¿El ransomware y el cifrado siguen siendo las señales que definen los ciberataques modernos, o la industria se ha obsesionado demasiado con el ruido mientras se pierde un cambio más peligroso que se está produciendo silenciosamente a su alrededor?

Según el nuevo informe de Picus Labs Informe rojo 2026, que analizó más de 1,1 millones de archivos maliciosos y mapeó 15,5 millones de acciones adversas observadas en 2025, los atacantes ya no están optimizando para provocar interrupciones. En cambio, su objetivo ahora es el acceso invisible y a largo plazo.

Para que quede claro, el ransomware no va a ninguna parte y los adversarios siguen innovando. Sin embargo, los datos muestran un claro giro estratégico, pasando de los ataques ruidosos y destructivos a las técnicas diseñadas para eludir la detección, persistir en los entornos y explotar silenciosamente la identidad y la infraestructura confiable. En lugar de irrumpir e incendiar los sistemas, los atacantes actuales se comportan cada vez más como parásitos digitales. Viven en el servidor, se alimentan de credenciales y servicios y permanecen sin ser detectados el mayor tiempo posible.

La atención pública con frecuencia se centra en las interrupciones dramáticas y el impacto visible. Los datos del Informe Rojo de este año cuentan una historia más discreta, que revela los aspectos en los que los defensores están perdiendo realmente visibilidad.

La señal del ransomware se está desvaneciendo

Durante la última década, el cifrado del ransomware fue la señal más clara del riesgo cibernético. Cuando sus sistemas se bloqueaban y sus operaciones se paralizaban, el compromiso era innegable.

Esa señal ahora pierde relevancia. Año tras año, Datos cifrados para impactar (T1486) cayó un 38%, pasando del 21,00% en 2024 al 12,94% en 2025. Esta disminución no muestra una reducción de la capacidad de los atacantes. En cambio, refleja un cambio deliberado de estrategia.

En lugar de bloquear los datos para forzar el pago, los actores de amenazas están optando por la extorsión de datos como su principal modelo de monetización. Al evitar el cifrado, los atacantes mantienen los sistemas operativos mientras:

  • Exfiltra datos confidenciales de forma silenciosa
  • Recolecte credenciales y fichas
  • Permanezca integrado en los entornos durante períodos prolongados
  • Presiona más adelante mediante la extorsión en lugar de la perturbación

La implicación es clara: el impacto ya no se define por los sistemas bloqueados, sino por el tiempo que los atacantes pueden mantener el acceso a los sistemas de un host sin ser detectados.

«El modelo de negocio del adversario ha pasado de una interrupción inmediata a un acceso duradero». — Informe Picus Red 2026

El robo de credenciales se convierte en el plano de control (una cuarta parte de los ataques)

A medida que los atacantes optan por una persistencia prolongada y sigilosa, la identidad se convierte en el camino más fiable para el control.

El Informe Rojo 2026 muestra que Credenciales de los almacenes de contraseñas (T1555) aparecen en casi uno de cada cuatro ataques (23,49%), lo que convierte al robo de credenciales en una de las conductas más prevalentes observadas durante el último año.

En lugar de confiar en el ruidoso vertido de credenciales o en complejas cadenas de exploits, los atacantes extraen cada vez más las credenciales guardadas directamente de los navegadores, llaveros y administradores de contraseñas. Una vez que tienen credenciales válidas, la escalación de privilegios y el movimiento lateral suelen ser solo una pequeña herramienta administrativa nativa.

Cada vez más campañas de malware modernas se comportan como parásitos digitales. No hay alarmas, bloqueos ni indicadores obvios. Solo un silencio espeluznante.

Esta misma lógica ahora da forma al arte de los atacantes de manera más amplia.

El 80% de las mejores técnicas de ATT&CK ahora favorecen el sigilo

A pesar de la amplitud del Estructura MITRE ATT&CK® , la actividad del malware en el mundo real sigue concentrándose en torno a un pequeño conjunto de técnicas que priorizan cada vez más la evasión y la persistencia.

El Informe Rojo de 2026 revela un marcado desequilibrio: ocho de las diez principales técnicas de MITRE ATT&CK ahora se dedican principalmente a la evasión, la persistencia o el mando y el control sigilosos. Esta cifra representa la concentración más alta jamás registrada en Picus Labs de naves especializadas en el sigilo, lo que indica un cambio fundamental en las métricas de éxito de los atacantes.

En lugar de priorizar el impacto inmediato, los adversarios modernos están optimizando para lograr el máximo tiempo de permanencia. Las técnicas que permiten a los atacantes ocultarse, mezclarse y permanecer operativos durante períodos prolongados ahora superan a las diseñadas para provocar interrupciones.

Estos son algunos de los comportamientos más comúnmente observados en el informe de este año:

El efecto combinado es potente. Los procesos que parecen legítimos utilizan herramientas legítimas para operar silenciosamente a través de canales ampliamente confiables. La detección basada en firmas tiene dificultades en este entorno, mientras que el análisis del comportamiento adquiere cada vez más importancia para identificar actividades ilícitas diseñadas deliberadamente para que parezcan normales.

