La imagen clásica del ciberataque —un intruso rompiendo la puerta de un sistema— está quedando desfasada. Según el primer Threat Intel Report 2026 publicado por Cloudflare, los actores estatales y los ciberdelincuentes están cambiando de estrategia: en vez de forzar la entrada a golpe de exploit, buscan formas de “iniciar sesión”. Es decir, hacerse pasar por usuarios legítimos, moverse con sigilo por aplicaciones corporativas y convertir la identidad en la nueva superficie de ataque.
El informe, elaborado por el equipo de investigación Cloudforce One y apoyado en la red global de Cloudflare, dibuja una reconfiguración del ciberataque moderno: ataques DDoS de escala récord, uso intensivo de modelos de lenguaje (LLM) para acelerar explotación y reconocimiento, y una dependencia creciente de puntos débiles tradicionales —especialmente el correo electrónico— para obtener credenciales y acceso persistente.
Para entender la magnitud del problema, Cloudflare aporta un dato que resume el volumen de la guerra invisible: la compañía afirma bloquear una media de 230.000 millones de amenazas al día. Y el giro de fondo no es solo cuantitativo, sino cualitativo: con la IA reduciendo la barrera de entrada, los atacantes se mueven “más rápido que nunca”, y la defensa ya no consiste únicamente en levantar muros, sino en demostrar continuamente que quien está dentro es quien dice ser.
La IA como multiplicador: menos habilidad técnica, más alcance
Uno de los hallazgos más inquietantes del informe es la manera en que los atacantes están usando LLM para industrializar tareas que antes requerían especialización: mapear redes en tiempo real, desarrollar exploits, generar deepfakes hiperrealistas y, en general, acelerar el ciclo completo de ataque.
Cloudflare describe un caso rastreado por Cloudforce One donde un actor utilizó IA para identificar la ubicación de datos de alto valor y, a partir de ahí, comprometer cientos de entornos corporativos en aplicaciones SaaS de alto volumen (multi-tenant). El resultado, según la compañía, fue uno de los ataques a la cadena de suministro “más impactantes” observados hasta la fecha. Más allá del detalle técnico, la lección es clara: la IA está haciendo que ataques avanzados sean más accesibles y escalables.
China: de los ataques masivos a la precisión quirúrgica
El informe también destaca un cambio de patrón en actores vinculados a China. En lugar de campañas indiscriminadas, Cloudflare señala que grupos como Salt Typhoon y Linen Typhoon habrían desplazado su foco hacia objetivos de mayor valor estratégico: telecomunicaciones en América del Norte, entidades gubernamentales y servicios de TI.
La clave aquí es el “posicionamiento previo persistente”: instalar componentes dentro de la red de un rival para habilitar acciones futuras, una táctica que se mueve en la frontera entre espionaje y preparación operativa. Cuando esa lógica se aplica a telecomunicaciones, el riesgo deja de ser solo el robo de información y se convierte en una amenaza potencial para infraestructuras críticas y servicios esenciales.
Corea del Norte: el “secuestro” de identidades corporativas desde dentro
Si la idea de “iniciar sesión” como atacante ya era preocupante, el informe describe una evolución aún más incómoda: operativos vinculados a Corea del Norte estarían utilizando deepfakes generados por IA e identificaciones fraudulentas para colarse en procesos de contratación en empresas occidentales y acabar dentro de nóminas corporativas.
La técnica, según Cloudflare, se apoya incluso en “granjas de laptops” ubicadas en Estados Unidos para enmascarar la localización real de los actores. El impacto práctico es brutal: el atacante ya no necesita romper un perímetro si consigue ser contratado, operar con credenciales reales y moverse dentro de la organización como un empleado más.
Este tipo de amenaza obliga a repensar controles clásicos de RR. HH. y seguridad: validación de identidad, verificación de presencia, autenticación fuerte y monitorización de comportamientos anómalos desde el primer día.
DDoS a escala “inhumana”: cuando la respuesta manual no llega
El informe reserva otro aviso contundente para el frente más visible: los ataques de denegación de servicio. Cloudflare apunta que los DDoS están alcanzando una escala que supera la capacidad de respuesta humana. Menciona botnets como Aisuru, que habrían evolucionado hasta convertirse en amenazas “de nivel estatal” y cita ataques récord de 31,4 Tbps.
En un escenario así, la defensa no puede depender de escalados manuales, decisiones lentas o mitigaciones improvisadas. La conclusión que se desliza es que, frente a ráfagas de esa magnitud, las organizaciones necesitan defensas autónomas, automatización y una postura de seguridad basada en telemetría en tiempo real.
“La seguridad ya no es mantener fuera a los extraños”
El cambio de paradigma que propone Cloudflare se resume en una frase: el objetivo ya no es únicamente evitar intrusiones, sino evitar suplantaciones. Cuando el atacante “inicia sesión”, las alarmas tradicionales pueden no saltar. Por eso, el informe insiste en inteligencia de amenazas procesable y en cerrar brechas generadas por señales fragmentadas.
Matthew Prince, CEO de Cloudflare, sostiene que los atacantes “prosperan” donde la inteligencia es obsoleta o incompleta, y defiende que compartir esa visibilidad ayuda a “devolver la ventaja” a los defensores. Por su parte, Blake Darché, responsable de inteligencia de amenazas en Cloudforce One, resume el mensaje con crudeza: o se lidera con inteligencia en tiempo real, o se corre el riesgo de ir siempre por detrás.
Tabla resumen de los hallazgos clave del informe
| Tendencia | Qué está pasando | Por qué importa |
|---|---|---|
| IA aplicada al ataque | LLM para reconocimiento, exploits y deepfakes | Reduce barreras y acelera campañas |
| China (Salt Typhoon, Linen Typhoon) | De volumen a precisión; foco en telcos y gobierno | Más riesgo estratégico e infra crítica |
| Corea del Norte | Deepfakes para colarse en nóminas; “laptop farms” | El atacante entra como “empleado” |
| DDoS extremo | Picos de 31,4 Tbps; botnets tipo Aisuru | Mitigación manual ya no escala |
| Cambio de táctica | De “irrumpir” a “iniciar sesión” | La identidad pasa a ser el perímetro |
En definitiva, el Threat Intel Report 2026 retrata una ciberseguridad donde el perímetro se diluye y la identidad se convierte en el campo de batalla. Y deja una idea incómoda: cuando el atacante ya está “dentro” con credenciales válidas, la defensa depende menos de muros y más de pruebas continuas de legitimidad, telemetría y automatización.
Preguntas frecuentes
¿Qué significa que los atacantes pasen de “irrumpir” a “iniciar sesión”?
Que priorizan el acceso con credenciales reales o suplantadas (por phishing, fraude o infiltración) para moverse como usuarios legítimos y evitar detecciones clásicas.
¿Cómo afecta la IA a la ciberseguridad según Cloudflare?
Cloudflare indica que los atacantes usan LLM para mapear redes, desarrollar exploits y crear deepfakes, reduciendo la barrera técnica para ataques sofisticados.
Qué es una “laptop farm” y por qué se asocia a fraude laboral?
Según el informe, se usarían granjas de portátiles ubicadas en EE. UU. para ocultar la ubicación real de operativos que buscan entrar en empresas mediante identidades falsas.
Cómo se protege una empresa ante ataques DDoS de más de 30 Tbps?
El informe sugiere que, a esa escala, se necesitan defensas autónomas y automatizadas con mitigación en tiempo real, porque la respuesta humana no llega a tiempo.
