Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > CrowdStrike publica su Informe Global de Amenazas 2026 — una llamada de atención para todos los equipos de seguridad

CrowdStrike publica su Informe Global de Amenazas 2026 — una llamada de atención para todos los equipos de seguridad

by Patrick Spencer updated febrero 26, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 10 minutes

Hay una frase que se repite tanto en los informes de seguridad que ha perdido todo sentido: «los atacantes son cada vez más rápidos». Es de esas cosas a las que asientes durante la charla principal de una conferencia y olvidas en cuanto llegas a la zona de expositores.

El Informe Global de Amenazas 2026 de CrowdStrike acaba de hacer que eso sea imposible de olvidar.

El dato principal: el tiempo promedio de breakout de eCrime —el intervalo entre la primera intrusión de un atacante y su primer movimiento lateral— cayó a 29 minutos en 2025. Bajó desde 48 minutos en 2024. Bajó desde 98 minutos en 2021. El breakout más rápido registrado fue de 27 segundos. En un caso, la exfiltración de datos comenzó a los cuatro minutos del acceso inicial.

Déjalo asimilar un momento. Cuatro minutos desde la intrusión hasta el robo de datos. La mayoría de las organizaciones ni siquiera logran iniciar un hilo en Slack en cuatro minutos, mucho menos contener una intrusión activa.

Este informe describe 2025 como el «año del adversario evasivo». Sus características clave: velocidad, abuso de identidad y ataques directos a sistemas de IA. Y los datos que respaldan estas afirmaciones no son teóricos. Provienen de intrusiones reales, respuestas a incidentes e inteligencia de amenazas en miles de organizaciones a nivel mundial.

5 conclusiones clave

  1. El tiempo de breakout se ha reducido a 29 minutos — y ese es el promedio. El tiempo promedio de breakout de eCrime cayó a 29 minutos en 2025, desde 48 en 2024, con el más rápido en 27 segundos. Si tu proceso de respuesta a incidentes se mide en horas, ya llegas tarde.
  2. El 82% de las intrusiones ya no usan malware. Los atacantes inician sesión con credenciales robadas y herramientas nativas de administración, no con código malicioso. Las defensas basadas en firmas ya no son la primera línea — el monitoreo de identidad y la correlación entre dominios sí lo son.
  3. La IA es ahora tanto arma como objetivo. Los ataques habilitados por IA aumentaron un 89% año tras año. Actores estatales desplegaron malware impulsado por LLM; los grupos de eCrime automatizaron el robo de credenciales. CrowdStrike también respondió a incidentes en más de 90 organizaciones donde los adversarios atacaron directamente herramientas de desarrollo de IA y plataformas de datos.
  4. Los actores vinculados a China están explotando dispositivos perimetrales a escala industrial. La actividad relacionada con China creció un 38%, con un 40% dirigida a dispositivos perimetrales —VPNs, firewalls, routers— fuera del alcance de la mayoría de las soluciones EDR. Las vulnerabilidades se convirtieron en exploits en dos días tras su divulgación. El abuso de zero-day subió un 42%.
  5. El ransomware ha dejado el endpoint — y un robo de criptomonedas de $1,46 mil millones demuestra su alcance. Los grupos de ransomware actúan en capas de nube, identidad y virtualización. Las intrusiones enfocadas en la nube aumentaron un 37%, y un 266% para actores estatales. Un ataque a la cadena de suministro vinculado a la RPDC ejecutó el mayor robo financiero registrado.

El problema de la velocidad ahora es un problema matemático — y los defensores van perdiendo

La reducción del tiempo de breakout no es una tendencia. Es un cambio estructural en la forma en que funcionan las intrusiones.

Cuando el tiempo de breakout se medía en horas, los defensores tenían una ventana realista para detectar, investigar y contener. Cuando cae a 29 minutos —y la punta de lanza se mide en segundos— el concepto de «detectar y responder» cambia por completo. Ya no respondes a una intrusión en curso. Respondes a una intrusión que ya se movió lateralmente, estableció persistencia y posiblemente comenzó a exfiltrar datos antes de que tu analista SOC termine de leer la alerta.

