Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > El informe sobre el panorama de amenazas cibernéticas 2026 de Dataminr advierte que ha llegado la era de las “mega-pérdidas” cibernéticas

El informe sobre el panorama de amenazas cibernéticas 2026 de Dataminr advierte que ha llegado la era de las «mega-pérdidas» cibernéticas

by Patrick Spencer updated febrero 26, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 9 minutes

Las cifras están aquí, y son demoledoras.

El Informe sobre el panorama de amenazas cibernéticas 2026 de Dataminr se publicó esta semana con hallazgos que deberían hacer que cualquier CISO, responsable de cumplimiento o miembro del consejo se ponga alerta. No estamos hablando de un crecimiento incremental en las amenazas cibernéticas. Hablamos de un aumento del 225% en las alertas mensuales promedio de actores de amenazas en comparación con 2024. Esto no es evolución, es una explosión.

Pero lo que realmente importa es esto: la naturaleza de estos ataques ha cambiado de forma fundamental. Los atacantes ya no están forzando la entrada. Ahora inician sesión. Y esa diferencia lo cambia todo respecto a cómo las organizaciones deben pensar en la seguridad de los datos, el cumplimiento y la privacidad.

5 conclusiones clave

  1. La actividad de actores de amenazas se ha disparado: aumento del 225% en alertas mensuales. Dataminr rastreó más de 5.000 actores de amenazas durante 2025, registrando más de 18.000 alertas de ransomware y detectando más de 2 millones de incidentes de suplantación de dominios. El promedio mensual de alertas de actores de amenazas subió un 225% respecto a 2024. No es un crecimiento incremental: es un cambio estructural en el volumen y la velocidad de las amenazas cibernéticas que enfrentan todas las organizaciones que manejan datos sensibles.
  2. La identidad es ahora la principal superficie de ataque. Casi el 30% de las intrusiones ahora involucran credenciales válidas. Los atacantes ya no fuerzan la entrada: inician sesión. Un aumento del 84% en malware infostealer distribuido por phishing está impulsando este cambio, con credenciales robadas, tokens de sesión y datos de navegador empaquetados para la venta en mercados criminales. La mayoría de las actividades de ingeniería social ahora están potenciadas por IA, haciendo que las campañas de phishing sean más convincentes y difíciles de detectar.
  3. Las pérdidas por incidentes individuales están creciendo de manera catastrófica. Aunque el volumen de ransomware se estabilizó en 2025, el impacto financiero de los incidentes individuales creció considerablemente. El análisis de severidad de pérdidas normalizadas de Dataminr muestra agrupaciones en el nivel de 100 millones de dólares, y algunos incidentes superan los 1.000 millones. Las organizaciones ahora enfrentan menos ataques, pero más sistémicos y multivectoriales, que combinan robo de credenciales, exfiltración de datos, interrupción operativa y exposición regulatoria.
  4. La puntuación tradicional de vulnerabilidades ya no refleja el riesgo real para el negocio. Una de cada cuatro brechas modernas implica la explotación de una vulnerabilidad de terceros, a menudo utilizada como arma en el mismo año de su divulgación. Las puntuaciones CVSS suelen pasar por alto contextos críticos: patrones de ataque por industria, probabilidad de explotación e impacto financiero potencial. Las organizaciones que priorizan la remediación solo por la severidad técnica están optimizando para las métricas equivocadas.
  5. Los equipos de seguridad formados solo por personas no pueden seguir el ritmo. Con más de 43 terabytes de señales procesadas diariamente y millones de alertas generadas al año, el ritmo y la escala del panorama actual de amenazas superan lo que las operaciones de seguridad humanas pueden gestionar. Ahora se requieren plataformas de detección diseñadas específicamente para correlacionar señales lo suficientemente temprano como para reducir el tiempo de permanencia y evitar pérdidas catastróficas.

El problema de identidad del que nadie quiere hablar

Casi el 30% de las intrusiones ahora involucran credenciales válidas. Léelo de nuevo. Casi una de cada tres brechas ocurre porque alguien entró por la puerta principal con una llave robada.

Esto representa un cambio sísmico en la metodología de ataque. Durante años, los equipos de seguridad se enfocaron obsesivamente en las defensas perimetrales. Cortafuegos. Sistemas de detección de intrusiones. Segmentación de red. Todo valioso, todo necesario, pero cada vez menos relevante cuando los atacantes simplemente se autentican como usuarios legítimos.

