¿Los ciberataques realmente están empeorando?

Si uno pasa suficiente tiempo leyendo comunidades de ciberseguridad, foros técnicos o discusiones entre profesionales del sector, empieza a notar un cambio de tono. Las brechas de seguridad ya no se sienten como eventos aislados. Cada semana parece traer una nueva noticia: una empresa afectada por ransomware, una base de datos expuesta, una vulnerabilidad crítica explotada en tiempo récord, una campaña de phishing más convincente que la anterior o una discusión sobre si la inteligencia artificial está haciendo que los atacantes sean más peligrosos.

La pregunta, entonces, no es descabellada: ¿están empeorando los ciberataques, o simplemente estamos más conscientes de ellos?

La respuesta corta es: probablemente ambas cosas. Hay más visibilidad, más reportes, más conversación pública y más atención mediática. Pero también hay señales claras de que el panorama de amenazas está cambiando. No necesariamente porque las empresas hayan “olvidado” cómo protegerse, sino porque el entorno digital se volvió más complejo, más interconectado y mucho más difícil de defender a la velocidad que exige el atacante moderno.

Correlación no siempre significa causalidad

Cuando vemos más noticias sobre brechas, nuestra primera reacción puede ser asumir que la seguridad está empeorando. Pero esa conclusión puede ser incompleta. Que veamos más incidentes no significa automáticamente que todas las organizaciones estén haciendo peor su trabajo. También puede significar que hay más sistemas conectados, más dependencia de la nube, más proveedores integrados, más datos circulando y mejores mecanismos para detectar y reportar incidentes.

En otras palabras: puede haber una correlación entre “más noticias de brechas” y “más ataques”, pero eso no prueba una única causa.

La ciberseguridad rara vez tiene explicaciones simples. Un incidente puede involucrar una vulnerabilidad sin parchear, credenciales comprometidas, errores de configuración, proveedores externos, ingeniería social, herramientas legítimas abusadas por atacantes y, cada vez más, algún nivel de automatización o asistencia mediante inteligencia artificial.

Por eso, en lugar de preguntar si “la ciberseguridad está fallando”, conviene hacer una pregunta más precisa: ¿qué condiciones están haciendo que los ataques sean más frecuentes, más rápidos o más visibles?

La primera pista: los atacantes están explotando vulnerabilidades más rápido

Uno de los cambios más importantes está en la forma en que los atacantes consiguen acceso inicial. El Verizon 2026 Data Breach Investigations Report analizó más de 31,000 incidentes reales de seguridad y más de 22,000 brechas confirmadas en organizaciones de 145 países. En ese informe, Verizon señala que la explotación de vulnerabilidades se convirtió en la forma más común en que los atacantes obtuvieron acceso inicial a los entornos de las organizaciones.

Este punto es clave. Durante años, gran parte de la conversación se centró en contraseñas robadas, phishing y errores humanos. Esos riesgos no han desaparecido. Pero el foco se está ampliando: los atacantes están aprovechando fallas técnicas conocidas, sistemas expuestos en internet y dispositivos o aplicaciones que no han sido actualizados a tiempo.

El problema no es únicamente que existan vulnerabilidades. El problema es la velocidad. Fortinet reportó que, para brotes críticos, el tiempo de explotación puede estar entre 24 y 48 horas, frente a referencias anteriores de 4.76 días. En ese mismo contexto, Fortinet indicó que hubo intentos de explotación activa dentro de horas posteriores a la divulgación pública de la vulnerabilidad React2Shell.

Esto cambia el cálculo para cualquier empresa. Si un atacante puede convertir una vulnerabilidad pública en una oportunidad real en cuestión de horas, pero una organización tarda días o semanas en identificar, priorizar y corregir esa exposición, la ventana de riesgo se vuelve demasiado amplia.

La segunda pista: la inteligencia artificial no reemplaza al atacante, pero lo acelera

La inteligencia artificial no es la causa única de la crisis de ciberseguridad. Sería demasiado simple decir que “todo está peor por culpa de la IA”. Sin embargo, sí parece estar actuando como un acelerador.

Check Point Research señaló en su Cyber Security Report 2026 que la inteligencia artificial ya está integrada en distintas fases del ciclo de ataque, ayudando a acelerar técnicas conocidas con mayor velocidad y escala. Entre sus observaciones menciona ingeniería social más convincente, reconocimiento y selección de objetivos más rápidos, y desarrollo acelerado de malware.

