La automatización impulsada por inteligencia artificial está elevando los riesgos para la identidad digital y acelerando la explotación de software desactualizado, según el Informe de Tendencias en Ciberseguridad 2026 elaborado por Sofistic, firma especializada del grupo tecnológico Cuatroochenta.
El estudio, basado en el análisis de 140 auditorías de seguridad, la detección de 1.350 vulnerabilidades y la monitorización de 100.000 alertas y 1.500 casos gestionados a lo largo de 2025, señala que el 41% de los incidentes atendidos corresponde a infraestructuras críticas. El trabajo se apoya en datos recopilados por su Centro de Operaciones de Seguridad (SOC), con sedes en Panamá, Colombia y España, y examina organizaciones de España y Latinoamérica.
Identidad digital y software vulnerable
El informe identifica el compromiso de credenciales como una de las principales causas de incidentes, especialmente en casos de intrusión. Esta tendencia se ha intensificado con la expansión de la denominada IA agéntica, capaz de automatizar y escalar ataques.
Además, la explotación de fallos en componentes de software desactualizado aumentó un 52% respecto a 2024. En las auditorías realizadas, los fallos de control de acceso representaron el 38% del total de vulnerabilidades detectadas, evidenciando intrusiones que permiten a usuarios o sistemas acceder a información o ejecutar acciones no autorizadas. Por su parte, los fallos de identificación y autenticación registraron el mayor crecimiento interanual, con un incremento del 300%.
Entre los vectores más frecuentes figuran la ingeniería social, el malware tipo infostealer —destinado al robo silencioso de datos en navegadores o cookies de sesión—, las filtraciones masivas y los ataques de fuerza bruta.
Auge del phishing polimórfico
El documento advierte sobre el crecimiento del phishing polimórfico impulsado por inteligencia artificial, caracterizado por la generación de mensajes dinámicos que adaptan tono y contenido según el perfil de la víctima.
Aunque los datos muestran una reducción del 21% en el número de personas que hacen clic en enlaces fraudulentos y del 9% en quienes facilitan credenciales, el informe indica que uno de cada tres destinatarios abre correos de phishing, el 19% accede a los enlaces y el 12% comparte información.
La IA aparece tanto como herramienta ofensiva —integrada en modelos de “crime as a service” que reducen la barrera de entrada para ataques complejos— como defensiva. La combinación de modelos de lenguaje de gran tamaño (LLM) con sistemas de automatización permite analizar alertas, contextualizarlas y generar evaluaciones automáticas, apoyando el trabajo de los analistas de seguridad.
Infraestructuras críticas, las más afectadas
Las infraestructuras críticas concentraron el mayor volumen de casos gestionados por el SOC de Sofistic, con un 41% del total. El informe señala que, pese a contar con altos niveles de preparación, el contexto geopolítico incrementa la exposición de sectores como energía, transporte y suministro de agua, donde la motivación de los ataques no es únicamente económica.
Organismos internacionales como el Foro Económico Mundial, el Centro Criptológico Nacional y el Instituto Nacional de Ciberseguridad han advertido sobre este escenario.
Tras las infraestructuras críticas, el sector educativo ocupa el segundo lugar en volumen de incidentes, debido a la cantidad de datos gestionados y su alta exposición digital. Le siguen el retail, el sector sanitario y las telecomunicaciones.
Patrones temporales de ataque
Aunque tradicionalmente se ha considerado que los ataques aumentan en periodos de menor actividad, como fines de semana o festivos, los datos del informe indican que el jueves es el día con mayor número de incidentes detectados. Por franjas horarias, la actividad se intensifica durante la noche y la madrugada, tanto en España como en Latinoamérica.
El documento sugiere que factores como tensiones geopolíticas, campañas comerciales como el Black Friday y el periodo navideño pueden haber contribuido al incremento de ataques en la segunda mitad del año.
Recomendaciones para 2026
El informe plantea varias líneas de acción para reforzar la resiliencia empresarial ante un entorno de amenazas más sofisticado. Entre ellas, destaca la necesidad de fortalecer la protección de la cadena de suministro mediante actualizaciones regulares de software, monitorización de anomalías y segmentación de redes.
También recomienda adoptar modelos de seguridad Zero Trust, implementar políticas de autenticación multifactor, reforzar la formación continua frente a amenazas como deepfakes o vishing y promover la colaboración entre empresas y organismos públicos.
El estudio fue elaborado por Manu Ginés, responsable de I+D en Sofistic, y Juan Carlos García, director de Operaciones y del SOC de la compañía. Según la firma, aunque el análisis se centra en sectores como infraestructuras críticas, banca, educación, salud, servicios, retail y telecomunicaciones en España y Latinoamérica, sus conclusiones son aplicables a organizaciones de distintos ámbitos.
