El panorama de las amenazas a la ciberseguridad nunca ha sido tan complejo ni tan trascendental. Según un estudio de Statista, se prevé que los costes globales de la ciberdelincuencia alcancen los 13,82 billones de dólares en 2028, por lo que las organizaciones se enfrentan a una serie cada vez mayor de peligros que amenazan sus sistemas, datos y operaciones. El informe Global Cybersecurity Outlook 2026 del Foro Económico Mundial revela que el 87 % de las organizaciones identifican ahora las vulnerabilidades relacionadas con la inteligencia artificial como su riesgo cibernético de más rápido crecimiento, un cambio drástico que pone de relieve la rapidez con la que evolucionan las amenazas.
Esta guía proporciona a los analistas de seguridad, responsables de SOC y profesionales de TI una comprensión exhaustiva de las amenazas a la ciberseguridad: qué son, cómo se manifiestan y, lo más importante, cómo detectarlas y defenderse de ellas. Tanto si está adquiriendo conocimientos básicos como si busca información actualizada sobre vectores de ataque emergentes, este recurso ofrece información basada en pruebas y alineada con marcos industriales como NIST CSF y MITRE ATT&CK.
Una amenaza para la ciberseguridad es cualquier ataque malicioso potencial o circunstancia que podría explotar vulnerabilidades en sistemas, redes o procesos para acceder ilegalmente a datos, interrumpir operaciones digitales o dañar activos de información. Las amenazas representan el «quién» o «qué» podría atacar a una organización, desde sofisticados actores estatales hasta malware automatizadas malware . Según la definición de amenaza cibernética del NIST, estos peligros abarcan cualquier circunstancia o evento con el potencial de afectar negativamente las operaciones, los activos o las personas de una organización a través del acceso no autorizado, la destrucción, la divulgación o la modificación de la información.
Para comprender las amenazas a la ciberseguridad es necesario reconocer su relación con la tríada CIA, el modelo de seguridad fundamental que aborda la confidencialidad, la integridad y la disponibilidad. Todas las amenazas a la ciberseguridad se dirigen al menos a uno de estos pilares: el robo de datos confidenciales compromete la confidencialidad, la alteración de registros socava la integridad y los ataques de ransomware que cifran los sistemas amenazan la disponibilidad. El Foro Económico Mundial informa de que el 60 % de todas las violaciones de seguridad implican el factor humano, lo que pone de relieve que las amenazas suelen explotar tanto a las personas como a la tecnología.
Es fundamental distinguir entre una amenaza a la ciberseguridad y un ciberataque. Una amenaza representa un peligro potencial: un adversario con capacidad e intención, o una vulnerabilidad que podría explotarse. Un ataque, por el contrario, es la ejecución real de una actividad maliciosa. Esta distinción es importante para la gestión de riesgos: las organizaciones deben abordar tanto los ataques realizados como las amenazas no realizadas en su postura de seguridad.
Uno de los puntos más comunes de confusión en materia de ciberseguridad es la diferenciación entre amenazas, vulnerabilidades y riesgos. Estos conceptos forman una relación crítica que los profesionales de la seguridad deben comprender para proteger eficazmente a sus organizaciones.
Una amenaza es una causa potencial de un incidente no deseado que podría dañar los sistemas o los datos. Las amenazas incluyen actores maliciosos (hackers, estados nacionales, amenazas internas), desastres naturales o fallos del sistema. Una amenaza existe independientemente de su entorno específico.
La vulnerabilidad es una debilidad en un sistema, aplicación, red o proceso que una amenaza podría explotar. Las vulnerabilidades comunes incluyen software sin parches, cloud mal configurados, contraseñas débiles y lagunas en la formación sobre concienciación en materia de seguridad. Las organizaciones pueden abordar directamente las vulnerabilidades mediante programas de gestión de vulnerabilidades.
El riesgo surge cuando las amenazas tienen el potencial de explotar las vulnerabilidades. El riesgo se calcula como la probabilidad de que una amenaza explote una vulnerabilidad multiplicada por el impacto potencial. Esta fórmula ayuda a las organizaciones a priorizar sus inversiones defensivas.
Consideremos un ejemplo práctico: un phishing (amenaza) se dirige a empleados que no han recibido formación en materia de seguridad (vulnerabilidad). El riesgo es la violación de datos o el robo de credenciales, cuya gravedad depende del acceso que proporcionen las credenciales comprometidas.
Comprender la taxonomía de las amenazas a la ciberseguridad permite a las organizaciones crear defensas integrales. Las amenazas modernas abarcan múltiples categorías, cada una de las cuales requiere estrategias específicas de detección y prevención.
Tabla: Principales categorías de amenazas a la ciberseguridad y estrategias de detección
Malware software malicioso diseñado para dañar, interrumpir u obtener acceso no autorizado a los sistemas— sigue siendo una categoría de amenaza fundamental. Según la investigación DeepStrike citada por la Universidad de San Diego, más de 560 000 nuevos malware detectan diariamente más de 560 000 nuevas amenazas malware , con más de mil millones malware circulando por todo el mundo.
