Sophos, líder mundial en soluciones de seguridad innovadoras para combatir los ciberataques, ha analizado el ecosistema de ciber-amenazas durante el pasado año, ofreciendo también su visión de los principales riesgos cibernéticos que afectarán a las organizaciones en 2026.

Según el análisis de Sophos, el ecosistema de amenazas en 2025 ha mostrado una expansión simultánea de los riesgos, impulsados tanto por actores criminales como estatales, que están adaptando rápidamente sus tácticas para explotar identidades digitales, cadenas de suministro y tecnologías de inteligencia artificial.

En este contexto, el ransomware continúa siendo uno de los principales motores del cibercrimen. Grupos occidentales como Scattered Spider están intensificando campañas que suelen comenzar con credenciales robadas y abusos de identidad. Al mismo tiempo, los ataques a la cadena de suministro digital crecen desde una base todavía limitada, pero con un claro objetivo de escala.

La ingeniería social se mantiene como uno de los vectores de entrada más eficaces. Técnicas como llamadas falsas a servicios de soporte, fatiga de MFA, códigos QR maliciosos o engaños tipo “click-fix” siguen ofreciendo buenos resultados a los atacantes. Paralelamente, China mantiene campañas persistentes que abarcan desde dispositivos perimetrales hasta entornos cloud altamente centralizados, mientras que Corea del Norte continúa infiltrándose en organizaciones mediante falsos trabajadores de TI que se hacen pasar por desarrolladores freelance para robar código, credenciales y divisas.

La inteligencia artificial acelera el ritmo del cibercrimen

Aunque el uso de inteligencia artificial por parte de los atacantes todavía no ha provocado grandes brechas tecnológicas, su adopción ya está generando mejoras incrementales en phishing, automatización, malware y deepfakes. Estas capacidades están sentando las bases de ataques más creíbles y escalables.

De cara a 2026, Sophos anticipa un incidente cibernético de gran impacto cuya causa raíz será una deficiente higiene digital y que, pese a sus consecuencias, sería completamente evitable. Además, se espera que el fraude mediante deepfakes de voz alcance una escala empresarial, permitiendo eludir controles de identidad en procesos críticos como aprobaciones financieras, restablecimiento de contraseñas o incorporación de proveedores.

La evolución del fraude del CEO marcará un nuevo punto de inflexión. La combinación de IA generativa y modelos agénticos permitirá crear campañas altamente personalizadas con vídeos y mensajes falsos de directivos capaces de interactuar a través de aplicaciones de mensajería, incrementando significativamente la credibilidad del engaño.

El riesgo interno y la nueva superficie de ataque de la IA

El riesgo interno también se verá amplificado. No sólo por empleados maliciosos, sino por errores cometidos por trabajadores que utilizan herramientas de IA para mejorar su productividad sin una gobernanza adecuada, exponiendo información sensible a través de integraciones no controladas, fugas de prompts o conectores mal configurados.

A esto se suma la rápida proliferación de aplicaciones de IA accesibles desde internet, muchas de ellas sin autenticación sólida y conectadas a datos que las organizaciones consideran críticos. Sophos advierte que los ataques por inyección de prompts podrían provocar brechas significativas en el corto plazo si no se evalúa adecuadamente esta nueva superficie de ataque.

Ransomware, criptoactivos y actores estatales

El ransomware seguirá siendo la principal forma de cibercrimen de alto impacto, con un mercado cada vez más fragmentado y una mayor participación de grupos de habla inglesa y china. En paralelo, el robo de criptomonedas podría alcanzar cifras sin precedentes, superando los 1.500 millones de dólares sustraídos en el caso de ByBit, con Corea del Norte como posible actor principal.

Los trabajadores IT norcoreanos ampliarán el uso de IA para reforzar la credibilidad y persistencia de sus identidades falsas, mejorando su capacidad para responder a solicitudes remotas y ejecutar tareas de forma más eficaz dentro de las organizaciones comprometidas.

dMDR, MSP y ciberseguros: un ecosistema en transformación

El mercado de la detección y respuesta gestionadas (MDR) alcanzará un punto de inflexión en 2026. La línea entre servicios gestionados y herramientas impulsadas por IA será cada vez más difusa, obligando a los proveedores a demostrar de forma transparente dónde interviene el juicio humano y quién asume la responsabilidad durante un incidente.

Al mismo tiempo, los MSPa evolucionarán hacia modelos “AI-first”, actuando como CISOs virtuales para organizaciones con menor madurez en seguridad. El canal se dividirá entre proveedores centrados en eficiencia operativa y aquellos que se diferencien por resultados de negocio medibles, como reducción de riesgo o tiempos de remediación.

En el ámbito del seguro cibernético, las aseguradoras avanzan hacia modelos basados en telemetría continua. La suscripción dejará de depender de cuestionarios anuales y se apoyará en datos técnicos en tiempo real, premiando a las organizaciones que puedan demostrar de forma objetiva la eficacia de sus controles de seguridad.

“Estamos entrando en una etapa en la que el riesgo ya no se define únicamente por el volumen de ataques, sino por la velocidad, la credibilidad y el abuso de la identidad y la inteligencia artificial”, afirma Rafe Pilling, Director of Threat Intelligence en Sophos X-Ops. “Muchas de las disrupciones más graves que veremos en 2026 no serán el resultado de técnicas sofisticadas, sino de fallos básicos de higiene de seguridad. La diferencia estará en quién logra visibilidad continua, control de la identidad y una gobernanza real del uso de la IA”.

Una presión regulatoria que alcanza al mid-market

La presión regulatoria se extenderá de forma decidida al mid-market, obligando a empresas de todos los tamaños a demostrar gobernanza, supervisión continua y control efectivo del uso de la inteligencia artificial. La seguridad dejará de ser un ejercicio anual de cumplimiento para convertirse en una responsabilidad operativa permanente, impulsando la dependencia de partners externos y servicios gestionados.

Según Sophos, el futuro de la ciberseguridad no dependerá únicamente de nuevas herramientas, sino de la calidad de los datos, la integración de la inteligencia en la toma de decisiones y la capacidad de ofrecer criterio estratégico a escala. En un entorno donde la identidad, la IA y la automatización redefinen el riesgo, las organizaciones que consigan equilibrar innovación, visibilidad y control estarán mejor preparadas para afrontar los desafíos de los próximos años.