entre la intrusión y el inicio de la fase activa transcurrían más de ocho horas, en 2025 ese intervalo se redujo a 22 segundos. El primer grupo prepara la infraestructura y el segundo lanza de inmediato operaciones maliciosas, incluidos los ransomware.
Además, las propias familias de ransomware han cambiado de táctica. Ahora el objetivo no es solo cifrar datos, sino impedir que la empresa pueda recuperarse. Los atacantes apuntan a copias de seguridad, sistemas de gestión de virtualización y servicios de identidad. Como resultado, la organización se enfrenta a la disyuntiva de pagar o reconstruir la infraestructura desde cero.
El informe presta atención aparte a los ataques contra dispositivos de red: routers y servicios VPN. Estos sistemas a menudo no están cubiertos por las herramientas de protección estándar. Los atacantes explotan vulnerabilidades incluso antes de que exista un parche y despliegan código malicioso que persiste tras reinicios. En algunos casos la presencia en la red se prolonga hasta 400 días, y los registros de eventos estándar no permiten reconstruir la cadena del ataque.
Los autores del informe también registran un aumento en el uso de inteligencia artificial. Algunos programas maliciosos consultan modelos de lenguaje durante su ejecución para cambiar su comportamiento y evitar la detección. No obstante, la causa principal de los ataques exitosos sigue siendo errores básicos: control de acceso débil, servicios vulnerables y monitorización insuficiente.
Ante estos cambios, las empresas detectan con más frecuencia los ataques por sus propios medios: en el 52 por ciento de los casos frente al 43 por ciento del año anterior. Además, las empresas tecnológicas se convirtieron en el objetivo principal, adelantando al sector financiero.
Mandiant considera que la defensa debe evolucionar junto con los ataques. Se trata de revisar continuamente las cuentas, ampliar el registro de eventos y pasar de indicadores estáticos al análisis del comportamiento. Sin estas medidas, la ventaja frente a los atacantes solo se ampliará.