El ransomware se ha convertido en malware con mayor impacto financiero. El análisis de amenazas de Cyble para 2025 reveló que el 78 % de las empresas sufrieron ataques de ransomware durante el último año. Estos ataques cifran los datos de las organizaciones y exigen un pago a cambio de las claves de descifrado, a menudo combinado con el robo de datos para obtener una doble extorsión.
Los virus y los gusanos son códigos maliciosos que se replican por sí mismos. Mientras que los virus requieren la acción del usuario para propagarse, los gusanos se propagan automáticamente a través de las redes. Ambos pueden transportar cargas destructivas o establecer persistencia para futuros ataques.
Los troyanos se disfrazan de software legítimo para eludir los controles de seguridad. Una vez instalados, proporcionan a los atacantes acceso remoto, capacidades de robo de credenciales o puntos de entrada traseros para malware adicional.
El criptojacking aprovecha los sistemas comprometidos para minar criptomonedas sin autorización. Aunque es menos destructivo a corto plazo que el ransomware, el criptojacking degrada el rendimiento del sistema y aumenta los costes operativos.
malware sin archivos opera íntegramente en la memoria, evitando la detección tradicional basada en archivos. Estos ataques aprovechan herramientas legítimas del sistema, como PowerShell, para ejecutar código malicioso, lo que los hace especialmente difíciles de detectar con enfoques basados en firmas.
La ingeniería social manipula la psicología humana en lugar de explotar vulnerabilidades técnicas. Estos ataques siguen siendo devastadoramente eficaces porque eluden los controles técnicos al dirigirse directamente a los usuarios.
Phishing utiliza comunicaciones fraudulentas, normalmente correos electrónicos, que parecen provenir de fuentes legítimas. Los atacantes crean mensajes convincentes para engañar a los destinatarios y que revelen sus credenciales, hagan clic en enlaces maliciosos o descarguen malware. Con 84 000 búsquedas mensuales dephishing según los datos de Ahrefs, la concienciación sobre esta amenaza es alta, pero sigue siendo el vector de acceso inicial más común.
phishing spear phishing se dirige a personas concretas utilizando información personalizada recopilada mediante reconocimiento. Los atacantes investigan a sus víctimas en redes sociales, sitios web corporativos y redes profesionales para crear mensajes muy convincentes.
El compromiso del correo electrónico empresarial (BEC) consiste en que los atacantes se hacen pasar por ejecutivos o socios de confianza para autorizar transacciones fraudulentas o transferencias de datos. El informe WEF Global Cybersecurity Outlook 2026 señala que los directores generales consideran ahora el fraude cibernético como su principal preocupación, por delante del ransomware.
El cebo atrae a las víctimas con promesas de algo deseable: software gratuito, notificaciones de premios u oportunidades atractivas. El pretexto crea escenarios inventados para manipular a los objetivos y que revelen información o realicen acciones que de otro modo no harían.
Los ataques basados en la identidad se han convertido en el vector de amenazas predominante en 2026. El análisis de SecurityWeek indica que el 75 % de las violaciones de seguridad implican ahora identidades comprometidas que utilizan credenciales válidas, lo que supone un cambio fundamental en el paradigma de los ataques, que han pasado de la intrusión en la red a la explotación de la identidad.
El robo y el relleno de credenciales aprovechan las combinaciones de nombres de usuario y contraseñas robadas, a menudo procedentes de violaciones de datos anteriores, para facilitar la apropiación de cuentas. Según una investigación de ProvenData, solo en junio de 2025 se expusieron 16 000 millones de credenciales, lo que supone una superficie de ataque enorme para los ataques basados en credenciales.
Las técnicas de elusión de la autenticación multifactorial(MFA) han evolucionado para burlar la autenticación multifactorial. Los atacantes emplean la fatiga de la MFA (enviar repetidamente solicitudes de autenticación hasta que los usuarios las aprueben), el intercambio de SIM (tomar el control de los números de teléfono) y el secuestro de sesiones (robar tokens de sesión autenticados) para burlar estos controles.
Los ataques de repetición de tokens capturan y reutilizan tokens de autenticación, en particular tokens OAuth que conceden acceso a cloud . La violación de Salesloft/Grubhub en 2026 demostró cómo los tokens OAuth robados permitieron a los atacantes acceder a cientos de clientes finales.
Una estadística crítica: el 97 % de los ataques basados en la identidad implican contraseñas, pero solo el 46 % de las organizaciones tienen una visibilidad completa de todas las identidades de su entorno. El tiempo de evasión, es decir, el intervalo entre el acceso inicial y el movimiento lateral, es ahora de menos de 60 minutos de media, lo que deja muy poco tiempo para la detección y la respuesta.
Los ataques a la red y la infraestructura se dirigen contra los sistemas fundamentales de los que dependen las organizaciones para sus operaciones.
Los ataques DDoS (denegación de servicio distribuida) inundan los objetivos con tráfico para saturar los recursos e interrumpir la disponibilidad. Los datos de Cloudflare revelan que se detectaron 8,3 millones de ataques DDoS en un solo periodo de cuatro meses en 2025, lo que demuestra la magnitud de esta amenaza.
