La naturaleza de estas amenazas es bifocal: por un lado, actores estatales-nación y grupos hacktivistas motivados por agendas geopolíticas han apuntado a objetivos de alto valor estratégico; por otro, la ciberdelincuencia organizada ha perfeccionado sus tácticas de extorsión y robo masivo de datos. La inteligencia artificial (IA), si bien es una herramienta poderosa para la defensa, también está siendo explotada por los atacantes para escalar y automatizar sus operaciones, desde la creación de deepfakes convincentes para ingeniería social hasta el desarrollo de malware más evasivo. Este escenario presenta un desafío complejo para la ciberseguridad, exigiendo una reevaluación constante de estrategias y defensas, tal como advierten Palo Alto Networks y el Foro Económico Mundial.
Ataques de Estado vs. Cibercriminales: Dos frentes de una guerra digital
El 2026 ha delineado claramente dos grandes vectores en la guerra cibernética: los ataques patrocinados por estados, con motivaciones geopolíticas y de espionaje, y las operaciones de ciberdelincuencia organizada, impulsadas principalmente por el lucro y la extorsión. Ambos han demostrado una capacidad destructiva masiva, aunque con metodologías y objetivos distintos.
Ataques dirigidos a infraestructura crítica y vigilancia:
Este año ha visto un incremento preocupante en la focalización de infraestructuras críticas, una señal clara de las crecientes tensiones geopolíticas. Uno de los incidentes más alarmantes fue el hackeo al Sistema de Vigilancia del FBI. Detectado inicialmente en febrero y clasificado como "incidente mayor" en marzo de 2026, este ataque fue atribuido a hackers patrocinados por el estado chino, identificados por grupos de investigación como Salt Typhoon, según Militarnyi y Security Boulevard. La intrusión comprometió la Red de Sistemas de Recopilación Digital (DCS-3000), una herramienta crucial para la interceptación legal, revelando números de teléfono de objetivos bajo vigilancia y metadatos sensibles de investigaciones, de acuerdo con ComplexDiscovery y ZDNet. Lo destacable de este incidente, según Michael Bell, CEO de Suzu Labs, fue que los atacantes no irrumpieron directamente en las defensas del FBI, sino que explotaron un proveedor de servicios de internet externo, evidenciando la vulnerabilidad de la cadena de suministro y la necesidad de seguridad obligatoria para capacidades de interceptación legal, según Security Leaders.
Paralelamente, las infraestructuras de energía y agua han sido un objetivo recurrente. Hackers vinculados a Irán han lanzado ataques contra sistemas críticos en EE. UU., específicamente apuntando a controladores lógicos programables (PLC) de Rockwell Automation, lo que ha provocado interrupciones en varios sectores, como informan Gizmodo e Insurance Journal. Esta táctica resalta la vulnerabilidad inherente de los sistemas industriales conectados. En Canadá, la amenaza no provino de un estado-nación tradicional, sino de un grupo hacktivista ruso llamado NoName, que logró acceder a una planta de tratamiento de agua en Quebec. Este grupo obtuvo control sobre bombas y sistemas de dosificación de cloro, demostrando el potencial disruptivo incluso de actores no estatales en infraestructuras vitales, según el National Post. Estos eventos subrayan cómo los ciberataques pueden tener consecuencias directas en la vida cotidiana de los ciudadanos y la seguridad nacional.
Brechas masivas y operaciones de ciberdelincuencia organizada:
En el otro extremo del espectro, los grupos cibercriminales han continuado perfeccionando sus modelos de negocio basados en el robo de datos y la extorsión. Un incidente de gran magnitud que sacudió la confianza pública fue la presunta brecha de datos del DOGE (Department of Government Efficiency). Documentos judiciales revelaron que operativos de DOGE habrían subido una copia de la base de datos de la Administración del Seguro Social de EE. UU. a un servidor de terceros no seguro, potencialmente exponiendo información personal de la mayoría de los estadounidenses. La filtración de mil registros personales a un asistente de alto nivel y el compartir información confidencial en un servidor privado destacan fallas humanas y configuraciones erróneas como vectores clave, según FedScoop, Los Angeles Times, The Guardian y ThinkAdvisor.
El grupo de ciberdelincuentes ShinyHunters se ha posicionado como uno de los actores más prolíficos del año, responsable de una serie de brechas masivas que demuestran la amplitud y el impacto del robo de datos. Entre sus hazañas se incluyen:
- El robo de 3.65 terabytes de datos de 275 millones de usuarios de plataformas educativas Instructure (Canvas).
- La exfiltración de 700 terabytes de datos de Telus en marzo de 2026.
- El compromiso de One Medical, obteniendo 8.8 terabytes de registros de pacientes.
- El ataque a la National Association of Insurance Commissioners (NAIC), resultando en la exfiltración de 3.1 terabytes y más de 105.000 archivos, afectando a los 50 departamentos de seguros estatales de EE. UU.
- La publicación de más de 26 millones de registros de Madison Square Garden Entertainment, incluyendo datos de reconocimiento facial, tras el impago del rescate exigido, según informes de CRN, IT Governance, Logicity y PurpleSec.
- El robo de 2.2 millones de registros de clientes y corporativos de Kodak en junio de 2026.
Estos ataques reflejan la evolución del modelo de extorsión, que ha pasado de simplemente cifrar datos a robarlos y amenazar con su publicación (conocido como "pay-or-leak"). Esto significa que las copias de seguridad por sí solas no son suficientes para proteger contra la exposición de información sensible, obligando a las organizaciones a repensar sus estrategias de respuesta, como destaca Lazarus Alliance, Inc.
