La ciberseguridad empresarial entra en 2026 con una paradoja que empieza a ser incómoda: mientras el discurso público se llena de promesas sobre protección “de nueva generación”, los atacantes siguen encontrando puertas abiertas en los fallos más básicos. El IBM X-Force Threat Intelligence Index 2026 retrata esa realidad con una cifra que funciona como sirena: la compañía observó un aumento del 44 % en los ataques que comenzaron explotando aplicaciones expuestas a Internet, un salto impulsado —según el informe— por controles de autenticación ausentes y por el uso de herramientas de Inteligencia Artificial que ayudan a localizar debilidades con mayor velocidad.
La conclusión no es que los delincuentes estén inventando técnicas revolucionarias. Es, más bien, que han aprendido a recorrer el mismo camino de siempre a un ritmo más alto: escanear, encontrar el hueco, explotar y moverse lateralmente antes de que la organización reaccione. IBM lo resume con una frase atribuida a Mark Hughes, máximo responsable global de servicios de ciberseguridad en la compañía: “los atacantes no están reinventando sus playbooks; los están acelerando con IA”. Y esa aceleración, advierte el informe, castiga con especial dureza a las empresas que arrastran atrasos de parcheo, configuraciones débiles y una higiene de credenciales deficiente.
La explotación de vulnerabilidades ya es el origen principal de los incidentes
El índice señala un cambio de jerarquía en las causas: la explotación de vulnerabilidades se convirtió en el principal detonante de ataques, representando el 40 % de los incidentes observados por X-Force en 2025. Esta cifra refuerza un mensaje que muchos equipos llevan años oyendo, pero que la urgencia diaria suele relegar: cuando el atacante puede entrar sin credenciales, el tiempo juega en su favor.
En ese escenario, la IA se convierte en una fuerza multiplicadora. No hace falta que el adversario sea más brillante; basta con que sea más rápido y tenga mejores herramientas para priorizar objetivos, probar vectores y automatizar tareas repetitivas. El resultado es un ciclo de ataque más corto, en el que el paso “de escaneo a impacto” se comprime.
Ransomware: más grupos, más fragmentación, más ruido
IBM X-Force también dibuja un ecosistema de ransomware más disperso y difícil de atribuir. El informe habla de un aumento interanual del 49 % en grupos activos de ransomware y extorsión, con campañas de menor volumen protagonizadas por actores más pequeños y transitorios. En paralelo, el recuento de víctimas divulgadas públicamente aumentó alrededor de un 12 %.
La fotografía sugiere que el ransomware no solo persiste: se adapta a un mercado donde filtraciones de tooling, reutilización de técnicas y automatización con IA reducen el coste de entrada. IBM anticipa que, a medida que maduren los modelos multimodales, los adversarios podrán automatizar tareas más complejas —como reconocimiento avanzado— y acelerar ataques cada vez más “adaptativos”.
La identidad vuelve a ser el eslabón más débil… también en plataformas de IA
El informe incorpora un aviso que conecta con la adopción corporativa de asistentes y herramientas generativas: en 2025, malware tipo infostealer habría expuesto más de 300.000 credenciales de ChatGPT. El dato es relevante no solo por el volumen, sino por lo que implica: las plataformas de IA ya están heredando el mismo riesgo que el resto del SaaS empresarial.
IBM subraya que unas credenciales comprometidas de chatbot no se limitan a “entrar en la cuenta”. Abren puertas a riesgos específicos: exfiltración de información sensible, manipulación de respuestas o inyección de prompts maliciosos que alteren la conducta del sistema. El mensaje para las organizaciones es claro: la adopción de IA debe evaluarse como parte del perímetro corporativo, con autenticación fuerte y controles de acceso condicional.
La cadena de suministro, en el punto de mira: casi 4 veces más compromisos desde 2020
Otra tendencia que el índice describe con insistencia es la presión creciente sobre la cadena de suministro y los terceros. X-Force identifica que los grandes compromisos de supply chain o de terceros casi se han cuadruplicado desde 2020, impulsados por ataques que explotan relaciones de confianza, automatización de CI/CD e integraciones SaaS.
La lectura de 2026 añade un matiz: el auge de herramientas de programación asistida por IA acelera el desarrollo, pero también puede introducir código no revisado o dependencias poco auditadas. El informe sugiere que esa combinación incrementará la presión sobre pipelines y ecosistemas open source durante 2026, en un momento en el que la frontera entre actores estatales y motivados económicamente se vuelve más difusa: técnicas que antes eran “de Estado” circulan ahora con facilidad por foros clandestinos y se reutilizan en campañas con fines financieros.
Sectores y geografía: manufactura sigue en cabeza y Norteamérica vuelve a liderar los ataques
En la clasificación sectorial, manufactura aparece como el objetivo más castigado por quinto año consecutivo, representando el 27,7 % de los incidentes observados por X-Force. El informe apunta a que el robo de datos fue el impacto más común en este sector, una señal coherente con cadenas de suministro complejas, entornos híbridos y la sensibilidad de la propiedad intelectual.
En lo geográfico, Norteamérica se convierte en la región más atacada, con el 29 % de los casos, frente al 24 % en 2024. IBM remarca que es la primera vez en seis años que la región encabeza la lista, una subida que suele reflejar tanto superficie digital como valor económico y exposición de infraestructuras.
El diagnóstico final: fallos básicos en un mundo más rápido
Pese al protagonismo de la IA, IBM insiste en que el problema raíz sigue siendo el mismo: la sobrecarga de vulnerabilidades y la falta de fundamentos. Sus pruebas de intrusión (X-Force Red) continuarían encontrando debilidades persistentes en higiene de credenciales y configuración de software, con controles de acceso mal configurados como punto de entrada más común.
La diferencia en 2026 es la velocidad. Si el atacante automatiza investigación, analiza datos masivos y ajusta rutas de ataque en tiempo real, la defensa no puede limitarse a reaccionar. El informe empuja a adoptar un enfoque más proactivo, apoyado en detección y respuesta con capacidades “agénticas” para identificar brechas antes de que se conviertan en incidentes.
Preguntas frecuentes (FAQ)
¿Por qué aumentan los ataques contra aplicaciones expuestas a Internet en 2026?
Porque muchos entornos siguen publicando servicios con controles de autenticación insuficientes o ausentes, y los atacantes usan automatización e Inteligencia Artificial para identificar y explotar fallos con mayor velocidad.
¿Qué medidas reducen el riesgo de explotación de vulnerabilidades en aplicaciones públicas?
Gestión de parches con priorización por exposición, revisión de autenticación y autorización, endurecimiento de configuraciones, segmentación y monitorizar intentos de explotación con telemetría correlacionada (SecOps + IT).
¿Qué riesgos añade el robo de credenciales de ChatGPT u otras plataformas de IA en empresas?
Más allá del acceso a la cuenta, puede facilitar extracción de información sensible, manipulación de resultados y ataques basados en prompts maliciosos, por lo que conviene aplicar MFA, acceso condicional y control de sesiones.
¿Por qué la cadena de suministro es un objetivo tan atractivo para los atacantes?
Porque permite comprometer a muchas organizaciones a la vez explotando relaciones de confianza, integraciones SaaS y automatizaciones de CI/CD, especialmente cuando el código y las dependencias se incorporan con rapidez.
vía: newsroom.ibm