Los ataques de tipo «man-in-the-middle» (MitM) sitúan a los atacantes entre las partes que se comunican para interceptar, alterar o inyectar contenido en los flujos de datos. Estos ataques son especialmente peligrosos en redes no seguras o cuando el cifrado no se implementa correctamente.
El túnel DNS abusa del protocolo del Sistema de Nombres de Dominio para filtrar datos o establecer canales de comando y control. Dado que el tráfico DNS suele estar permitido a través de los cortafuegos, esta técnica puede eludir los controles de seguridad de la red.
Los ataques de inyección insertan código malicioso en las aplicaciones a través de los campos de entrada. La inyección SQL sigue siendo muy frecuente y permite a los atacantes extraer el contenido de las bases de datos, modificar registros o escalar privilegios.
Los ataques a la cadena de suministro comprometen las relaciones de confianza con terceros para obtener acceso a las organizaciones objetivo. Según un estudio de Panorays, este vector de ataque se ha duplicado en los últimos años, y se ha descubierto que el 30 % de todas las violaciones de datos están ahora relacionadas con problemas con terceros o con la cadena de suministro.
La violación de Salesloft en 2026 es un ejemplo de los ataques modernos a la cadena de suministro: los atacantes comprometieron la cuenta GitHub del proveedor, robaron tokens OAuth y los utilizaron para acceder a los datos de clientes de TransUnion (4,46 millones de registros), Google, Workday y Grubhub. Este único compromiso afectó a cientos de organizaciones.
Un hallazgo crítico: el 85 % de los CISO carecen de una visibilidad completa de su panorama de amenazas, y solo el 15 % tiene una visibilidad completa de sus cadenas de suministro de software. Esta brecha hace que los ataques a la cadena de suministro sean especialmente peligrosos, ya que las organizaciones no pueden defenderse de amenazas que no pueden ver.
Las amenazas persistentes avanzadas representan el extremo más sofisticado del espectro de amenazas. Las APT se caracterizan por su sigilo, persistencia y objetivos específicos, y suelen ser llevadas a cabo por actores estatales u organizaciones criminales con grandes recursos.
Los atacantes APT invierten importantes recursos en reconocimiento, desarrollo de herramientas personalizadas y mantenimiento de acceso a largo plazo a los entornos objetivo. Sus objetivos suelen incluir el espionaje, el robo de propiedad intelectual o el posicionamiento para futuros ataques disruptivos.
El factor diferenciador clave de las APT es su paciencia operativa. A diferencia de los atacantes oportunistas que buscan ganancias económicas rápidas, los actores de las APT pueden mantener el acceso durante meses o años, extrayendo cuidadosamente datos y evitando ser detectados.
Comprender quién lanza los ciberataques —y cuáles son sus motivaciones— es esencial para crear defensas eficaces. Los actores maliciosos varían enormemente en cuanto a capacidad, recursos y objetivos.
Los actores estatales representan la categoría de amenazas más sofisticada. Estos grupos patrocinados por gobiernos llevan a cabo actividades de espionaje, robo de propiedad intelectual y ataques potencialmente destructivos alineados con objetivos geopolíticos. El Foro Económico Mundial informa que el 64 % de las organizaciones ahora tienen en cuenta los ciberataques motivados por razones geopolíticas en sus estrategias de seguridad, y que el 91 % de las organizaciones más grandes han cambiado sus estrategias debido a la volatilidad geopolítica.
Las organizaciones ciberdelictivas operan como empresas con fines lucrativos. Estos grupos han profesionalizado sus operaciones con funciones especializadas, servicio de atención al cliente para negociaciones de rescate y ofertas de ransomware como servicio que democratizan las capacidades de ataque.
Los hacktivistas están motivados por causas ideológicas más que por ganancias económicas. Grupos como NoName057(16), un colectivo prorruso, llevan a cabo campañas DDoS contra gobiernos e infraestructuras críticas para promover sus agendas políticas.
Los script kiddies carecen de sofisticación técnica, pero utilizan herramientas fácilmente disponibles para llevar a cabo ataques oportunistas. Aunque individualmente son menos peligrosos, su volumen crea un ruido que puede enmascarar amenazas más graves.
La distinción entre amenazas internas y externas tiene importantes implicaciones para las estrategias de detección y el impacto potencial.
Tabla: Comparación entre actores de amenazas internos y externos
Las amenazas internas plantean retos únicos, ya que estos actores tienen acceso legítimo a los sistemas y datos. El coste medio de los incidentes relacionados con amenazas internas —18,33 millones de dólares— supera al de los ataques externos típicos, ya que los empleados pueden causar daños durante largos periodos de tiempo antes de ser detectados.
Las estrategias de detección difieren significativamente: las amenazas externas requieren defensas perimetrales, inteligencia sobre amenazas y detección de intrusiones, mientras que las amenazas internas exigen análisis del comportamiento de los usuarios, supervisión del acceso y controles de prevención de pérdida de datos.