CrowdStrike también reportó que las operaciones de adversarios habilitadas por IA aumentaron 89% interanual, y que el tiempo promedio de “breakout” de eCrime cayó a 29 minutos en 2025, con el caso más rápido observado en 27 segundos. CrowdStrike además indicó que adversarios explotaron herramientas legítimas de GenAI en más de 90 organizaciones mediante inyección de prompts maliciosos para generar comandos orientados al robo de credenciales y criptomonedas.

La implicación es importante: la IA no necesita inventar ataques completamente nuevos para ser peligrosa. Basta con que haga más eficientes los ataques existentes. Puede ayudar a escribir mensajes de phishing más naturales, resumir información pública sobre un objetivo, generar variaciones de código, automatizar reconocimiento o reducir el tiempo entre la intención y la ejecución.

Para los defensores, esto significa que el tiempo de respuesta se vuelve más crítico. Ya no basta con tener controles “razonables” si esos controles operan con procesos lentos, manuales o desconectados.

La tercera pista: el ransomware se volvió más industrializado

El ransomware tampoco es nuevo. Lo que ha cambiado es su modelo operativo. Ya no se trata únicamente de cifrar archivos y pedir un pago. Muchos grupos combinan robo de datos, presión reputacional, extorsión directa, amenazas regulatorias y negociación personalizada.

Fortinet reportó 7,831 víctimas confirmadas de ransomware a nivel global, frente a aproximadamente 1,600 identificadas en su informe anterior. Fortinet también vinculó parte de ese aumento con la disponibilidad de kits y servicios criminales como WormGPT, FraudGPT y BruteForceAI.

Check Point, por su parte, describió que las operaciones de ransomware se volvieron más fragmentadas y dirigidas, con mayor uso de extorsión basada solo en datos, tácticas más personalizadas y ciclos de ataque y negociación más cortos apoyados por automatización e IA.

Esto explica por qué muchas brechas “se sienten” peores. El impacto ya no se mide solamente por cuánto tiempo estuvo caído un sistema. También importa si se robaron datos, si se filtró información de clientes, si hubo interrupción operativa, si se comprometió un proveedor o si la empresa tuvo que gestionar comunicación pública, cumplimiento y confianza al mismo tiempo.

La cuarta pista: el perímetro de la empresa ya no es tan claro

Durante mucho tiempo, muchas empresas pensaban en la seguridad como una defensa alrededor de sus propios sistemas. Hoy, ese modelo es insuficiente. Las organizaciones dependen de plataformas cloud, aplicaciones SaaS, integraciones con terceros, APIs, proveedores tecnológicos, dispositivos remotos, identidades federadas y herramientas colaborativas.

IBM señaló que los compromisos de cadena de suministro y terceros aumentaron marcadamente en los últimos cinco años, con incidentes que se cuadruplicaron según el informe X-Force discutido por IBM. IBM también reportó que X-Force observó un aumento interanual del 44% en la explotación de aplicaciones públicas, y explicó que estas aplicaciones suelen ser explotadas por vulnerabilidades, errores de despliegue o configuraciones incorrectas.

Este punto es especialmente relevante para empresas que están modernizando su operación digital. La nube, la conectividad y las plataformas externas ofrecen enormes ventajas, pero también amplían la superficie de ataque si no se gestionan con visibilidad, control de identidad, configuración segura y monitoreo continuo.

La pregunta ya no es solamente “¿están seguros mis servidores?” También hay que preguntar: ¿sé qué activos tengo expuestos?, ¿qué proveedores tienen acceso a mis datos?, ¿qué identidades tienen privilegios excesivos?, ¿qué aplicaciones públicas están desactualizadas?, ¿qué herramientas de IA están usando mis equipos sin supervisión?

Entonces, ¿es coincidencia o causalidad?

No parece ser una simple coincidencia. Pero tampoco hay una sola causa.

Lo que estamos viendo es una convergencia: los atacantes se mueven más rápido, las vulnerabilidades se explotan con mayor urgencia, la IA reduce fricción en partes del ataque, y el ransomware funciona como una industria. Las empresas dependen de ecosistemas digitales más complejos y muchas organizaciones todavía intentan responder con procesos pensados para un ritmo más lento.

