¿Siguen siendo el ransomware y el cifrado los signos definitorios de los ciberataques modernos, o la industria se ha centrado tanto en el ruido que ha pasado por alto los cambios más peligrosos que se están produciendo silenciosamente a su alrededor?
Según el nuevo Informe Rojo 2026 de Picus Labs, que analizó más de 1,1 millones de archivos maliciosos y mapeó 15,5 millones de actos hostiles observados en 2025, los atacantes ya no están optimizando las interrupciones. En cambio, su objetivo ahora radica en un acceso invisible a largo plazo.
Para ser claros, el ransomware no va a desaparecer y los atacantes continúan innovando. Sin embargo, los datos muestran claramente un cambio estratégico desde los ataques ruidosos y destructivos hacia técnicas diseñadas para evadir la detección, persistir en el entorno y explotar silenciosamente identidades e infraestructuras confiables. En lugar de infiltrarse y quemar sistemas, los atacantes actuales actúan cada vez más como parásitos digitales. Residen dentro del host, utilizan credenciales y servicios y permanecen lo más indetectables posible.
La atención del público a menudo se centra en los dramáticos cortes de energía y sus efectos visibles. Los datos del Informe Rojo de este año cuentan una historia tranquila que revela dónde están perdiendo de vista los defensores.
Las señales de ransomware se están desvaneciendo
Durante la última década, el cifrado de ransomware ha sido la señal más clara de riesgo cibernético. Los compromisos fueron innegables cuando el sistema se bloqueó y la operación se congeló.
Esa señal está perdiendo ahora su relevancia. Año tras año, los datos cifrados para impacto (T1486) disminuyeron un 38 %, del 21,00 % en 2024 al 12,94 % en 2025. Esta disminución no indica una disminución en las capacidades del atacante. Más bien refleja un cambio deliberado de estrategia.
En lugar de bloquear datos y forzar pagos, los actores de amenazas están recurriendo a la extorsión de datos como su principal modelo de monetización. Al eludir el cifrado, el atacante mantiene el sistema operativo mientras:
Exfiltrar silenciosamente datos confidenciales. Recopilar credenciales y tokens. Permanecer incrustados en el entorno durante largos períodos de tiempo. Aplicar presión más tarde con extorsión en lugar de interrupción.
La implicación es clara. El impacto no se define por un sistema bloqueado, sino por cuánto tiempo un atacante puede mantener el acceso dentro del sistema de un host sin ser detectado.
«Los modelos de negocio de los adversarios han pasado de la interrupción inmediata al acceso a largo plazo». – Informe pixelado 2026
El robo de credenciales pasa a ser el plano de control (1 de cada 4 ataques)
A medida que los atacantes avanzan hacia la persistencia sigilosa a largo plazo, la identidad se convierte en el medio de control más confiable.
El Informe Rojo 2026 muestra que las credenciales de los almacenes de contraseñas (T1555) aparecieron en casi uno de cada cuatro ataques (23,49%), lo que convierte al robo de credenciales en uno de los comportamientos más comunes observados el año pasado.
En lugar de depender de un ruidoso volcado de credenciales o de complejas cadenas de exploits, los atacantes extraen cada vez más las credenciales almacenadas directamente de navegadores, llaveros y administradores de contraseñas. Una vez que tenga credenciales válidas, generalmente es posible escalar privilegios y realizar movimientos laterales con poco uso de herramientas de administración nativas.
Cada vez más campañas de malware modernas actúan como parásitos digitales. No hay alarmas ni fallos, ni indicadores obvios. Sólo un silencio inquietante.
Esta misma lógica da forma a las técnicas de los atacantes de manera más amplia.
El 80% de las principales técnicas de ATT&CK ahora priorizan el sigilo
A pesar de la amplitud del marco MITRE ATT&CK®, la actividad de malware en el mundo real continúa concentrándose en una pequeña cantidad de técnicas donde la evasión y la persistencia tienen cada vez más prioridad.
El Informe Rojo 2026 revela un claro desequilibrio. Ocho de las 10 técnicas principales de MITRE ATT&CK actualmente se especializan principalmente en evasión, persistencia o comando y control sigiloso. Esto representa la mayor concentración de técnicas centradas en el sigilo jamás registrada por Picus Labs y representa un cambio fundamental en las métricas de éxito de los atacantes.
En lugar de priorizar el impacto inmediato, los atacantes modernos están optimizando para maximizar el tiempo de permanencia. Las tecnologías que permiten a los atacantes esconderse, infiltrarse y permanecer operativos durante largos períodos de tiempo ahora superan en número a las que apuntan a la destrucción.
A continuación se presentan algunos de los comportamientos más comúnmente observados en el informe de este año.
T1055: la inyección de procesos permite que el malware se ejecute dentro de un proceso confiable del sistema, lo que dificulta distinguir entre actividad maliciosa y ejecución legítima. T1547: la ejecución iniciada automáticamente del inicio o inicio de sesión garantiza la persistencia al sobrevivir a los reinicios y los inicios de sesión de los usuarios. T1071: los protocolos de capa de aplicación proporcionan un «canal de susurros» para comando y control, mezclando el tráfico de atacantes con comunicaciones web y en la nube habituales. T1497: la virtualización y la evasión del espacio aislado permiten que el malware detecte el entorno de análisis y se niegue a ejecutarlo si sospecha que está siendo monitoreado.
