Pulso de Ciberseguridad y Análisis Forense · 2.º trimestre de 2026

La primera mitad de 2026 ha tenido menos que ver con exploits novedosos y más con la disciplina, a ambos lados. Los atacantes están industrializando lo que ya funciona; los defensores que invirtieron en los fundamentos están viendo el resultado. Esto es lo que observamos en nuestros encargos de respuesta a incidentes y monitorización durante este trimestre.

Quién se mantuvo activo

Los afiliados al ransomware como servicio siguen siendo la amenaza comercial dominante, pero el modelo se ha fragmentado. Equipos más pequeños arriendan ahora el utillaje, se reparten las ganancias y rotan la infraestructura más rápido de lo que las fuerzas del orden pueden cartografiarlos. Los intermediarios de acceso inicial continúan alimentando la cadena, y el precio de un par de credenciales corporativas válidas ha caído: una consecuencia directa de que el phishing de credenciales escale mediante la automatización.

La actividad alineada con Estados se inclinó hacia la persistencia silenciosa antes que hacia la disrupción: técnicas de vivir de la tierra (living-off-the-land), puntos de apoyo latentes en dispositivos de frontera y movimiento lateral paciente. El objetivo era el acceso y la opcionalidad, no el ruido.

Tendencias por sector

• Fabricación y logística absorbieron la mayor presión de ransomware: las redes planas y la fragilidad de la tecnología operativa encarecen el tiempo de inactividad y ralentizan la recuperación.
• Sanidad y organismos públicos siguieron siendo objetivos prioritarios; los sistemas heredados y los presupuestos ajustados son un desajuste persistente frente a un adversario profesionalizado.
• Servicios profesionales (jurídicos, contables, de asesoría) registraron un aumento del fraude del compromiso del correo corporativo (BEC) vinculado al fraude de facturas y mandatos.

Qué resistió

Las medidas defensivas que de forma constante mitigaron las intrusiones no eran exóticas. La autenticación multifactor resistente al phishing detuvo la mayoría de los intentos de reutilización de credenciales. Las copias de seguridad probadas, segmentadas y sin conexión convirtieron varias posibles catástrofes en ejercicios de recuperación acotados. Y las organizaciones con planes de respuesta a incidentes ensayados contuvieron más rápido, en una escala medida en horas, no en días.

La brecha entre las organizaciones que ensayaron su respuesta y las que la improvisaron fue, una vez más, el indicador más claro de lo grave que resultó un incidente.

La latencia de parcheo en los sistemas expuestos a internet sigue siendo el punto débil recurrente. La mayoría de las intrusiones que investigamos este trimestre explotaron una vulnerabilidad que ya tenía un parche disponible, a menudo desde hacía semanas. La lección no cambia, pero conviene repetirla: la gestión de la exposición y el parcheo rápido de los activos perimetrales superan a casi cualquier control posterior.

Nuestra recomendación para el tercer trimestre es resistir el impulso de comprar más herramientas y, en su lugar, someter a prueba lo que ya posee. Realice un ejercicio de simulación de escritorio (tabletop). Confirme que sus copias de seguridad se restauran. Verifique que la cobertura de MFA no tenga excepciones silenciosas. Las amenazas que evolucionan más rápido siguen derrotándose con lo básico aplicado de forma constante.