La inteligencia artificial (IA) y los navegadores se han consolidado como los principales vectores de riesgo en ciberseguridad. Así lo revela el informe de Threat Detection 2026 de Red Canary, compañía de Zscaler, Inc., empresa líder en seguridad en la nube, que advierte de un cambio estructural en la superficie de ataque de las empresas.

El informe analiza más de 110.000 amenazas detectadas en 4,5 millones de identidades, endpoints y activos cloud, y pone de manifiesto cómo los ciberdelincuentes están utilizando la IA como multiplicador de sus capacidades, al mismo tiempo que intentan comprometer directamente las infraestructuras que la soportan.

La IA, entre la oportunidad y el riesgo

El informe destaca que las amenazas relacionadas con la IA se materializan de dos formas: el uso de IA por parte de los atacantes para desarrollar campañas más sofisticadas y los intentos de comprometer directamente los sistemas de IA corporativos.

En particular, la adopción de tecnologías como el Model Context Protocol (MCP) está introduciendo nuevos riesgos, al permitir que agentes de IA accedan a datos, APIs y sistemas internos, en muchos casos con privilegios elevados. Esto abre la puerta a técnicas como prompt injection, que permite manipular el comportamiento de estos sistemas.

El impacto puede ser crítico: un agente comprometido puede realizar reconocimiento, exfiltrar credenciales y moverse lateralmente en cuestión de minutos

Automatización del cibercrimen y campañas impulsadas por IA

Asimismo, el informe confirma que los atacantes están utilizando IA para automatizar fases completas del ciclo de ataque, desde el reconocimiento hasta la exfiltración de datos. En 2025 se detectaron campañas en las que agentes de IA ejecutaron hasta el 80-90% de las operaciones de forma autónoma.

Lejos de crear nuevas técnicas, la IA está actuando como un “multiplicador de fuerza”, reduciendo la barrera de entrada para atacantes menos sofisticados y acelerando las operaciones de actores avanzados.

Identidad y navegador: el nuevo perímetro

El estudio también confirma un cambio estructural en el enfoque de los ataques:

· Las amenazas de identidad aumentaron un 850% en 2025

· Representan el 53% del volumen total de detecciones

Los navegadores se consolidan como un punto crítico, ya que concentran procesos de autenticación y almacenan información sensible como tokens y credenciales.

El abuso de herramientas legítimas y la cadena de suministro

Otra tendencia destacada es el uso de herramientas legítimas, como soluciones RMM, para ejecutar ataques sin ser detectados. Este enfoque, combinado con técnicas como paste-and-run, complica significativamente la labor de los equipos de seguridad.

Asimismo, el uso de herramientas de IA open source no verificadas introduce riesgos en la cadena de suministro, similares a los observados en ecosistemas como NPM.

Recomendaciones de Zscaler para mitigar los nuevos riesgos

Ante este escenario, Zscaler recomienda a las organizaciones:

· Adoptar modelos de seguridad basados en Zero Trust

· Aplicar el principio de mínimo privilegio en accesos e identidades

· Centralizar la monitorización del uso de IA y modelos

· Controlar el uso de herramientas de terceros y servidores MCP

· Segmentar entornos para limitar el impacto de posibles ataques

“Las empresas deben asumir que la IA no solo es una herramienta de productividad, sino también una nueva superficie de ataque. La clave está en aplicar principios de Zero Trust y visibilidad completa para reducir el riesgo”, señala Pablo Vera, vicepresidente regional de Iberia en Zscaler.

Un cambio de paradigma en ciberseguridad

El informe concluye que la ciberseguridad está entrando en una nueva fase, donde la identidad, la IA y el navegador sustituyen al perímetro tradicional como eje de defensa.

En este contexto, las empresas deberán evolucionar hacia arquitecturas más dinámicas, capaces de proteger entornos altamente distribuidos y automatizados.

Herramientas legítimas y nuevas técnicas de ataque

Otra tendencia destacada es el uso de herramientas legítimas, como soluciones de monitorización y gestión remota (RMM), como parte de las cadenas de ataque. Asimismo, técnicas como paste-and-run siguen ganando popularidad como método de distribución de malware.