Con mucha razón los observatorios científicos de varias instituciones han calificado el 2025 como el año del crecimiento masivo en el uso de la Inteligencia artificial (IA). Mantuvo una tendencia al crecimiento el número de herramientas, que han venido ganando popularidad como DeepSeek.
Sin embargo, el hecho de que se diversifiquen las herramientas para la realización de actividades que beneficien el desarrollo humano, no excluye que deba mantenerse la observancia de los aspectos que resultan negativos entre los que destacan sus sesgos, problemas éticos en su utilización y de manera especial, su explotación por los cibercriminales para desarrollar ataques cada vez más sofisticados.
Para algunas personas las cuestiones que se exponen pueden parecer extremadamente técnicas, sin embargo, conocer hacia donde se encaminan los ataques de los ciberdelincuentes propicia el cumplimiento de la filosofía de que la ciberseguridad es tarea de todos.
Tomando en consideración estas aristas se considera esencial hacer dar una hojeada a las tendencias que mantuvo el cibercrimen en 2025 y sus perspectivas para el 2026. Para este fin se debe contextualizar el comportamiento observado durante 2024 y la aceleración que experimentaron los ciberataques en 2025.
El consenso general en la ciberseguridad indica que 2025 fue para el cibercrimen un año de cualitativo mas que cuantitativo y la base de esta afirmación está en que la brecha entre la capacidad de ataque de los ciberdelincuentes y las defensas tradicionales se amplió significativamente y en esto desempeña un papel muy importante el uso de la IA.
Para poseer una visión más amplia del problema es necesario realizar un análisis de la evolución de los ciberataques a partir de una comparación de 2025 con respecto a 2024 como vía para llegar a establecer las proyecciones para 2026.
Para evaluar las tendencias, no puede centrase el análisis en el crecimiento de los incidentes; debe atenderse de manera especial la «eficiencia» de los ataques. Para ello es esencial atender algunas variables.
La primera de ellas es el crecimiento en volumen y velocidad: Entre 2024 y 2025, el volumen de ataques creció cerca de un 20%, pero la velocidad de explotación de vulnerabilidades se redujo drásticamente. En 2024 una vulnerabilidad tardaba semanas en explotarse, pero en 2025 esto sucedía en cuestión de horas o días a consecuencia del procesos de automatización.
El crecimiento en este aspecto se enfocaba en varias direcciones, la primera es la superficie de ataque expandida que en 2024 se centraron en la nube y el trabajo remoto, mientras en 2025, evolucionó hacia la Internet de las Cosas (IoT) y las infraestructuras operativas (conjunto de hardware y software utilizado para controlar, monitorear y gestionar dispositivos, procesos e infraestructuras en el mundo físico). Los atacantes comenzaron a explotar la conectividad de dispositivos industriales y domésticos inseguros para perpetrar sus actos delictivos.
La segunda cuestión es el ataques a la cadena de suministro. A diferencia de 2024, donde los ataques se dirigían directamente a los proveedores, en 2025 el enfoque se tornó mucho más sofisticado pues los ciberdelincuentes utilizaban la infraestructura de una organización asociada de confianza para atacar al objetivo final. Este mecanismo se conoce como «island hopping» (saltos de isla).
El tercer aspecto es el uso de la ingeniería social hiperrealista que permitió un repunte de la calidad del phishing, con lo que este creció de manera muy notable en todas sus aristas. Dejaron de ser correos con errores gramaticales (común en 2024) a interacciones personalizadas impecables gracias a la utilización de la IA.
Pero un viejo conocido, el ransomware, que desde el 2013 posee un papel protagónico en los ataques consolidó su papel y evolución a través de mutaciones. Si 2024 la manera socorrida fue el «Ransomware-as-a-Service» (RaaS), en 2025 la manera de actuar se enfocó a la «extorsión multilateral».
La forma de manifestación en 2025 se centró en un menor nivel de encriptación, que fue sustituida por el concepto de más extorsión donde los atacantes tomaron en consideración que las copias de seguridad (backups) mejoraban su nivel y por ende, reducían la eficiencia de sus acciones. Así, en 2025 disminuyeron los ataques de encriptación pura mientras aumentaban los robos de datos y la amenaza de filtración. Ya no solo secuestran los datos, sino que amenazan con filtrarlos a la competencia, publicarlos en la “dark web” o con contactar a clientes afectados para generar daños a la reputación de la organización de forma masiva.
En 2024 los ataques se realizaban de forma mayoritariamente contra servidores locales, mientras en 2025, surgieron variantes de ransomware diseñadas específicamente para atacar entornos de contenedores (como Kubernetes) y bases de datos en la nube, aprovechando configuraciones erróneas en los que se ha dado en llamar “ransomware cloud-native”.
Se produjo además un cambio notable de objetivos. Era común en 2024 el ataque a empresas de servicios financieros, mientras que en 2025 los grupos de ataque de ransomware enfocaron su agresividad los sectores de la salud, la manufactura y los gobiernos locales, al ser lugares donde la interrupción del servicio tiene consecuencias inmediatas sobre la vida física y la economía, forzando así pagos rápidos. Además debe recordarse que la inversión en tecnología en sectores como el de la salud tienen niveles más lentos que en los que resultan claves para el desarrollo.
En 2025 entró al ruedo con una fuerza arrolladora la IA. Esta no puede ser vista simplemente como el futuro, sino como un motor de cambio del presente y que será definitorio para 2026.
El primer aspecto a tomar en consideración es la llamada reducción de la brecha de habilidades. Si bien en 2024, se requerían conocimientos técnicos de programación para escribir scripts de ataque, ya en el 2025 un sector de los modelos generativos de IA (LLM) que se han especializado en la creación de códigos maliciosos permitieron a “novatos” ciberdelincuentes con pocos conocimientos («script kiddies») lanzar ataques de nivel avanzado. Esto se ha dado en llamar la democratización de la ciberdelincuencia.
Por otra parte, el “Fingerprinting de IA” (conocido como huella digital o identificación biométrica de la IA) es utilizado por los atacantes para analizar y aprender patrones de comportamiento, hábitos y características de sus victimas, con el fin de crear un perfil digital único que permite identificarlo, rastrearlo o predecir sus acciones. Así los ataques en 2025 dejaros de ser aleatorios; la IA analizaba cuándo se hacía transferencias o cuando un directivo de una organización estaba de vacaciones para lanzar un ataque de phishing en condiciones óptimas.
Es importante que se tenga en cuenta la huella que van dejando los usuarios de las TIC en su operatoria desempeña un rol importante para que esta acción de los ciberdelincuentes tenga éxito, de los que se deduce que debe aprenderse a borrar las huellas que se dejan especialmente en internet como parte de la ciberseguridad como tarea de todos.
Visto el comportamiento de las acciones de los ciberdelincuentes de 2024 a 2025, las proyecciones para 2026 son alarmantes y sugieren un escenario muy complejo que se ha nombrado por especialistas como «guerra asimétrica automatizada».
En este contexto el escenario de conflicto muestra un desequilibrio de poder entre atacantes y defensores, que no solo tiene brechas en cuanto a recursos, sino que ha sido amplificado exponencialmente por el uso de IA y el potencial de la automatización.
La ciberseguridad siempre ha sido asimétrica. El atacante tiene la ventaja inherente porque solo requiere tener éxito una vez para causar una catástrofe, mientras la defensa de cualquier sistema tiene que evitar ser hackeado y para ello debe ser efectiva el 100 % de las veces y para ello, tiene que invertir en nuevas defensas, software y personal mientras el atacante solo debe utilizar de manera mas eficiente las herramientas automatizada, lo que no implica costo alguno.
Además la asimetría se manifiesta en que la defensa de un sistema se basa en que las organizaciones dependen de equipos humanos apoyados por herramientas de seguridad mientras los ciberdelincuentes sustentan toda su labor en el uso de “bots” autónomos que mantienen su actividad todo el tiempo sin necesidad de descansar. Existen muchos otros factores, incluso de uso militar o con fines terroristas, que se pudiera ampliar los ejemplos, sin embargo, sería simplemente mostrar más de lo mismo.
El ransomware ha encontrado en la IA un aliado muy especial. Para 2026, se estima que el 95% de los ataques por ransomware tendrán incorporados componentes de IA en alguna fase del ciclo de vida del ataque.
Se espera la aparición del ransomware autónomo. A diferencia de 2025, donde un humano iniciaba el ataque y la IA cooperaba, en 2026 se mostrarán los bots como ejecutores capaces de encontrar una vulnerabilidad, para infiltrarse, moverse lateralmente, exfiltrar datos y exigir el rescate sin intervención humana directa, lo que reducirá el tiempo en el proceso a unos escasos minutos.
Si en 2025 se manifestó un aumento del phishing textual, sin embargo en 2026 el gran desafío serán los ataques de ingeniería social mediante “Deepfakes” en tiempo real. El escenario estimado en ataques fraudulentos donde la voz y el video del ejecutivo son sintetizados con herramientas IA en tiempo real para autorizar transferencias bancarias masivas o cambios de configuración crítica. Esto obligará a las organizaciones a implementar «frases de seguridad» en vivo o biometría avanzada para verificar identidades.
También la serán notables las ofensivas contra modelos de IA. La adopción masiva del uso de la IA en las organizaciones provocará un cambio de objetivo de los atacantes en 2026. No solo será importante el robo de datos corporativos; serán atacados los modelos de IA de las organizaciones e incluso las que sirven en internet de manera pública a los usuarios de las TIC, lo que propiciará un mayor impacto en la actividad delictiva, que será exponencialmente mayor que los que han alcanzado en las redes sociales. Esto es lo que se conoce como «envenenamiento de modelos» a los que inyectan datos sesgados o maliciosos como parte del entrenamiento de la IA.
Esto impone a las organizaciones la adopción obligatoria de IA defensiva. Es por ello que ante la ofensiva de las ciberdelincuencia armada de todo este arsenal descrito a grandes rasgos, el 2026 debe ser el año de «Ciber IA», donde las soluciones tradicionales basadas en firmas (antivirus clásicos) serán obsoletas. Las defensas en 2026 dependerán exclusivamente de la IA para detectar anomalías de comportamiento en tiempo real. La lucha ya no será entre humano y humano, sino entre una IA ofensiva y otra IA defensiva.
En resumen, el salto de 2024 a 2025 demostró que la ciberseguridad pasó de un problema técnico a un problema de supervivencia de las organizaciones impulsada por la automatización. Para 2026, la tendencia más crítica es la autonomía del ataque. Se espera un ransomware que piense y actúe por sí mismo y pueda usarse de forma masiva de deepfakes para el fraude. La mitigación de estos riesgos dependerá no solo de firewalls, sino de la capacidad de las organizaciones para implementar la confianza cero y contrarrestar la IA enemiga con una propia.