El efecto combinado es poderoso. Los procesos que parecen legítimos operan silenciosamente en canales ampliamente confiables utilizando herramientas legítimas. Si bien la detección basada en firmas se vuelve extremadamente difícil en este entorno, el análisis del comportamiento se vuelve cada vez más importante para identificar actividades ilegales que están diseñadas intencionalmente para parecer normales.
El cifrado alguna vez definió un ataque; ahora el sigilo define un ataque exitoso.
El malware autoconsciente rechaza el análisis
Cuando el sigilo se convierte en la principal medida del éxito, evitar la detección ya no es suficiente. Además, los atacantes deben evitar que se inicien en primer lugar las herramientas en las que confían los defensores para monitorear el comportamiento malicioso. El Informe Rojo 2026 deja esto claro con el aumento de la virtualización y la evasión del sandbox (T1497), que se ubica como la principal técnica para los atacantes en 2025.
El malware moderno evalúa cada vez más dónde se encuentra antes de decidir si actuar o no. En lugar de depender de simples comprobaciones de artefactos, algunos ejemplos evalúan el contexto de ejecución y la interacción del usuario para determinar si realmente están trabajando en un entorno del mundo real.
En un ejemplo presentado en el informe, LummaC2 utilizó geometría para analizar los patrones de movimiento del mouse y calcular distancias euclidianas y ángulos del cursor para distinguir entre la interacción humana y el movimiento lineal típico de entornos sandbox automatizados. Cuando la situación parecía artificial, suprimió deliberadamente la ejecución y se quedó sentado en silencio esperando su momento.
Este comportamiento refleja un cambio más profundo en la lógica del atacante. Ya no puede confiar en que el malware se revele en un entorno sandbox. Por diseño, la actividad queda suspendida y latente hasta que se alcanza el sistema de producción real.
En un ecosistema dominado por el sigilo y la persistencia, no hacer nada es en sí mismo una técnica de evasión fundamental.
Exageración y realidad de la IA: evolución, no revolución
A medida que los atacantes exhiben un comportamiento cada vez más adaptativo, es natural preguntarse dónde encaja la inteligencia artificial en esta situación.
Los datos del Informe Rojo 2026 sugieren una respuesta cautelosa. A pesar de la especulación generalizada, casi la predicción, de que la IA remodelaría el panorama del malware, Picus Labs no observó ningún aumento significativo en las técnicas de malware impulsadas por IA en su conjunto de datos de 2025.
Más bien, los comportamientos más comunes todavía son bien conocidos. Técnicas de larga data, como la inyección de procesos y los intérpretes de comandos y scripts, continúan dominando las intrusiones en el mundo real, lo que confirma que los atacantes no necesitan IA avanzada para evadir las defensas modernas.
Algunas familias de malware han comenzado a experimentar con API de modelos de lenguaje a escala, pero hasta ahora su uso ha sido limitado. En los casos observados, el servicio LLM se utilizó principalmente para obtener comandos predefinidos o actuar como una capa de comunicación conveniente. Aunque estas implementaciones mejoran la eficiencia, no cambian fundamentalmente la lógica de ejecución o toma de decisiones del atacante.
Hasta ahora, los datos muestran que la IA está siendo absorbida por los artefactos existentes en lugar de redefinirse. La forma en que funciona Digital Parasite no ha cambiado. Robo de credenciales, persistencia sigilosa, abuso de procesos confiables y tiempos de permanencia cada vez más prolongados.
Los atacantes no ganan inventando técnicas fundamentalmente nuevas. Están ganando al volverse más tranquilos, más pacientes y cada vez más difíciles de distinguir de la actividad legítima.
Volver a lo básico sobre diferentes modelos de amenazas
Hemos estado publicando estos informes anualmente desde hace un tiempo y estamos viendo una tendencia continua en la que muchas de las mismas tácticas aparecen año tras año. Lo que ha cambiado fundamentalmente es el propósito.
Los ataques modernos priorizan:
Permanecer invisible Explotar identidades y herramientas confiables Desactivar defensas Mantener el acceso silenciosamente a lo largo del tiempo
Al fortalecer los fundamentos de seguridad modernos, la detección basada en el comportamiento, la higiene de credenciales y la validación continua de la exposición adversaria, las organizaciones pueden centrarse en las amenazas que realmente tienen éxito hoy, en lugar de escenarios de ataques dramáticos.
¿Estás listo para realizar pruebas contra los parásitos digitales?
Si bien los titulares sobre ransomware siguen dominando el ciclo de noticias, el Informe Rojo 2026 muestra que el riesgo real reside cada vez más en ataques silenciosos y persistentes. Picus Security se centra en validar las defensas contra tecnologías específicas que utilizan actualmente los atacantes, no solo las tecnologías más ruidosas.
¿Listo para ver los datos completos detrás de su modelo Digital Parasite?
Descargue el Informe Picus Red 2026 para explorar los hallazgos de este año y comprender cómo los atacantes modernos permanecen dentro de las redes por más tiempo que nunca.
Nota: Este artículo fue escrito por Sıla Özeren Hacıoğlu, ingeniera de investigación de seguridad de Picus Security.
Source link