Mientras que antes el cifrado definía el ataque, ahora el sigilo define su éxito.

El malware autoconsciente se niega a ser analizado

Cuando el sigilo se convierte en la principal medida del éxito, ya no basta con evadir la detección por sí solo. Los atacantes también deben evitar utilizar las herramientas en las que confían los defensores para observar su comportamiento malintencionado en primer lugar. El Informe rojo de 2026 muestra claramente este hecho en el auge de la virtualización y la evasión en entornos aislados (T1497), que en 2025 se convirtieron en los atacantes más utilizados por los atacantes.

El malware moderno evalúa cada vez más donde es antes de decidir ya sea actuar. En lugar de basarse en simples comprobaciones de artefactos, algunos ejemplos evalúan el contexto de ejecución y la interacción del usuario para determinar si realmente funcionan en un entorno real.

En un ejemplo destacado en el informe, Lumma C2 analizó los patrones de movimiento de los ratones utilizando la geometría, calculando la distancia euclidiana y los ángulos del cursor para distinguir la interacción humana del movimiento lineal típico de los entornos sandbox automatizados. Cuando las condiciones parecían artificiales, suprimía deliberadamente cualquier ejecución y se quedaba allí, esperando tranquilamente el momento oportuno.

Este comportamiento refleja un cambio más profundo en la lógica del atacante. Ya no se puede confiar en que el malware se revele en entornos aislados. Retiene la actividad por diseño y permanece inactivo hasta que llega a un sistema de producción real.

En un ecosistema dominado por el sigilo y la persistencia, la inacción en sí misma se ha convertido en una técnica básica de evasión.

La publicidad de la IA frente a la realidad: evolución, no revolución

Dado que los atacantes demuestran un comportamiento cada vez más adaptativo, es natural preguntar donde la inteligencia artificial encaja en este panorama .

Los datos del Informe Rojo de 2026 sugieren una respuesta mesurada. A pesar de la especulación generalizada, casi anticipación, En cuanto a la transformación del panorama del malware por parte de la IA, Picus Labs no observó ningún aumento significativo en las técnicas de malware impulsadas por la IA en todo el conjunto de datos de 2025.

En cambio, los comportamientos más frecuentes siguen siendo familiares. Las intrusiones en el mundo real siguen dominando las técnicas tradicionales, como la inyección de procesos y la interpretación de comandos y secuencias de comandos, lo que demuestra que los atacantes no necesitan una IA avanzada para eludir las defensas modernas.

Algunas familias de malware han empezado a experimentar con APIs de modelos de lenguaje de gran tamaño, pero hasta ahora su uso ha tenido un alcance limitado. En algunos casos, los servicios de LLM se utilizaban principalmente para recuperar comandos predefinidos o para actuar como una cómoda capa de comunicación. Estas implementaciones mejoran la eficiencia, pero no alteran de manera fundamental la lógica de ejecución o toma de decisiones de los atacantes.

Hasta ahora, los datos muestran que la IA está siendo absorbido en oficio existente en lugar de redefiniéndolo . La mecánica del parásito digital permanece inalterada: robo de credenciales, persistencia sigilosa, abuso de procesos confiables y tiempos de permanencia cada vez más largos.

Los atacantes no ganan inventando técnicas radicalmente nuevas. Ganan al ser más silenciosos, más pacientes y cada vez más difíciles de distinguir de las actividades legítimas.

Volver a lo básico para un modelo de amenazas diferente

Tras publicar estos informes anualmente desde hace algún tiempo, vemos una tendencia continua con muchas de las mismas tácticas que aparecen año tras año. Lo que ha cambiado radicalmente es el objetivo.

Los ataques modernos dan prioridad a:

  • permanecer invisible
  • abuso de identidades y herramientas confiables
  • deshabilitar las defensas silenciosamente
  • mantener el acceso a lo largo del tiempo

Al redoblar la apuesta por los fundamentos de seguridad modernos, la detección basada en el comportamiento, la higiene de las credenciales y Validación continua de la exposición adversa , las organizaciones pueden centrarse menos en los escenarios de ataque dramáticos y más en las amenazas que realmente tienen éxito en la actualidad.

¿Listo para validarse contra el parásito digital?

Si bien los titulares sobre el ransomware siguen dominando el ciclo de noticias, el Informe Rojo 2026 muestra que, cada vez más, el verdadero riesgo reside en un compromiso silencioso y persistente. Picus Security se centra en validar las defensas contra las técnicas específicas que los atacantes utilizan en este momento, no solo contra las que generan más ruido.

¿Está listo para ver todos los datos detrás del modelo Digital Parasite?

Descargar el Informe Picus Red 2026 para explorar los hallazgos de este año y comprender cómo los adversarios modernos permanecen dentro de las redes durante más tiempo que nunca.

Nota: Este artículo fue escrito por Sıla Özeren Hacıoğlu , ingeniero de investigación de seguridad en Picus Security.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.