CrowdStrike atribuye esta aceleración a una combinación de factores: los atacantes son mejores usando credenciales legítimas y herramientas confiables, automatizan la actividad post-explotación con scripts generados por IA y atacan sistemáticamente los huecos entre las herramientas de seguridad. El informe señala que el 82% de las detecciones en 2025 no involucraron malware — es decir, la mayoría de las intrusiones no usaron código malicioso tradicional. Los atacantes emplearon credenciales válidas, utilidades administrativas nativas y herramientas comerciales de acceso remoto para camuflarse en la actividad empresarial normal.

Esta es la consecuencia práctica de lo que el WEF Global Cybersecurity Outlook 2026 describe como una complejidad organizacional creciente, donde las interdependencias, tecnologías heredadas y visibilidad fragmentada generan un riesgo sistémico que se agrava con el tiempo. Cuando tu tecnología de seguridad está optimizada para detectar malware, y el 82% de las intrusiones no usan malware, tienes un problema de arquitectura, no de ajuste fino.

La carrera armamentista de la IA ya no es teórica — es operativa

Las operaciones de adversarios habilitados por IA aumentaron un 89% año tras año en 2025. Pero el informe de CrowdStrike hace una distinción importante: la IA acelera tácticas ya conocidas en lugar de crear otras completamente nuevas. Los actores de amenazas integran IA generativa en toda la cadena de ataque —desde la ingeniería social hasta el desarrollo de malware y la evasión de defensas— y el impacto operativo es significativo, aunque las técnicas subyacentes sean familiares.

Vale la pena prestar atención a los detalles. El actor ruso FANCY BEAR desplegó el malware habilitado por LLM conocido como LAMEHUG, que integraba lógica basada en prompts para automatizar el reconocimiento y la recopilación de documentos de sistemas comprometidos. El actor de eCrime PUNK SPIDER usó scripts generados por IA para acelerar el volcado de credenciales y borrar evidencias forenses. FAMOUS CHOLLIMA, vinculado a la RPDC, utilizó herramientas de IA para escalar esquemas fraudulentos de contratación interna — colocando operativos dentro de organizaciones objetivo mediante currículums, respuestas de entrevistas y documentos de identidad generados por IA.

Pero la advertencia más contundente del informe es sobre la IA como objetivo, no solo como herramienta. CrowdStrike respondió a incidentes en más de 90 organizaciones donde los adversarios inyectaron prompts maliciosos en herramientas legítimas de desarrollo de IA, abusando de interfaces de línea de comandos locales de IA para generar comandos que robaban credenciales y criptomonedas. En otros casos, los atacantes explotaron vulnerabilidades en plataformas de IA como Langflow para establecer persistencia y desplegar ransomware. Clones maliciosos de servidores legítimos de Model Context Protocol (MCP) se usaron para interceptar datos sensibles que circulaban por flujos de trabajo de IA.

La implicación es incómoda pero inevitable: las herramientas de IA que tu organización implementa para mejorar productividad y seguridad también están ampliando tu superficie de ataque. Sin gobernanza sobre el acceso a modelos, los prompts, los flujos de datos y los puntos de integración, adoptar IA es adoptar riesgos.

Los actores vinculados a China ejecutan una campaña de dispositivos perimetrales a escala

Más allá de la IA, el informe documenta una fuerte escalada en la actividad vinculada a China, con un aumento del 38% en 2025. El enfoque en logística creció un 85%, y los sectores de telecomunicaciones y servicios financieros también fueron fuertemente impactados. Pero el patrón táctico más relevante es la explotación sistemática de dispositivos perimetrales expuestos a internet.

Dispositivos VPN. Firewalls. Routers. Servidores de correo. Infraestructura que está en el perímetro pero suele quedar fuera del alcance de las herramientas de detección en endpoints. En el 40% de los casos donde actores vinculados a China explotaron una vulnerabilidad, el objetivo fue un dispositivo perimetral. Y la velocidad es alarmante: muchos exploits se armaron en días tras la divulgación pública, y algunos se operacionalizaron en apenas dos a seis días. La explotación de zero-day subió un 42% año tras año.

