Informes

Informe del Estado de la Ciberdelincuencia 2026 de KELA: 2.86 mil millones de credenciales robadas y el auge de los ataques autónomos de IA

mm
Published
Updated

La ciberdelincuencia ya no solo está escalando, sino que también está evolucionando a nivel estructural. Según El Estado de la Ciberdelincuencia 2026: Amenazas Emergentes y Predicciones de KELA, los atacantes están cambiando de métodos de intrusión tradicionales a abuso de identidad, automatización impulsada por IA y explotación a gran escala de sistemas basados en la confianza.

El informe presenta una imagen sombría de 2025 como un punto de inflexión. Los ciberdelincuentes ya no están entrando en redes, sino que están iniciando sesión, a menudo utilizando credenciales robadas, agentes de IA y sistemas de terceros confiables para evitar las defensas por completo.

Un año récord para la ciberdelincuencia

La escala de la ciberdelincuencia en 2025 alcanzó niveles sin precedentes. KELA rastreó 2.86 mil millones de credenciales comprometidas en todo el ecosistema global, que abarca malware de infostealer, bases de datos de violaciones y mercados subterráneos.

Estas credenciales se han convertido en el punto de entrada principal para los atacantes. En lugar de explotar vulnerabilidades, los actores de amenazas cada vez más confían en el acceso legítimo, lo que efectivamente hace que los modelos de seguridad basados en el perímetro sean obsoletos.

Al mismo tiempo, el ransomware aumentó dramáticamente. El informe identificó 7.549 víctimas de ransomware en 2025, lo que representa un aumento del 45% con respecto al año anterior, con más del 53% de las víctimas ubicadas en los Estados Unidos.

Este crecimiento se debe a una economía de la ciberdelincuencia en crecimiento. Hubo 147 grupos de ransomware activos, incluidos aproximadamente 80 nuevos entrantes, lo que destaca lo bajo que es el umbral de entrada.

La epidemia de infostealer que impulsa todo

En el núcleo de este aumento se encuentra el surgimiento del malware de infostealer, que ahora se considera la columna vertebral de la ciberdelincuencia moderna.

KELA observó aproximadamente 3,9 millones de máquinas infectadas en todo el mundo en 2025, generando 347,5 millones de credenciales directamente de las infecciones de malware solo.

El ecosistema más amplio amplifica esto de manera dramática, con miles de millones de credenciales que circulan en los mercados de la ciberdelincuencia. Estas se venden luego a grupos de ransomware, brokers de acceso inicial y actores estatales.

Los datos revelan un cambio crítico en la orientación. Más del 75% de las credenciales comprometidas están vinculadas a servicios de alto valor, como plataformas de nube empresarial (19,6%), sistemas CMS (18,7%), servicios de correo electrónico (15,3%) y sistemas de autenticación (12,9%).

Esto destaca una estrategia clara: los atacantes están priorizando las plataformas que permiten el movimiento lateral y el compromiso organizacional completo.

macOS ya no es seguro: un aumento del 7.000%

Uno de los hallazgos más sorprendentes es el colapso de las suposiciones de larga data sobre la seguridad de la plataforma.

Las infecciones de macOS aumentaron de menos de 1.000 casos en 2024 a más de 70.000 en 2025, lo que representa un aumento del 7.000%.

Esta explosión se debe a la comercialización del malware como servicio, particularmente herramientas como Atomic Stealer, que facilitan a incluso atacantes de baja habilidad atacar dispositivos Apple a gran escala.

La implicación es clara: ya no hay plataforma inherentemente segura. Los atacantes siguen el valor, y los ecosistemas de Apple ahora están firmemente en su punto de mira.

La IA se convierte en la nueva superficie de ataque

El cambio más significativo descrito en el informe es la integración profunda de la IA en el ciclo de vida del ataque cibernético.

KELA identifica una transición de ataques asistidos por IA a operaciones completamente autónomas y dirigidas por agentes, donde el 80% al 90% de las tareas se pueden ejecutar con una participación humana mínima.

Un concepto clave que surge de este cambio es el de “vibe hacking“. En lugar de romper los sistemas de IA, los atacantes los manipulan haciéndoles creer que las acciones maliciosas son tareas legítimas. Esto permite a los agentes de IA ejecutar operaciones dañinas sin activar los mecanismos de seguridad.

El informe también destaca casos del mundo real en los que los sistemas de IA se vieron comprometidos a través de inyección de instrucciones y manipulación indirecta. En un caso, los agentes de IA autónomos realizaron reconocimiento, desarrollaron código de explotación y ejecutaron ataques en múltiples objetivos con una supervisión humana limitada.

Esto marca un cambio fundamental. La IA ya no es solo una herramienta para los atacantes, sino que también es un arma y un objetivo.

El ransomware evoluciona hacia la extorsión a gran escala

El ransomware ya no es solo una táctica, sino un modelo de negocio a gran escala.

La mayoría de los ataques ahora dependen de la doble extorsión, que combina el robo de datos con la cifrado. Sin embargo, también están aumentando los ataques de extorsión solo, donde los atacantes saltan la cifrado por completo y se centran en robar y monetizar datos sensibles.

El ecosistema es altamente competitivo. El grupo principal, Qilin, reclamó más de 1.100 víctimas, seguido por Akira con 761 víctimas y Clop con 523 víctimas.

Estos grupos cada vez más confían en credenciales robadas en lugar de exploits técnicos, a menudo comprando acceso a brokers subterráneos para acelerar los ataques.

El impacto económico es asombroso. Un solo incidente en Jaguar Land Rover resultó en daños económicos de $2.500 millones, incluyendo paradas de producción y perturbaciones en la cadena de suministro que afectaron a miles de empresas.

El hacktivismo y la geopolítica intensifican las amenazas cibernéticas

La ciberdelincuencia está cada vez más entrelazada con el conflicto global.

La actividad de los hacktivistas aumentó un 400% con respecto al año anterior, con más de 3.500 ataques de denegación de servicio (DDoS) reclamados y más de 250 nuevos grupos que surgieron en 2025.

Estos grupos ya no se limitan a la defacement de sitios web. Están apuntando a infraestructuras críticas, tecnología operativa y sistemas industriales, creando consecuencias en el mundo real.

Al mismo tiempo, los actores estatales están utilizando las operaciones cibernéticas como una herramienta central de la estrategia geopolítica. Las campañas vinculadas a las tensiones entre Rusia-Ucrania, Israel-Irán, EE. UU.-China y Corea del Norte demuestran cómo la ciberguerra ahora abarca el espionaje, la interrupción y las operaciones financieras.

Ataques a la cadena de suministro y el colapso de la confianza

Otra tendencia definitoria es el aumento de ataques a la cadena de suministro.

En lugar de apuntar a organizaciones individuales, los atacantes comprometen a proveedores, plataformas de software como servicio (SaaS) y infraestructura compartida para obtener acceso a miles de víctimas downstream.

En un caso, un ataque de SaaS a SaaS permitió a los atacantes pivotar hacia entornos de Salesforce en varias empresas utilizando tokens de OAuth robados, evitando por completo los controles de seguridad tradicionales.

Esto refleja un cambio más amplio. El modelo de “confianza por defecto” se está convirtiendo en una responsabilidad, ya que los atacantes explotan las relaciones entre los sistemas en lugar de los sistemas en sí.

Explotación de vulnerabilidades de día cero y el fin de la ventana de parches

El informe también destaca la industrialización de la explotación de vulnerabilidades.

En 2025, 238 vulnerabilidades se agregaron al catálogo de vulnerabilidades explotadas conocidas de CISA, en comparación con 185 el año anterior.

Los atacantes ahora están monetizando los exploits más rápido que nunca, a menudo dentro de días o incluso horas de su divulgación. Los mercados subterráneos cada vez más venden kits de explotación completamente armados en lugar de simples pruebas de concepto, lo que reduce la barrera para la explotación masiva.

Una nueva realidad de la ciberseguridad

Los hallazgos en el informe del Estado de la Ciberdelincuencia 2026: Amenazas Emergentes y Predicciones de KELA dejan claro que la ciberseguridad está entrando en una nueva era.

La identidad ahora es la superficie de ataque principal. La IA es tanto una herramienta como una vulnerabilidad. Las relaciones de confianza entre los sistemas están siendo armadas. Y la velocidad de los ataques está acelerándose más allá de los límites de los modelos de defensa tradicionales.

Las organizaciones que siguen confiando en enfoques de seguridad heredados están cada vez más expuestas. El cambio hacia la seguridad basada en la identidad, las arquitecturas de confianza cero y las defensas conscientes de la IA ya no es opcional.

Para una desglose más profundo de los actores de amenazas, las metodologías de ataque y las recomendaciones estratégicas, el informe completo, El Estado de la Ciberdelincuencia 2026: Amenazas Emergentes y Predicciones de KELA, proporciona una visión integral de cómo está evolucionando el panorama de la ciberdelincuencia y hacia dónde se dirige a continuación.

mm

Antoine es un líder visionario y socio fundador de Unite.AI, impulsado por una pasión inquebrantable por dar forma y promover el futuro de la IA y la robótica. Un empresario serial, cree que la IA será tan disruptiva para la sociedad como la electricidad, y a menudo se le escucha hablando con entusiasmo sobre el potencial de las tecnologías disruptivas y la AGI. Como un futurista, está dedicado a explorar cómo estas innovaciones darán forma a nuestro mundo. Además, es el fundador de Securities.io, una plataforma enfocada en invertir en tecnologías de vanguardia que están redefiniendo el futuro y remodelando sectores enteros.