El panorama actual de amenazas refleja cambios fundamentales en los patrones de ataque, impulsados por los avances tecnológicos y la evolución de las tácticas de los atacantes.
La identidad se ha convertido en el principal vector de ataque. Con un 75 % de las infracciones relacionadas con identidades comprometidas, los atacantes se han dado cuenta de que robar credenciales suele ser más fácil que eludir los controles de seguridad técnicos. El modelo de seguridad centrado en el perímetro se ha derrumbado ante cloud de cloud , el trabajo remoto y la proliferación del software como servicio.
La IA está acelerando tanto los ataques como las defensas. El Foro Económico Mundial (WEF) informa que el 94 % de los profesionales de la ciberseguridad esperan que la IA sea el motor más importante del cambio en su campo. Las organizaciones se enfrentan a amenazas impulsadas por la IA y, al mismo tiempo, implementan defensas basadas en la IA, lo que supone una carrera armamentística con riesgos cada vez mayores.
Los ataques a la cadena de suministro se duplican cada año. La naturaleza interconectada de los negocios modernos significa que un solo proveedor comprometido puede afectar a cientos de organizaciones posteriores. Los límites de seguridad tradicionales ya no contienen el riesgo de manera eficaz.
Los factores geopolíticos determinan el riesgo cibernético. Las operaciones cibernéticas de los Estados-nación se han intensificado, y se prevé que acontecimientos importantes, como los Juegos Olímpicos de Invierno de 2026, atraigan una actividad significativa en materia de amenazas. Las organizaciones deben tener en cuenta el contexto geopolítico en sus evaluaciones de amenazas.
La computación cuántica se vislumbra en el horizonte. Aunque todavía no suponen una amenaza activa, los ataques del tipo «recoger ahora, descifrar después» están recopilando datos cifrados hoy para descifrarlos en el futuro, una vez que la computación cuántica haya madurado. Las organizaciones deben empezar a planificar las transiciones criptográficas.
La IA ha transformado el panorama de amenazas de tal manera que exige enfoques defensivos actualizados. Los atacantes aprovechan los grandes modelos lingüísticos y el aprendizaje automático para generar phishing , analizar datos y realizar reconocimientos automatizados.
El informe «WEF Global Cybersecurity Outlook 2026» señala que el 87 % de las organizaciones consideran que las vulnerabilidades relacionadas con la inteligencia artificial son el riesgo que crece más rápidamente. Ha surgido un fenómeno denominado «vibe hacking», que consiste en el uso de herramientas de inteligencia artificial que permiten cometer delitos cibernéticos sin necesidad de poseer los conocimientos técnicos tradicionales.
La tecnología deepfake permite llevar a cabo sofisticadas estafas de ingeniería social. Los atacantes pueden generar imitaciones convincentes de voz y vídeo para llevar a cabo fraudes ejecutivos, lo que aumenta drásticamente la persuasión de los ataques de ingeniería social.
La respuesta defensiva: el 77 % de las organizaciones han adoptado la IA para la ciberseguridad, centrándose en phishing (52 %), la respuesta a intrusiones (46 %) y el análisis del comportamiento de los usuarios (40 %). Las capacidades de seguridad de la IA se han vuelto esenciales para mantenerse al día con las amenazas aceleradas por la IA.
La identidad ha superado malware principal vía de intrusión. Los atacantes reconocen que las credenciales legítimas proporcionan acceso sin activar las alertas de seguridad tradicionales.
Las estadísticas son contundentes: el 75 % de las infracciones implican identidades comprometidas, el 97 % de los ataques basados en la identidad implican contraseñas y solo el 46 % de las organizaciones tienen una visibilidad completa de todas las identidades de su entorno. Esta falta de visibilidad representa un punto ciego crítico en la defensa.
Zero Trust ha surgido como el marco de respuesta, y el 81 % de las organizaciones se encuentran en alguna fase de planificación para su implementación. Zero Trust que no se debe confiar automáticamente en ningún usuario o sistema, lo que requiere una verificación continua independientemente de la ubicación de la red.
Los incidentes reales demuestran cómo las amenazas teóricas se traducen en un impacto organizativo. Estos casos prácticos proporcionan lecciones para la planificación defensiva.
El ataque de ransomware a Change Healthcare se erige como la mayor filtración de datos médicos de la historia de Estados Unidos, afectando a 190 millones de personas según el análisis de Bitsight.
Los atacantes obtuvieron acceso inicial mediante credenciales comprometidas e implementaron un ransomware que interrumpió las operaciones sanitarias en todo el país. El incidente demostró los efectos en cadena que tiene un ataque a infraestructuras sanitarias críticas.
Lecciones aprendidas: Las organizaciones sanitarias deben implementar una autenticación multifactorial phishing, mantener copias de seguridad seguras fuera de línea y realizar evaluaciones proactivas de vulnerabilidad. El incidente también puso de relieve la importancia de las capacidades de detección y respuesta de la red para identificar los movimientos de los atacantes antes del despliegue del ransomware.