La mejor explicación no es que “los protocolos de ciberseguridad están empeorando”. De hecho, muchas prácticas de seguridad han mejorado. Hay más adopción de MFA, más conciencia sobre phishing, más soluciones de monitoreo, más servicios gestionados y más conversación ejecutiva sobre riesgo cibernético.

El problema es que el estándar mínimo subió. Lo que antes era una defensa aceptable puede quedarse corto frente a atacantes que automatizan, escalan y explotan oportunidades en cuestión de horas.

Qué deberían hacer las empresas

La respuesta no es entrar en pánico ni comprar tecnología sin estrategia. La respuesta es volver a los fundamentos, pero ejecutarlos con más disciplina y continuidad.

Primero, las empresas necesitan visibilidad real de sus activos. No se puede proteger lo que no se conoce. Esto incluye servidores, endpoints, aplicaciones cloud, usuarios, dispositivos, proveedores, integraciones y sistemas expuestos a internet.

Segundo, la gestión de vulnerabilidades debe ser más dinámica. No basta con escanear ocasionalmente. Hay que priorizar según exposición, criticidad, probabilidad de explotación e impacto operativo. Si una vulnerabilidad ya está siendo explotada activamente, el reloj corre más rápido.

Tercero, la identidad debe tratarse como un perímetro central. MFA resistente al phishing, principio de mínimo privilegio, monitoreo de comportamientos anómalos y revisión de accesos privilegiados son piezas esenciales en un entorno donde los atacantes buscan credenciales y sesiones válidas.

Cuarto, la nube y los proveedores deben entrar en la conversación de riesgo. La seguridad ya no termina en la infraestructura propia. Cada integración, API, cuenta de servicio o proveedor con acceso puede convertirse en una ruta indirecta hacia la organización.

Quinto, la detección y respuesta deben estar preparadas para velocidad. Si el atacante se mueve en minutos, la defensa no puede depender exclusivamente de revisiones manuales, alertas aisladas o procesos que nadie practica hasta que ocurre un incidente.

Una oportunidad para madurar, no solo para reaccionar

La conclusión más importante es que el aumento de brechas no debe leerse únicamente como una señal de fracaso. También es una señal de transición. Las empresas están operando en un mundo más digital, más conectado y más dependiente de la confianza tecnológica. Eso exige una ciberseguridad menos reactiva y más estratégica.

Para organizaciones en Panamá y en cualquier mercado conectado globalmente, este tema no es lejano. Las mismas plataformas cloud, los mismos proveedores SaaS, las mismas amenazas de ransomware y las mismas campañas de phishing que afectan a grandes empresas internacionales también pueden impactar a negocios locales, proveedores regionales y compañías en crecimiento.

La pregunta no es si una empresa será “interesante” para los atacantes. La pregunta es si tiene suficiente visibilidad, preparación y capacidad de respuesta para reducir el riesgo antes de que un incidente se convierta en una crisis.

En Shadwell, creemos que la ciberseguridad moderna no se trata solamente de bloquear amenazas. Se trata de construir resiliencia: entender el entorno, proteger los activos críticos, anticipar riesgos, responder con rapidez y mantener la confianza de clientes, socios y usuarios.

Los ciberataques no necesariamente están empeorando por una sola razón. Están evolucionando porque el mundo digital también evolucionó. Y en ese nuevo escenario, las empresas que traten la seguridad como un proyecto ocasional quedarán en desventaja frente a atacantes que operan de forma continua.

La buena noticia es que todavía hay margen para actuar. Pero la acción debe ser constante, medible y alineada al negocio. Porque en ciberseguridad, la diferencia entre correlación y causalidad puede ser interesante para debatir; pero la diferencia entre preparación y reacción puede definir el futuro de una empresa

Fuentes

https://www.verizon.com/business/resources/T15a/reports/2026-dbir-data-breach-investigations-report.pdf

https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2026/fortinet-2026-global-threat-landscape-report-reveals-surge-in-ai-enabled-cybercrime-increase-ransomware-victims-year-over-year

https://research.checkpoint.com/2026/cyber-security-report-2026/

https://www.crowdstrike.com/en-us/press-releases/2026-crowdstrike-global-threat-report/

https://www.ibm.com/think/insights/more-2026-cyberthreat-trends

Herrington – Strategic process for your profits The most optimal consulting solution.