¿El mecanismo que impulsa este cambio? Malware infostealer distribuido por phishing, que aumentó un 84% en el último año. No se trata de herramientas sofisticadas de estados-nación. Es malware común que recolecta credenciales, tokens de sesión y datos de navegador, y luego lo empaqueta todo para venderlo en mercados criminales.

El problema se agrava cuando consideras la escala. Dataminr rastreó más de 5.000 actores de amenazas durante el año, registró más de 18.000 alertas de ransomware y detectó más de 2 millones de incidentes de suplantación de dominios. Eso no es un panorama de amenazas. Es un ecosistema de amenazas que opera a escala industrial.

Confías en que tu organización es segura. Pero ¿puedes comprobarlo?

Lee ahora

Por qué los indicadores de seguridad tradicionales están fallando

Aquí va una verdad incómoda que revela el informe de Dataminr: los sistemas tradicionales de puntuación de vulnerabilidades no reflejan el riesgo real para el negocio.

Las organizaciones han pasado años priorizando la remediación según las calificaciones del Common Vulnerability Scoring System. Una vulnerabilidad crítica se parchea de inmediato. Una media se programa para la próxima ventana de mantenimiento. Este enfoque tenía sentido cuando la severidad técnica se correlacionaba con la explotación en el mundo real.

Esa correlación ya no existe.

Los atacantes convierten vulnerabilidades en armas en cuestión de meses tras su divulgación. Una de cada cuatro brechas modernas implica la explotación de una vulnerabilidad de terceros, a menudo antes de que las evaluaciones tradicionales de riesgos puedan reaccionar. Mientras tanto, las puntuaciones CVSS suelen omitir el contexto: patrones de ataque por industria, probabilidad de explotación y, lo más importante, el impacto financiero potencial.

¿El resultado? Las organizaciones parchean diligentemente, marcan casillas de cumplimiento y aun así sufren brechas porque están optimizando para las métricas equivocadas.

La realidad de las «mega-pérdidas»

Quizá el hallazgo más relevante del informe de Dataminr tiene que ver con la severidad de las pérdidas. El volumen de ransomware se estabilizó en 2025, lo que suena bien hasta que examinas la distribución de los impactos.

Las pérdidas por incidentes individuales crecieron considerablemente. El análisis de severidad de pérdidas normalizadas del informe revela agrupaciones en el nivel de 100 millones de dólares, y algunos incidentes superan los 1.000 millones.

Esto representa un cambio estructural en el riesgo cibernético. Las organizaciones ahora enfrentan menos ataques, pero más sistémicos, que combinan robo de credenciales, exfiltración de datos, interrupción operativa y exposición regulatoria en un solo incidente. El antiguo modelo de brechas frecuentes pero contenidas ha dado paso a eventos raros pero catastróficos.

Para responsables de cumplimiento y gestores de riesgos, este cambio exige repensar de raíz cómo se modela, divulga y asegura el riesgo cibernético.

La brecha de seguridad de datos en entornos operativos

Los hallazgos de Dataminr coinciden con tendencias más amplias documentadas en el Informe de ciberseguridad OT 2026 de Dragos, que examinó amenazas a la tecnología operativa y sistemas de control industrial. Juntos, estos informes muestran una convergencia de riesgos IT y OT que genera nuevos retos de seguridad de datos.

Los grupos de amenazas ya no se conforman solo con el acceso. Ahora mapean sistemáticamente los lazos de control, exfiltran archivos de proyectos de ingeniería, datos de alarmas, bases de datos HMI/SCADA y copias de seguridad de configuraciones. Estos datos operativos se convierten en inteligencia para futuros ataques, permitiendo la interrupción precisa de procesos físicos.

Las implicaciones para la seguridad de los datos van más allá de los límites tradicionales de IT. Archivos de diseño de ingeniería compartidos entre plantas y proveedores. Procedimientos de control de calidad intercambiados entre sedes globales. Programaciones de producción, registros de mantenimiento y especificaciones técnicas de proveedores. Todos estos datos operativos sensibles fluyen entre sistemas, a menudo a través de servidores SFTP heredados, adjuntos de correo electrónico y carpetas compartidas sin protección.

Estos canales son justo los caminos que explotan los actores de amenazas. Cuando menos del 10% de las redes OT tienen visibilidad y monitoreo adecuados, las organizaciones ni siquiera pueden ver qué se está exfiltrando hasta que el daño ya está hecho.

Implicaciones para la privacidad de los datos que la mayoría de las organizaciones pasa por alto

Los informes de Dataminr y Dragos se centran principalmente en la seguridad y el riesgo operativo. Pero los tipos de datos implicados conllevan importantes implicaciones de privacidad bajo los marcos regulatorios actuales.

Piénsalo: ¿qué se roba en estos ataques? Información de operadores que incluye comportamientos de personas identificadas, patrones de turnos, historiales de errores e incidentes de seguridad. Credenciales y registros de actividad que califican como datos personales sensibles. Archivos de configuración y recorridos de intrusión que los hacktivistas publican en Telegram y X, exponiendo identificadores personales a audiencias globales.

Normalmente, las organizaciones no clasifican estos datos operativos como información personal identificable. Pero bajo GDPR, CCPA y las nuevas leyes estatales de privacidad, gran parte sí lo es. La combinación de datos de identidad, patrones de comportamiento e información de ubicación genera una exposición regulatoria que la mayoría de las organizaciones industriales no ha considerado.

Cuando entran en vigor los requisitos de notificación de brechas, las organizaciones descubren que han estado almacenando datos personales sensibles que nunca inventariaron ni protegieron correctamente.

El ajuste de cuentas en cumplimiento

Las conclusiones de ambos informes se relacionan directamente con obligaciones regulatorias que las organizaciones están incumpliendo de forma sistemática.

El abuso de identidad mediante registros infostealer, reutilización de contraseñas y autenticación multifactor débil socava los requisitos de control de acceso en prácticamente todos los marcos de cumplimiento. Los atacantes se autentican legítimamente en VPNs, sesiones RDP y plataformas en la nube, eludiendo por completo las detecciones perimetrales.

Los programas de gestión de vulnerabilidades no mantienen el ritmo de los tiempos de explotación. Cuando los exploits surgen en semanas tras la divulgación, los ciclos de parches mensuales crean ventanas de exposición persistentes.

Quizá lo más preocupante: el 30% de los casos de respuesta a incidentes comienzan con «algo parece raro», y en muchos de ellos nunca se recopilaron telemetrías operativas. Las organizaciones afirman públicamente «sin implicación cibernética» en incidentes donde no tienen la visibilidad suficiente para hacer esa afirmación. Bajo los requisitos de diligencia debida y evaluación de brechas de la mayoría de los marcos regulatorios, eso es indefendible.

La brecha de tiempo de detección lo deja claro. Las organizaciones con visibilidad integral detectan incidentes en promedio en cinco días. ¿El promedio de la industria? Cuarenta y dos días. Esa diferencia de seis semanas significa mayor exposición de datos, alcance ampliado de la brecha y mucha más responsabilidad regulatoria y legal, incluyendo ventanas de notificación incumplidas bajo el requisito de 72 horas del GDPR y mandatos equivalentes en HIPAA y marcos sectoriales.

La vulnerabilidad en la transferencia de archivos

Los afiliados de ransomware han identificado las plataformas de transferencia de archivos como objetivos de alto valor. El informe de Dragos menciona específicamente la explotación de sistemas MFT y FTP como Cleo MFT, CrushFTP y Wing FTP. Estas plataformas se convierten en puntos de pivote para robar archivos sensibles, instalar puertas traseras e interrumpir operaciones en múltiples sedes simultáneamente.

Este objetivo tiene sentido desde la perspectiva del atacante. Los sistemas de transferencia de archivos, por definición, manejan datos sensibles. A menudo conectan segmentos de red que de otro modo estarían separados. Y suelen operar con privilegios elevados y monitoreo mínimo.

Para las organizaciones que aún utilizan infraestructuras de transferencia de archivos heredadas, esto representa una exposición urgente de seguridad de datos. Documentos de ingeniería, registros de cumplimiento, especificaciones de proveedores y datos regulados fluyen por estos canales. Cuando se ven comprometidos, el radio de impacto se extiende por todo el ecosistema de datos. Una plataforma de transferencia de archivos gestionada, diseñada específicamente, con registros de auditoría inmutables, controles DLP y detección de anomalías, reemplaza la exposición heredada de SFTP por un canal gobernado y auditable.