Los datos hablan: Tendencias y vulnerabilidades en la era de la IA
Las cifras del primer semestre de 2026 pintan un cuadro sombrío pero instructivo sobre el estado de la ciberseguridad. Más allá de los titulares, los datos concretos revelan patrones y desafíos fundamentales.
El costo promedio de una brecha de datos de 4.88 millones de dólares no solo es un indicador de la pérdida financiera directa, sino que también incluye gastos en remediación, investigaciones forenses, notificaciones a afectados, multas regulatorias y daño a la reputación. En los casos más severos, como se ha visto en el ataque a National Public Data, la mayor brecha de la historia por número de individuos afectados con 2.900 millones de registros, según Bright Defense, los costos pueden dispararse exponencialmente.
La exposición de credenciales masiva sigue siendo un problema endémico. En enero de 2026, una base de datos expuesta públicamente contenía 149 millones de registros, casi 100 GB de información, debido a una configuración incorrecta en la nube, según PKWARE, Inc. Esto subraya un punto clave: muchos de los incidentes más grandes de 2026 no fueron ataques imparables de día cero, sino "fallas prevenibles" derivadas de errores humanos, sistemas mal configurados, falta de monitoreo adecuado y respuestas lentas, como apunta la University of San Diego Online Degrees.
La cadena de suministro se ha consolidado como el principal vector de ataque para las empresas. El incidente del FBI y los ataques a los PLC de Rockwell Automation son ejemplos claros de cómo los atacantes explotan las debilidades en terceros proveedores para acceder a objetivos primarios. Esta tendencia exige una reevaluación profunda de la seguridad en toda la cadena de valor de una organización, según Palo Alto Networks.
La inteligencia artificial (IA) está acelerando esta dinámica. Los expertos coinciden en que la IA actúa como un multiplicador de fuerza, tanto para la defensa como para los atacantes. La IA generativa, por ejemplo, está haciendo que los ataques de ingeniería social sean más sofisticados, creando deepfakes que son casi imposibles de distinguir de la realidad, elevando la barra para la detección y la concienciación de los usuarios, según el Foro Económico Mundial. Como consecuencia, el rol del analista de Nivel 1 en los Centros de Operaciones de Seguridad (SOC) se redefinirá, con la IA automatizando más del 90% de las alertas de triaje y enriquecimiento, permitiendo a los humanos enfocarse en roles de supervisión y análisis estratégico, de acuerdo con Swimlane.
Qué significa para Latam: El epicentro global de la ciberamenaza
América Latina no es ajena a esta tormenta cibernética; de hecho, se ha consolidado como el epicentro global de los ciberataques. Las organizaciones de la región experimentaron un promedio alarmante de 3.364 ataques semanales por empresa en abril de 2026, un incremento interanual del 20%, superando a todas las demás regiones del mundo, incluyendo Asia-Pacífico, África, Europa y América del Norte, según Infobae e ITSitio. Esta realidad se traduce en que el 68% de las empresas latinoamericanas ya sufrió al menos un ciberataque en 2025, evidenciando una vulnerabilidad sistémica, según Ecosistema Startup.
La debilidad regulatoria y la fragmentación normativa son factores que agravan la situación. A diferencia de mercados más desarrollados, la región presenta un marco legal de protección de datos y ciberseguridad heterogéneo y a menudo insuficiente. Sin embargo, se están viendo avances importantes, como la reciente Ley Orgánica de Ciberseguridad en Ecuador, que exige la notificación de incidentes en un plazo máximo de 72 horas y establece multas significativas (del 0.1% al 1.5% de la facturación anual) por incumplimiento, como señala Telerama. Estas iniciativas son cruciales para fomentar una mayor responsabilidad y resiliencia digital.
La confianza en la preparación ante incidentes digitales es la más baja a nivel mundial en América Latina, con solo un 13% de las empresas sintiéndose preparadas, según el Global Cybersecurity Outlook 2026 del Foro Económico Mundial. Esta falta de confianza se refleja en la realidad de que solo 3 de 21 países latinoamericanos tienen una estrategia nacional de seguridad digital definida, y muchas empresas mantienen presupuestos de ciberseguridad estáticos a pesar del aumento exponencial de las amenazas, de acuerdo con J.P. Morgan Private Bank.
Los sectores financiero y gubernamental son particularmente sensibles en la región, siendo objetivos prioritarios para los ciberatacantes. Las empresas de telecomunicaciones, consideradas infraestructura crítica, también están bajo constante amenaza, ya que un ataque exitoso puede interrumpir servicios para millones de usuarios, afectando directamente la conectividad y la economía digital. Brasil, Colombia, México y Argentina lideran las estadísticas de ciberataques en la región, según El Diario Web, Fvsa y TeleSemana.com. A esto se suma una escasez crítica de profesionales especializados en ciberseguridad, un factor que frena la capacidad de respuesta y prevención de las empresas y gobiernos, como indica Unihackers.
Las implicaciones de las tendencias globales —como los ataques a la cadena de suministro y el uso de IA— son particularmente agudas para Latinoamérica. La interconexión de los sistemas modernos significa que una brecha en un proveedor de terceros en Europa o EE. UU. puede tener repercusiones directas en operaciones en la región. Asimismo, la IA generativa puede ser utilizada para crear campañas de phishing o desinformación altamente localizadas y culturalmente adaptadas, lo que representa un desafío aún mayor para la detección. La región necesita no solo invertir en tecnología, sino también en capacitación, desarrollo de talento y marcos regulatorios robustos para construir una defensa digital efectiva contra un panorama de amenazas cada vez más complejo y globalizado.