No se trata de escaneos oportunistas. Es explotación industrializada de vulnerabilidades. El Informe de Ciberseguridad OT/ICS 2026 de Dragos describe un patrón casi idéntico en entornos industriales, donde grupos de amenazas atacan sistemáticamente activos Ivanti, Fortinet, Cisco y F5 expuestos a internet como puntos de entrada a redes de tecnología operativa. El tiempo medio desde la divulgación de la vulnerabilidad hasta el exploit público bajó a 24 días — y en algunos casos, los adversarios tenían exploits funcionales antes de que los proveedores publicaran parches.

Para los líderes de seguridad y protección de datos, esto genera un problema estructural. Los dispositivos perimetrales brindan acceso inmediato al sistema, suelen carecer de monitoreo robusto y los ciclos de parcheo medidos en semanas o meses no se corresponden con los tiempos de armamento de exploits, que se miden en días. Si tus datos sensibles pasan por estos dispositivos o son accesibles desde ellos —y en la mayoría de las organizaciones es así— tienes una brecha de visibilidad que los adversarios están explotando activamente.

El ransomware ha dejado el endpoint — y la identidad es la nueva puerta de entrada

El informe de CrowdStrike detalla una evolución significativa en las operaciones de ransomware durante 2025. Los grupos más sofisticados han superado la implementación tradicional centrada en endpoints para ejecutar campañas entre dominios que abarcan nube, identidad y entornos virtualizados.

SCATTERED SPIDER y BLOCKADE SPIDER se movieron lateralmente por infraestructuras de nube e identidad, desplegando ransomware exclusivamente en sistemas VMware ESXi — la capa de virtualización que soporta la mayoría de los servidores empresariales, pero que frecuentemente carece del mismo monitoreo que los endpoints de usuario. PUNK SPIDER realizó 198 intrusiones observadas, un aumento del 134%, usando técnicas como cifrado remoto de archivos sobre recursos compartidos SMB, lo que permitió cifrar datos sin ejecutar ransomware directamente en los hosts gestionados.

La dimensión de la cadena de suministro es igual de preocupante. PRESSURE CHOLLIMA, vinculado a la RPDC, ejecutó un robo de criptomonedas de $1,46 mil millones — el mayor robo financiero registrado — comprometiendo SafeWallet y Bybit mediante un ataque a la cadena de suministro. Insertaron JavaScript malicioso y lógica de smart contracts en software financiero confiable, ejecutaron el robo y luego revirtieron los cambios de código para encubrir sus huellas.

Las intrusiones enfocadas en la nube aumentaron un 37% en 2025, con un incremento del 266% por parte de actores estatales. El abuso de cuentas válidas representó el 35% de los incidentes en la nube. No se trata de ataques de fuerza bruta. Son adversarios que han obtenido credenciales legítimas — mediante phishing, malware infostealer o compras en mercados de la dark web — y las usan para entrar por la puerta principal de entornos cloud y SaaS.

El informe de Dragos corrobora este modelo de ataque centrado en la identidad en entornos industriales, documentando cómo los afiliados al ransomware dependen cada vez más de logs de credenciales de infostealers, reutilización de contraseñas entre sistemas OT e IT y cuentas de proveedores comprometidas para eludir por completo las defensas perimetrales. El patrón es consistente: en todos los sectores, el compromiso de identidad es el vector de acceso principal, y las plataformas cloud y SaaS son el entorno objetivo principal.

Qué significa esto para los líderes de seguridad y datos

El Informe Global de Amenazas 2026 de CrowdStrike, junto con el WEF Global Cybersecurity Outlook 2026 y el informe OT/ICS de Dragos, apunta a un panorama de amenazas que ha superado fundamentalmente los modelos de seguridad con los que la mayoría de las organizaciones aún operan. La convergencia es clara: los atacantes encadenan compromisos de identidad, abuso de SaaS, explotación de dispositivos perimetrales y manipulación de IA en campañas que cruzan dominios más rápido de lo que las herramientas fragmentadas pueden correlacionar.

El informe del WEF encontró que el 61% de las organizaciones considera que la rápida evolución del panorama de amenazas es su mayor desafío de resiliencia, mientras que el 46% señala vulnerabilidades en la cadena de suministro. No son problemas separados. Son facetas del mismo reto estructural: las organizaciones no pueden proteger datos que no pueden ver, gobernar accesos que no pueden monitorear ni responder a amenazas que se mueven más rápido de lo que permiten sus procesos.