La violación de Salesloft/Grubhub ilustra la metodología moderna de los ataques a la cadena de suministro. Los atacantes comprometieron la cuenta de GitHub de Salesloft y robaron los tokens OAuth utilizados para las integraciones de los clientes.
Estas claves permitían acceder a entornos de clientes como TransUnion (4,46 millones de registros), Google, Workday y Grubhub. El grupo de ciberdelincuentes ShinyHunters utilizó posteriormente este acceso para realizar demandas de extorsión.
Lecciones aprendidas: Las organizaciones deben auditar periódicamente los permisos de los tokens OAuth, implementar el acceso con privilegios mínimos para las integraciones de terceros e incluir el riesgo de la cadena de suministro en las evaluaciones de seguridad. La visibilidad de las conexiones de terceros ya no es opcional.
El impacto financiero de las amenazas a la ciberseguridad varía significativamente según la región y el sector.
Tabla: Costes de las violaciones de datos por sector y región (2025)
El informe «IBM Cost of a Data Breach Report 2025» revela que, aunque los costes medios globales de las violaciones de datos disminuyeron por primera vez en cinco años (hasta los 4,44 millones de dólares), los costes en Estados Unidos alcanzaron la cifra récord de 10,22 millones de dólares, según informa SecurityWeek. Esta divergencia regional refleja el entorno normativo y el panorama litigioso de Estados Unidos.
El sector sanitario sigue siendo el más caro en cuanto a infracciones, con una media de 7,42 millones de dólares, lo que lo sitúa por decimoquinto año consecutivo a la cabeza de todas las industrias. La combinación de datos sensibles, sistemas complejos y posibles implicaciones para la seguridad de los pacientes es lo que provoca estos elevados costes.
La detección y prevención eficaz de amenazas requiere capacidades integradas que abarquen las superficies de ataque de la red, los puntos finales y las identidades. El marco SOC Visibility Triad proporciona un enfoque probado para una cobertura integral.
Las organizaciones que integran NDR, EDR y SIEM informan de una respuesta a incidentes un 50 % más rápida en comparación con los enfoques aislados. Esta mejora se debe a la visibilidad correlacionada en todas las superficies de ataque, lo que permite detectar amenazas que eluden cualquier control individual.
El informe IBM 2025 reveló que el tiempo medio para identificar y contener una brecha se ha reducido a 241 días, el mínimo en nueve años y 17 días menos que el año anterior. Esta mejora refleja la madurez de las capacidades de detección y el aumento de la adopción de la automatización.
La detección eficaz de amenazas sigue un enfoque sistemático que genera una visibilidad completa:
Los programas de búsqueda de amenazas complementan la detección automatizada mediante la búsqueda proactiva de amenazas que pueden haber eludido los controles existentes. Una búsqueda eficaz de amenazas requiere analistas cualificados que trabajen con datos completos e hipótesis validadas.
La inteligencia sobre amenazas proporciona contexto para la detección y la respuesta. Comprender las tácticas, técnicas y procedimientos (TTP) de los atacantes permite establecer reglas de detección más eficaces e investigar los incidentes con mayor eficacia. La inteligencia debe ponerse en práctica mediante fuentes automatizadas integradas con plataformas de detección.
La prevención requiere un enfoque por capas que aborde las dimensiones humanas, técnicas y de procesos:
Habilite la autenticación multifactorial phishing utilizando los estándares FIDO2 o WebAuthn. La autenticación multifactorial tradicional basada en SMS y aplicaciones sigue siendo vulnerable a las técnicas de elusión que aborda el enfoque criptográfico de FIDO2.
Implemente Zero Trust que requiera una verificación continua. Zero Trust la confianza implícita basada en la ubicación de la red, exigiendo la autenticación y autorización para cada solicitud de acceso.
Realice cursos de formación periódicos sobre concienciación en materia de seguridad que aborden el 60 % del factor humano en las infracciones. La formación debe incluir phishing simulados phishing y orientación práctica para identificar los intentos de ingeniería social.
Mantenga una gestión continua de las vulnerabilidades mediante análisis periódicos, correcciones priorizadas y controles compensatorios para las vulnerabilidades que no se pueden parchear de inmediato.
Evalúe la postura de seguridad de los proveedores externos antes de contratar sus servicios y, posteriormente, de forma continua. El riesgo de la cadena de suministro requiere visibilidad de las prácticas de seguridad de los socios y los requisitos de seguridad contractuales.
Desarrollar y probar planes de respuesta ante incidentes antes de que se produzcan. Los ejercicios de simulación y las simulaciones identifican las deficiencias en los procesos y garantizan que los equipos conozcan sus funciones durante los incidentes reales.
Los marcos de ciberseguridad proporcionan enfoques estructurados para organizar la defensa contra amenazas y demostrar la madurez en materia de seguridad a los reguladores y las partes interesadas.