¿Qué funciona realmente?

El informe de Dataminr concluye que el ritmo y la escala del panorama actual de amenazas supera a los equipos de seguridad formados solo por personas. Con alertas de actores de amenazas aumentando un 225% y millones de incidentes que requieren correlación, el argumento a favor de la detección y respuesta automatizadas nunca ha sido tan fuerte.

Pero la tecnología por sí sola no resuelve el problema. La naturaleza basada en identidad de los ataques modernos exige cambios fundamentales en la arquitectura de seguridad.

Autenticación multifactor en todas partes, no como un simple trámite, sino como defensa real en profundidad. Métodos de autenticación resistentes al phishing que no dependan de códigos que los usuarios puedan revelar mediante ingeniería social. Monitoreo continuo para detectar exposición a infostealer, reconociendo que el compromiso de credenciales es una condición constante, no un evento aislado.

En entornos operativos, la prioridad es la visibilidad. No puedes proteger lo que no puedes ver. Las organizaciones necesitan capacidades de auditoría integral en todos los canales de intercambio de datos: correo electrónico, SFTP, uso compartido de archivos, APIs. Los cuarenta y dos días de tiempo de detección que definen el promedio del sector provienen directamente de los puntos ciegos en cómo se mueven los datos entre sistemas. Las plataformas SIEM que procesan señales de todos esos canales — transferencia de archivos, correo electrónico, formularios web, APIs — cierran las brechas que permiten a los adversarios permanecer sin ser detectados.

La arquitectura de confianza cero ha pasado de ser aspiracional a esencial. Tratar todos los intercambios de datos como no confiables — incluyendo transferencias internas entre zonas IT y OT — cierra los caminos de movimiento lateral que explotan los atacantes. Esto es especialmente crítico en los límites IT/OT donde los datos operativos sensibles deben fluir por razones legítimas de negocio.

La administración de riesgos de la cadena de suministro y de terceros requiere el mismo nivel de escrutinio. Cuando una de cada cuatro brechas implica vulnerabilidades de terceros, la gobernanza de acceso de proveedores se convierte en un control de seguridad de primer nivel. Permisos limitados en el tiempo, seguimiento integral y capacidad de revocación inmediata para cuentas comprometidas o partes externas sospechosas son requisitos mínimos.

¿Y ahora qué?

El Informe sobre el panorama de amenazas cibernéticas 2026 de Dataminr confirma lo que los profesionales de seguridad sospechaban: hemos entrado en una nueva era de riesgo cibernético caracterizada por ataques basados en identidad, tiempos de explotación comprimidos y pérdidas catastróficas por incidentes individuales.

Para la seguridad de datos, esto significa replantear las defensas centradas en el perímetro en favor de la protección de identidad y el monitoreo continuo. Para la privacidad, implica reconocer que los datos operativos a menudo contienen información personal que requiere protección regulatoria. Para el cumplimiento, significa cerrar la brecha entre ejercicios de marcar casillas y controles de seguridad reales que aborden cómo ocurren los ataques en la práctica.

El aumento del 225% en alertas de actores de amenazas no es una tendencia para observar. Es una llamada a la acción. Las organizaciones que respondan reforzando los controles de identidad, logrando visibilidad integral y gobernando los intercambios de datos en todos los canales superarán esta era. Las que no, quedarán en el lado equivocado de la distribución de mega-pérdidas.

La decisión, como siempre, está en manos de cada organización.

Para descubrir cómo Kiteworks puede ayudarte, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

El malware infostealer — normalmente distribuido por phishing — recolecta credenciales, tokens de sesión y contraseñas almacenadas en el navegador desde los endpoints infectados, y luego los empaqueta para su venta en mercados criminales. Los compradores usan esas credenciales para autenticarse como usuarios legítimos en VPNs, plataformas en la nube y sistemas empresariales, eludiendo por completo las defensas perimetrales. Casi el 30% de las intrusiones siguen este camino. Para detenerlo, se requiere autenticación multifactor que no dependa de códigos SMS o contraseñas de un solo uso que los usuarios puedan revelar mediante ingeniería social — métodos resistentes al phishing como llaves físicas o passkeys son mucho más efectivos. Añadir registros de auditoría y detección de anomalías basada en SIEM sobre la MFA detecta el uso indebido de credenciales que la autenticación por sí sola no previene.