Qué debe hacer cada CISO ahora

Toma los 29 minutos como supuesto de planificación, no como excepción. Cada plan de respuesta a incidentes, ejercicio de simulación y flujo de detección debe ponerse a prueba ante un escenario de breakout inferior a 30 minutos. Si tu tiempo medio de detección y contención se mide en horas, estás planificando para un panorama de amenazas que ya no existe. La aplicación automática de políticas y el monitoreo en tiempo real de Kiteworks operan a la velocidad que exige la amenaza, asegurando que los controles de acceso a datos estén activos y aplicados antes de que los procesos manuales puedan intervenir.

Pasa de la detección de malware a la defensa centrada en la identidad. Con el 82% de las intrusiones sin malware, el enfoque de la detección debe centrarse en el comportamiento de identidad, patrones de acceso y correlación entre dominios. Esto implica monitoreo continuo de eventos de autenticación, escalamiento de privilegios y movimientos laterales en endpoint, nube, SaaS e infraestructura de identidad. Kiteworks aplica esto en la capa de datos: los controles de acceso basados en atributos evalúan la identidad del usuario, la sensibilidad de los datos y el propósito antes de conceder acceso, y cada interacción se registra en una única pista de auditoría consolidada.

Gobierna tus herramientas de IA antes de que lo hagan los adversarios. El hallazgo del informe de que los atacantes atacaron sistemas de IA en más de 90 organizaciones debe activar un inventario inmediato de cada herramienta, modelo e integración de IA en tu entorno. Establece controles de acceso, monitorea los prompts de entrada y salida e implementa prevención de pérdida de datos ajustada para la exfiltración asistida por IA. El Secure MCP Server de Kiteworks aplica controles basados en roles y atributos sobre cada interacción con agentes externos, proporcionando la infraestructura de gobernanza que requiere la implementación de IA.

Cierra la brecha de visibilidad en dispositivos perimetrales. Los dispositivos perimetrales son el punto débil de la seguridad empresarial. Aplica parches a los dispositivos expuestos a internet en días — no semanas — tras la divulgación. Implementa segmentación de red que limite el movimiento lateral desde dispositivos perimetrales comprometidos. Despliega monitoreo que cubra los dispositivos a los que tu EDR no llega. La arquitectura de dispositivo virtual reforzado de Kiteworks, con firewalls integrados, detección de intrusiones y cifrado doble en reposo, garantiza que la plataforma que gestiona tus datos más sensibles no forme parte del perímetro sin monitoreo.

Exige visibilidad entre dominios, no paneles aislados. Cuando los actores de ransomware actúan solo en ESXi, cuando las intrusiones en la nube dependen de tokens de identidad robados y cuando las herramientas de IA se convierten en vectores de movimiento lateral, la visibilidad de seguridad que termina en el endpoint se queda corta. Una defensa efectiva requiere correlación entre endpoint, identidad, nube, SaaS e infraestructura de IA en una sola visión operativa. Kiteworks lo proporciona para datos sensibles: gobernanza unificada en cada canal de comunicación con un registro de auditoría consolidado que elimina las brechas que crean las herramientas fragmentadas.

La realidad de los 29 minutos exige una arquitectura diferente

El mensaje central del informe CrowdStrike 2026 es que el adversario se ha adaptado más rápido que el defensor. Los tiempos de breakout se están desplomando. El malware es opcional. La IA es arma y objetivo. La identidad es el perímetro. Los dispositivos perimetrales son el punto de quiebre. Y las campañas entre dominios son la norma, no la excepción.

Para las organizaciones responsables de proteger datos sensibles — registros de clientes, información financiera, propiedad intelectual, contenido regulado — la pregunta ya no es si los atacantes llegarán a tus datos. La pregunta es si tu infraestructura de gobernanza puede detectar, contener y demostrar cumplimiento cuando lo hagan.