El Marco de Ciberseguridad del NIST proporciona un enfoque basado en el riesgo organizado en torno a seis funciones básicas en CSF 2.0:
Los controles clave para la gestión de amenazas de ciberseguridad incluyen la evaluación de riesgos (ID.RA) para comprender la exposición a las amenazas, el control de acceso (PR.AC) para limitar el acceso no autorizado y las anomalías y eventos (DE.AE) para identificar posibles incidentes de seguridad.
MITRE ATT&CK cataloga las tácticas y técnicas de los adversarios basándose en observaciones del mundo real. La versión 17 incluye comportamientos relacionados con la IA genérica que reflejan el panorama cambiante de las amenazas.
Tabla: MITRE ATT&CK para amenazas comunes de ciberseguridad
ATT&CK proporciona un lenguaje común para describir las amenazas y permite asignar controles defensivos a técnicas específicas de los atacantes. Las organizaciones pueden utilizar ATT&CK para identificar lagunas en la cobertura y priorizar las inversiones en detección.
La defensa moderna contra amenazas aprovecha la detección de comportamientos impulsada por la inteligencia artificial en la red, la identidad y cloud . Este enfoque refleja la realidad de que los atacantes utilizan cada vez más herramientas y credenciales legítimas, lo que hace que la detección basada en firmas sea insuficiente.
El informe «IBM Cost of a Data Breach Report 2025» reveló que la inteligencia artificial y la automatización ahorran a las organizaciones una media de 1,9 millones de dólares por cada violación de datos. Este ahorro se debe a una detección más rápida, una respuesta automatizada y una reducción de la carga de trabajo de las investigaciones manuales.
Las organizaciones están dando prioridad a la inversión en IA en múltiples casos de uso: phishing (52 %), respuesta a intrusiones (46 %) y análisis del comportamiento de los usuarios (40 %). Estas aplicaciones abordan los retos de velocidad y escala que los enfoques manuales no pueden igualar.
Zero Trust ha alcanzado el 81 % en la fase de planificación en todas las organizaciones encuestadas por el FEM. Este cambio arquitectónico reconoce que la seguridad basada en el perímetro no puede proteger a las plantillas distribuidas, cloud y remotas.
Vectra AI Attack Signal Intelligence para detectar amenazas en la red, la identidad y las superficies cloud . El enfoque se centra en la detección basada en el comportamiento, que identifica las acciones de los atacantes independientemente de las herramientas o técnicas específicas empleadas.
Esta metodología reduce la dependencia de la detección basada en firmas, que falla ante ataques novedosos y el uso indebido de credenciales legítimas. Al analizar los patrones de comportamiento y correlacionar las señales en todas las superficies de ataque, Attack Signal Intelligence las amenazas importantes y reduce el ruido de las alertas.
El resultado permite a los equipos de seguridad responder antes de que los ataques avancen hacia la filtración de datos o el impacto en el sistema, abordando los tiempos de escape inferiores a 60 minutos que caracterizan a los ataques modernos basados en la identidad.
El panorama de las amenazas a la ciberseguridad sigue evolucionando rápidamente, con varios acontecimientos clave que marcarán los próximos 12-24 meses.
Aceleración de la carrera armamentística en materia de IA. Tanto los atacantes como los defensores están desplegando capacidades de IA cada vez más sofisticadas. Las organizaciones deben prepararse para enfrentarse a deepfakes más convincentes, campañas de ataques automatizados y malware generadas por IA. Las inversiones en IA defensiva deben centrarse en la detección de comportamientos que identifiquen patrones anómalos, independientemente de las técnicas de ataque específicas.
Preparación para la computación cuántica. Aunque aún faltan años para que los ordenadores cuánticos sean capaces de descifrar los sistemas de encriptación actuales, los ataques del tipo «recoger ahora, descifrar después» ya están recopilando datos encriptados para su futuro descifrado. Las organizaciones que manejan datos confidenciales de larga duración deberían empezar a evaluar opciones de criptografía resistentes a la computación cuántica y a desarrollar planes de transición.
Intensificación normativa. La Ley de IA de la UE entrará plenamente en vigor en agosto de 2026, imponiendo nuevos requisitos de transparencia para los contenidos generados por IA. La implementación de la NIS2 está impulsando requisitos de ciberseguridad más estrictos en todos los sectores de infraestructuras críticas. Las organizaciones deben esperar una expansión normativa continua a nivel mundial.
Evolución de la estructura de identidad. El colapso del pensamiento perimetral está impulsando la inversión en arquitecturas de estructura de identidad que proporcionan verificación continua, políticas de acceso dinámicas y visibilidad integral de la identidad. Las organizaciones deben dar prioridad a la modernización de la infraestructura de identidad y a la adopción de FIDO2/WebAuthn.
Requisitos de visibilidad de la cadena de suministro. Las listas de materiales de software (SBOM) y las capacidades de gestión de riesgos de terceros se convertirán en expectativas estándar. Las organizaciones deben crear visibilidad en sus cadenas de suministro e implementar una supervisión continua de las posturas de seguridad de los proveedores.
Recomendaciones de preparación. Las organizaciones deben realizar evaluaciones de seguridad de la IA, evaluar la preparación de la criptografía resistente al quantum, auditar los tokens OAuth y las integraciones de terceros, implementar capacidades de detección de comportamiento y garantizar que los planes de respuesta a incidentes aborden los ataques basados en la identidad.
Las amenazas a la ciberseguridad han evolucionado drásticamente, y los ataques basados en la identidad, las campañas impulsadas por la inteligencia artificial y los compromisos de la cadena de suministro definen el panorama actual. Las organizaciones se enfrentan a adversarios que van desde delincuentes oportunistas hasta sofisticados Estados-nación, todos ellos operando en un entorno en el que los tiempos de escape se han reducido a menos de 60 minutos.
Una defensa eficaz requiere ir más allá del enfoque centrado en el perímetro y adoptar la detección basada en el comportamiento, Zero Trust y la visibilidad integrada en toda la red, la identidad y las superficies cloud . Las organizaciones que logran una respuesta a incidentes un 50 % más rápida son aquellas que integran sus capacidades de detección mediante el enfoque SOC Visibility Triad.
Las pruebas son claras: la adopción de la IA y la automatización genera un ahorro medio de 1,9 millones de dólares en costes por infracciones, mientras que las organizaciones con un compromiso de ciberseguridad a nivel directivo demuestran una resiliencia significativamente mayor. El camino a seguir exige una adaptación continua a medida que evolucionan las amenazas.
Para los equipos de seguridad que buscan reforzar su postura defensiva, comprender el panorama de amenazas es el primer paso esencial. Las estrategias de detección y prevención descritas aquí proporcionan una base para crear defensas integrales que aborden los patrones de ataque modernos.
Descubra cómo Vectra AI Attack Signal Intelligence para detectar amenazas en todas sus superficies de ataque, lo que permite a su equipo responder antes de que los atacantes logren sus objetivos.
Una amenaza a la ciberseguridad es cualquier ataque malicioso potencial o circunstancia que podría aprovechar vulnerabilidades para acceder ilegalmente a datos, interrumpir operaciones digitales o dañar sistemas de información. Las amenazas pueden provenir de diversas fuentes, incluyendo estados nacionales, organizaciones ciberdelictivas, hacktivistas o personas internas. Su objetivo es la confidencialidad, integridad o disponibilidad de los activos de la organización. Comprender las amenazas como peligros potenciales, distintos de los ataques reales, es esencial para la gestión de riesgos, ya que las organizaciones deben defenderse tanto de los riesgos reales como de los potenciales. El glosario del NIST proporciona la definición oficial utilizada en el ámbito gubernamental e industrial.
Los principales tipos de amenazas a la ciberseguridad incluyen malware ransomware, virus, troyanos, criptojacking, malware sin archivos), ataques de ingeniería social (phishing, spear phishing, compromiso del correo electrónico empresarial, pretexting), ataques basados en la identidad (robo de credenciales, elusión de MFA, repetición de tokens), ataques a la red (DDoS, man-in-the-middle, túneles DNS, inyección), compromisos de la cadena de suministro (ataques de software de terceros, robo de tokens OAuth) y amenazas persistentes avanzadas (APT). Cada categoría requiere estrategias específicas de detección y prevención. Los ataques modernos suelen combinar varios tipos de amenazas, por ejemplo, phishing robar credenciales para posteriores ataques basados en la identidad y movimientos laterales.
Una amenaza es un peligro potencial que podría causar daños: un adversario con capacidad e intención, o una circunstancia que podría dañar los sistemas. Una vulnerabilidad es una debilidad en los sistemas, aplicaciones o procesos que las amenazas podrían explotar, como software sin parches o configuraciones débiles. El riesgo surge cuando las amenazas tienen el potencial de explotar las vulnerabilidades, calculado como la probabilidad multiplicada por el impacto. Las organizaciones pueden abordar directamente las vulnerabilidades mediante la aplicación de parches y la gestión de la configuración, mientras que las amenazas existen de forma independiente en el entorno. Una seguridad eficaz requiere comprender esta relación para priorizar las inversiones defensivas en función del riesgo.
Los ataques basados en la identidad se han convertido en la principal amenaza en 2026, con un 75 % de las violaciones relacionadas con credenciales comprometidas, según el análisis de SecurityWeek. Los ataques impulsados por la inteligencia artificial representan la categoría de riesgo de más rápido crecimiento, citada por el 87 % de las organizaciones en el informe WEF Global Cybersecurity Outlook 2026. Los ataques a la cadena de suministro se han duplicado con respecto al año anterior, con un 30 % de las violaciones relacionadas con compromisos de terceros. La convergencia de estas tendencias —la explotación de la identidad acelerada por la IA y propagada a través de las cadenas de suministro— crea un panorama de amenazas que requiere enfoques defensivos fundamentalmente diferentes a los de la seguridad perimetral tradicional.
Las organizaciones deben implementar defensas por capas que aborden múltiples vectores de ataque. Habilite la autenticación multifactorial phishing utilizando los estándares FIDO2/WebAuthn. Implemente Zero Trust que requiera una verificación continua. Integre la tríada de visibilidad SOC (NDR, EDR y SIEM) para una detección completa. Realice formaciones periódicas de concienciación sobre seguridad que aborden el factor humano. Mantenga una gestión continua de las vulnerabilidades con correcciones priorizadas. Evalúe la postura de seguridad de los proveedores externos y audite los permisos de OAuth. Desarrolle y pruebe planes de respuesta a incidentes antes de que estos se produzcan. El recurso CISA Cyber Threats and Advisories (Amenazas cibernéticas y avisos de la CISA) ofrece orientación continua para la defensa de las organizaciones.
La inteligencia sobre amenazas es información organizada y analizada sobre amenazas potenciales o actuales que ayuda a las organizaciones a comprender los riesgos y tomar decisiones informadas en materia de seguridad. Incluye indicadores de compromiso (IOC), como direcciones IP, nombres de dominio y hash de archivos asociados con actividades maliciosas. La inteligencia sobre amenazas también abarca tácticas, técnicas y procedimientos (TTP) que describen cómo los actores maliciosos llevan a cabo sus operaciones. La inteligencia se clasifica normalmente en estratégica (tendencias a largo plazo para la toma de decisiones ejecutivas), operativa (información específica de campañas para equipos de seguridad) o táctica (indicadores técnicos para la detección automatizada). La inteligencia sobre amenazas eficaz se integra en plataformas de detección y procesos de respuesta a incidentes, en lugar de consumirse de forma pasiva.
La sanidad sigue siendo el sector más caro en cuanto a violaciones de datos, con una media de 7,42 millones de dólares, según el informe «IBM Cost of a Data Breach Report 2025», lo que supone el decimoquinto año consecutivo liderando todas las industrias. Los servicios financieros se enfrentan a unos costes medios por violación de datos de 9,28 millones de dólares, impulsados por las multas reglamentarias y el impacto en la confianza de los clientes. Las infraestructuras críticas, como las telecomunicaciones, la energía y el transporte, se enfrentan a ataques de espionaje y posibles interrupciones por parte de Estados nacionales. El sector tecnológico atrae ataques a la cadena de suministro debido al acceso de los clientes downstream. Las agencias gubernamentales siguen siendo los principales objetivos del espionaje de los Estados nacionales. Los ataques suelen ir dirigidos al valor de los datos: los datos sanitarios alcanzan precios elevados en los mercados criminales.
Las amenazas internas provienen de personas con acceso legítimo a los sistemas de la organización: empleados, contratistas o socios. Pueden ser maliciosas (causar daño intencionadamente para obtener beneficios económicos, venganza o ideología) o negligentes (permitir involuntariamente infracciones debido a prácticas de seguridad deficientes). Los incidentes de amenazas internas tienen un coste medio de 18,33 millones de dólares, lo que supera con creces los ataques externos típicos, ya que los internos pueden causar daños durante largos periodos de tiempo antes de ser detectados. Las amenazas externas deben penetrar primero en las defensas, mientras que los internos ya tienen acceso autorizado. Las estrategias de detección difieren en consecuencia: las amenazas externas requieren defensas perimetrales y detección de intrusiones, mientras que las amenazas internas exigen análisis del comportamiento de los usuarios, supervisión del acceso y prevención de la pérdida de datos. Las credenciales comprometidas crean una categoría híbrida en la que los atacantes externos operan con niveles de acceso internos.
El ransomware es malware cifra los datos de las organizaciones y exige un pago a cambio de las claves de descifrado. Las operaciones de ransomware modernas han evolucionado hasta convertirse en esquemas de doble extorsión que también roban datos y amenazan con hacerlos públicos. Según una investigación de Cyble, el 78 % de las empresas sufrieron ataques de ransomware en el último año. Su prevalencia se debe a su rentabilidad: el ransomware como servicio ha democratizado los ataques, mientras que las criptomonedas permiten realizar pagos anónimos. El ataque a Change Healthcare tuvo un impacto devastador: 190 millones de personas afectadas y la interrupción de las operaciones sanitarias en todo el país. Las organizaciones se defienden del ransomware mediante copias de seguridad seguras fuera de línea, segmentación de la red, detección de comportamientos y planificación de la respuesta a incidentes.
La evaluación de amenazas sigue una metodología estructurada. En primer lugar, identifique y haga un inventario de los activos, incluidos los datos, los sistemas y los procesos. En segundo lugar, catalogue las amenazas potenciales relevantes para su sector y entorno utilizando inteligencia sobre amenazas y marcos como MITRE ATT&CK. En tercer lugar, evalúe las vulnerabilidades mediante análisis, pruebas de penetración y revisión de la configuración. En cuarto lugar, calcule el riesgo multiplicando la probabilidad de explotación de la amenaza por el impacto potencial. En quinto lugar, priorice las medidas de mitigación en función de las puntuaciones de riesgo y los recursos disponibles. Marcos como NIST CSF proporcionan enfoques estructurados para esta evaluación. El proceso debe ser continuo, en lugar de puntual, con reevaluaciones periódicas a medida que evolucionan las amenazas y cambian los activos de la organización.