Las puntuaciones CVSS miden la severidad técnica — la complejidad de explotación y el impacto potencial en el sistema — pero no consideran el comportamiento real de los atacantes. Una de cada cuatro brechas modernas implica una vulnerabilidad de terceros, a menudo utilizada como arma en cuestión de meses tras su divulgación. Las puntuaciones CVSS omiten el contexto de negocio crítico: si la vulnerabilidad apunta a tu sector, la rapidez con la que aparece código de explotación en la red y el impacto financiero potencial si se usa contra tu entorno. Las organizaciones que parchean solo por puntuación CVSS cierran vulnerabilidades que los atacantes no priorizan, mientras dejan abiertas las que sí. Una priorización efectiva requiere combinar las puntuaciones técnicas con inteligencia de amenazas sobre patrones de explotación activa y la exposición de tu cadena de suministro.

Las plataformas de transferencia de archivos gestionada y SFTP son de los objetivos más atractivos en cualquier entorno por tres razones principales. Primero, agrupan datos sensibles de múltiples fuentes — archivos de ingeniería, registros de cumplimiento, especificaciones de proveedores, datos personales regulados — en un solo lugar. Segundo, suelen conectar segmentos de red que normalmente estarían separados, convirtiéndose en puntos de pivote naturales para el movimiento lateral. Tercero, las implementaciones heredadas suelen operar con privilegios elevados y monitoreo mínimo, lo que significa que el compromiso pasa desapercibido. La documentación de ataques a Cleo MFT, CrushFTP y Wing FTP en el informe de Dragos refleja este patrón. Reemplazar SFTP heredado por una plataforma MFT gobernada que proporcione registros de auditoría inmutables, controles DLP y detección de anomalías elimina los puntos ciegos que hacen tan explotables estos sistemas.

Sí, y este es uno de los riesgos de cumplimiento más ignorados en la seguridad industrial y de infraestructuras críticas. La información de operadores recolectada habitualmente en entornos OT — patrones de turnos de personas identificadas, historiales de acceso, registros de errores, logs de comportamiento — constituye datos personales bajo GDPR y CCPA. La mayoría de las organizaciones no lo clasifican como información personal identificable y por tanto no lo han inventariado ni protegido adecuadamente. La exposición se vuelve crítica cuando grupos hacktivistas publican volcados de credenciales y registros de actividad de forma pública — activando obligaciones de notificación de brechas que las organizaciones no esperaban bajo marcos que creían solo aplicables a sus sistemas IT. Las evaluaciones de impacto en privacidad de datos deben cubrir explícitamente los entornos OT para mapear esta exposición antes de que lo haga un regulador.

El promedio de 42 días en la industria para detectar brechas OT y empresariales genera una responsabilidad de cumplimiento acumulada en múltiples dimensiones. El GDPR exige notificar la brecha a las autoridades de supervisión en un plazo de 72 horas desde que se tiene conocimiento — un plazo que las organizaciones incumplen habitualmente cuando no pueden ver lo que ocurre en sus canales de intercambio de datos. HIPAA impone plazos de notificación de 60 días para entidades cubiertas, y los requisitos de evaluación de brechas exigen evidencia documentada de qué datos se accedieron. Marcos sectoriales como NERC CIP y reguladores financieros imponen sus propios plazos de notificación. Más allá de la notificación, el tiempo de permanencia extendido significa que las organizaciones no pueden producir las líneas de tiempo forenses que exigen los reguladores: quién accedió a qué datos, a través de qué sistemas y cuándo. Los registros de auditoría integrales que abarquen transferencia de archivos, correo electrónico, APIs y canales MFT son el requisito fundamental — sin ellos, la evidencia de cumplimiento simplemente no existe.

Recursos adicionales

  • Artículo del Blog Arquitectura Zero Trust: nunca confíes, verifica siempre
  • Video Microsoft GCC High: desventajas que impulsan a los contratistas de defensa hacia ventajas más inteligentes
  • Artículo del Blog Cómo proteger datos clasificados una vez que DSPM los identifica
  • Artículo del Blog Generar confianza en IA generativa con un enfoque Zero Trust
  • Video La guía definitiva para el almacenamiento seguro de datos sensibles para líderes de IT

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks