El último informe de Cisco Talos revela un cambio de estrategia en los atacantes: el phishing vuelve a ser la puerta de entrada principal, mientras aparecen los primeros casos de herramientas de IA diseñadas específicamente para el fraude.
Por: MSB
El panorama de la ciberseguridad en 2026 ha comenzado con un giro nostálgico pero tecnológicamente avanzado. Tras meses donde la explotación de vulnerabilidades en aplicaciones públicas dominaba el escenario, el phishing ha reclamado su trono como el método de acceso inicial más utilizado por los delincuentes, representando más de un tercio de todos los ataques analizados por Cisco Talos Incident Response (Talos IR).
La IA entra en el "kit" del estafadorLo que hasta ahora eran sospechas se ha convertido en realidad documentada. Por primera vez, Talos ha identificado el uso de herramientas de IA específicas en campañas de phishing activas. Los atacantes utilizaron la plataforma de desarrollo basada en IA Softr para crear, sin necesidad de escribir una sola línea de código, páginas de inicio de sesión falsas (credential harvesting) extremadamente convincentes dirigidas a usuarios de Microsoft Exchange y Outlook.
Esta técnica, conocida como "vibe coding" o programación por voz/texto, permite que actores poco sofisticados generen infraestructuras de ataque complejas en minutos, reduciendo drásticamente la barrera de entrada para el cibercrimen.
Administraciones Públicas y Salud: En el punto de miraPor tercer trimestre consecutivo, la Administración Pública se mantiene como el sector más atacado, empatando en esta ocasión con el sector de la Salud (cada uno con un 24% de los incidentes).
¿Por qué estos sectores? Según el informe, la combinación de presupuestos limitados, el uso de equipos heredados (legacy) y la baja tolerancia al tiempo de inactividad los convierte en objetivos ideales tanto para grupos de extorsión financiera como para actores estatales.
El misterio del "Ransomware Silencioso"Una de las sorpresas del informe es la baja tasa de despliegue de ransomware. Solo el 18% de los incidentes fueron clasificados como "pre-ransomware", y en ninguno de los casos analizados por Talos se llegó a completar el cifrado de archivos.
Sin embargo, esto no es motivo para bajar la guardia. Grupos como Rhysida y el recién aparecido Crimson Collective siguen activos. Este último debutó con un ataque sofisticado que aprovechó un token de acceso de GitHub filtrado por error en un sitio web público, demostrando que un pequeño descuido humano puede abrir las puertas de toda una infraestructura en la nube (Azure).
Las grietas en la armadura: El factor MFAEl informe subraya una vulnerabilidad crítica: el Aislamiento de la Autenticación de Doble Factor (MFA). El 35% de los incidentes mostraron debilidades en el MFA, ya sea porque estaba ausente o porque los atacantes lograron evadirlo registrando sus propios dispositivos en cuentas comprometidas.
Recomendaciones clave para 2026Para frenar esta tendencia, los expertos de Cisco Talos urgen a las organizaciones a:
Cerrar la ventana de parcheo: La infraestructura expuesta sigue siendo el segundo mayor punto débil.
Centralizar los registros (Logging): Un 18% de las empresas atacadas no tenían registros suficientes, lo que impidió saber exactamente qué robó el atacante.
Reforzar el MFA: No basta con tenerlo; hay que restringir el auto-registro de nuevos dispositivos y cerrar rutas que permitan saltarse la validación (como conexiones directas de clientes Outlook).
El primer trimestre de 2026 nos deja una lección clara: los atacantes están volviendo a lo básico (phishing) pero potenciándolo con lo último en tecnología (IA). La defensa ya no puede ser reactiva; en un mundo donde un ataque se construye con un "prompt" de IA, la seguridad debe ser tan automatizada y veloz como la amenaza misma.