Kiteworks es la plataforma creada para esta realidad: gobernanza unificada de datos en correo electrónico, uso compartido de archivos, SFTP, transferencia de archivos gestionada, formularios web y APIs. Arquitectura de confianza cero donde todas las direcciones IP están bloqueadas por defecto. Controles de acceso basados en atributos que aplican políticas en la capa de datos. Un registro de auditoría consolidado que rastrea cada interacción en todos los canales. Cifrado validado FIPS 140-3 con claves propiedad del cliente. Y reportes de cumplimiento listos para ejecutivos en más de 50 marcos regulatorios.

La ventana de breakout de 29 minutos no es una condición temporal. Es la nueva realidad operativa. Las organizaciones que protegerán sus datos son aquellas cuya infraestructura de gobernanza fue diseñada para adversarios a velocidad de máquina, no para procesos manuales.

La ventana se está cerrando. La cuestión es si tus defensas ya están dentro de ella.

Para descubrir cómo Kiteworks puede ayudarte, agenda una demo personalizada hoy.

Preguntas frecuentes

Las herramientas basadas en firmas solo detectan lo que reconocen. Cuando los atacantes usan credenciales válidas, utilidades administrativas nativas y herramientas comerciales de acceso remoto, no hay nada que coincida con una firma. El cambio necesario en la detección es conductual: monitorear actividad anómala de identidad, escalamiento inusual de privilegios y patrones de movimiento lateral en vez de código malicioso. Los registros de auditoría que documentan cada acceso a datos se convierten en el registro forense que las herramientas basadas en firmas ya no pueden ofrecer.

Los operativos de FAMOUS CHOLLIMA envían currículums generados por IA, se preparan para entrevistas usando dispositivos ocultos y emplean identidades falsas o prestadas para pasar la verificación por video. La detección requiere validar documentos de identidad oficiales a través de servicios externos, exigir interacciones de video en vivo y sin guion, y cruzar los datos de la solicitud con patrones conocidos de empresas pantalla de la RPDC. Tras la contratación, los controles de acceso basados en atributos que limitan el alcance de datos según la función y el registro de cada interacción con datos reducen el impacto si un operativo logra ingresar.

La mayoría de las herramientas EDR funcionan en sistemas operativos invitados, no en la capa de hipervisor ESXi. El ransomware desplegado directamente en ESXi cifra todas las máquinas virtuales alojadas sin activar los agentes a nivel de invitado. Los controles compensatorios incluyen monitoreo a nivel de hipervisor, segmentación de red que aísle las interfaces de administración de ESXi de las redes accesibles por usuarios, restricciones de acceso privilegiado para credenciales administrativas de ESXi y registros de auditoría sobre los datos almacenados en sistemas alojados en ESXi — para que el alcance se determine de inmediato si ocurre cifrado.

Los clones maliciosos de servidores MCP interceptan datos sensibles que circulan entre aplicaciones LLM y herramientas empresariales, capturando credenciales, datos personales y propiedad intelectual sin activar alertas convencionales. La gobernanza requiere verificar el origen del servidor MCP antes de implementarlo, aplicar controles de acceso basados en roles y atributos en cada interacción con agentes, aplicar políticas DLP a los prompts de entrada y salida de IA y registrar cada interacción con herramientas LLM en una pista de auditoría inmutable.

Bajo el GDPR, la notificación de brechas a las autoridades supervisoras debe hacerse en un plazo de 72 horas desde que se tiene conocimiento de la brecha. Si el breakout ocurre en 29 minutos y la detección tarda horas o días, el reloj de notificación puede comenzar mucho antes de que se determine el alcance forense. Las organizaciones sin registros de auditoría en tiempo real que documenten cada acceso a datos tendrán dificultades para saber qué datos personales se accedieron — lo que las obliga a notificar bajo el peor escenario y las expone a violaciones secundarias por notificaciones incompletas o inexactas.

Recursos adicionales

  • Artículo del Blog Arquitectura Zero Trust: Nunca confíes, verifica siempre
  • Video Microsoft GCC High: Desventajas que llevan a los contratistas de defensa hacia ventajas más inteligentes
  • Artículo del Blog Cómo proteger datos clasificados cuando DSPM los detecta
  • Artículo del Blog Generar confianza en la IA generativa con un enfoque Zero Trust
  • Video La guía definitiva para el almacenamiento seguro de datos sensibles para líderes de TI

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks