Siete tendencias de ciberseguridad para 2026: abordar el panorama de amenazas post-malware impulsadas por la IA

San José, 7 de diciembre (elmundo.cr) – Tecnologías LumuLa empresa de ciberseguridad pionera en el modelo Continuo Compromise Assessment® presenta sus predicciones de ciberseguridad para 2026, un año que marcará un punto de inflexión para las empresas en medio de ataques autónomos, cadenas de suministro comprometidas por agentes de IA y una consolidación acelerada del cibercrimen geopolítico. Según la empresa, la industria entrará de lleno en un panorama post-malware donde la correlación de señales y la validación continua serán esenciales para la supervivencia.

«El ritmo de la transformación digital en ciberseguridad siempre ha sido rápido, pero la adopción y el desarrollo de tecnología impulsada por la IA se están acelerando dramáticamente, lo que significa que los fundamentos de la seguridad tradicional deben reinventarse por completo. El año 2026 marca un momento decisivo: el fin del modelo de seguridad centrado en los endpoints y un mayor cambio hacia una mentalidad no negociable de ‘hacer un compromiso'», dijo Ricardo Villadiego, fundador y director ejecutivo de Lumu Technologies.

1. Ataques autónomos impulsados ​​por IA: el surgimiento del “enjambre de depredadores”: los ciberdelincuentes implementarán agentes autónomos de IA capaces de ejecutar miles de acciones simultáneas para comprometer las redes de sus víctimas: desde generar 10,000 correos electrónicos de phishing personalizados por segundo hasta crear exploits de día cero en tiempo real e implementar ransomware en miles de dispositivos en menos de un minuto. Este nuevo paradigma, llamado “Predator Swarm”, combinará la automatización, la ingeniería social con deepfakes y la explotación masiva de los puntos ciegos de la red, todo ello sin intervención humana.

2. Panorama post-malware: Técnicas para vivir de la tierra: La mayoría de las infracciones en 2026 ya no utilizarán malware tradicional. En cambio, los atacantes aumentarán exponencialmente el abuso de las relaciones de confianza y el uso de herramientas legítimas del sistema operativo como PowerShell, WMI, Python o Soluciones de Acceso Remoto (RMM) en combinación con cadenas de comandos generadas por IA para llevar a cabo silenciosamente actividades maliciosas. También recurrirán al cifrado abusivo y al polimorfismo impulsado por la IA (modificación constante del código para evitar la detección) y utilizarán marcos de comando y control basados ​​en IA (AI-C2) que se adaptan dinámicamente al entorno. Además, los modelos de lenguaje de IA (LLM) entrenados con datos corporativos permiten a los robots atacantes adaptar su comportamiento en función de la víctima.

3. La nueva “Capa de Verdad”: Correlación entre red, identidad y metadatos: Con la desaparición del malware clásico y el surgimiento de técnicas “vivientes de la tierra”, las soluciones tradicionales de seguridad de endpoints (EDR, Endpoint Detección y Respuesta) ya no serán suficientes. La ilusión de dispositivos “limpios” e identidades “seguras” es cada vez menos. En este contexto, será más importante que nunca dar por sentado que ya existe una participación activa. La única manera de identificar el comportamiento malicioso será mediante la correlación del comportamiento de la red, los patrones de identidad y los metadatos, que juntos forman la nueva “capa de verdad” capaz de analizar el contexto e inferir intenciones maliciosas, aunque la actividad de la red parezca legítima a primera vista cuando se analiza por separado.

4. Los agentes de IA se hacen cargo de las operaciones de seguridad de rutina con humanos “On the Loop”: el SOC (Centro de Operaciones de Seguridad) tal como lo conocemos desaparecerá gradualmente. Los agentes de IA serán responsables de clasificar alertas, correlacionar señales y ejecutar respuestas de forma más rápida y precisa que los analistas humanos. Las organizaciones avanzarán hacia operaciones autónomas, distribuidas y basadas en resultados donde la supervisión humana se centra en validar, monitorear y ajustar las acciones de los agentes de IA en lugar de realizar cada tarea manualmente.

“En este nuevo modelo, el rol humano pasará de funciones operativas (In the Loop) a funciones de seguimiento y definición de estrategias (On the Loop), donde los humanos monitorean, validan y ajustan el desempeño de los agentes de IA en lugar de realizar cada tarea manualmente”, explica Ricardo Villadiego.

5. El ecosistema MCP: la próxima frontera de los compromisos de la cadena de suministro: El ecosistema Modelo-Contexto-Protocolo (MCP), que integra clientes, conectores, analizadores y capas de orquestación, se está convirtiendo en un objetivo principal para ataques sofisticados a la cadena de suministro. En lugar de atacar a una sola organización, los atacantes buscarán explotar las vulnerabilidades dentro de este ecosistema compartido, poniendo en riesgo a varias empresas al mismo tiempo. Un ejemplo es el “Compromiso de la cadena de suministro del conector”, donde un solo componente puede infectar todos los modelos y aplicaciones que dependen de él, multiplicando exponencialmente el impacto del ataque.

6. La guerra del mercado de ransomware y el surgimiento de G-RaaS: El ecosistema de ransomware se consolidará en una guerra de mercado en la que pandillas o grupos poderosos compiten por socios y víctimas de alto valor, ofrecen plataformas de interacción con sus socios y víctimas, se centran en mantener la reputación de su “marca” y desarrollan nuevas estrategias de extorsión multivectorial. Esta dinámica también tendrá un componente geopolítico: algunas plataformas podrían alinearse con intereses estatales bajo presión de los reguladores o sanciones. Esto creará ecosistemas de ransomware geopolítico como servicio geopolítico (G-RaaS), donde los ataques persiguen ganancias económicas y objetivos nacionales, desdibujando la línea entre el ciberdelito y la guerra digital asimétrica.

7. “Gusano OAuth”: una nueva amenaza para las empresas SaaS nativas: los atacantes comenzarán a aprovechar la red de autorizaciones confiables entre aplicaciones en la nube para lanzar “gusanos OAuth SaaS a SaaS” que pueden moverse entre Microsoft 365, Google Workspace, Slack y Salesforce. Este tipo de ataque evita todas las defensas tradicionales porque no requiere contraseñas robadas ni notificaciones de autenticación multifactor (MFA). Simplemente haga que un usuario otorgue permisos amplios a una “aplicación auxiliar” maliciosa que luego puede leer contactos, replicar datos y filtrar datos a escala. Con la creciente conciencia de que la superficie de ataque incluye no sólo usuarios y dispositivos, sino también la interacción entre aplicaciones, la gobernanza del consentimiento se está convirtiendo en una categoría de seguridad obligatoria y un elemento no negociable en el presupuesto corporativo.

«Ya no estamos debatiendo si se producirá una intrusión, sino partiendo de la dura verdad de que ya ha ocurrido. Ya no se pueden construir defensas para responder a los ataques, sino que todo el sistema debe diseñarse para proporcionar resiliencia y respuestas eficientes cuando los ataques sean inevitables», concluye Ricardo Villadiego, fundador y CEO de Lumu Technologies.

Xavier Condega
El mundo CR