A medida que las empresas aceleran la adopción de inteligencia artificial y automatización, el debate sobre ciberseguridad en 2026 se aleja de los titulares apocalípticos para centrarse en riesgos más estructurales. La narrativa dominante, alimentada por la idea de un malware autónomo generado por IA, contrasta con una realidad menos espectacular pero más persistente: la falta de gobernanza tecnológica, la profesionalización del ransomware como servicio (RaaS) y la expansión silenciosa de herramientas legítimas utilizadas con fines maliciosos.
Según Martin Zugec, director de Soluciones Técnicas de Bitdefender, el verdadero desafío no está en los ataques de ciencia ficción, sino en la adopción desordenada de tecnologías avanzadas por parte de organizaciones que aún no han madurado sus políticas de seguridad. “El mayor peligro para la seguridad de las empresas en 2026 será la falta de gobernanza de la IA”, advierte Zugec. Una afirmación que cobra peso si se considera que, según algunos estudios, el 88 % de los empleados ya utiliza alguna forma de IA, aunque solo el 5 % lo hace de forma estratégica.
Esta brecha entre uso y control se agrava con la adopción acelerada del Protocolo de Contexto de Modelo (MCP), un estándar abierto diseñado para facilitar la interoperabilidad entre modelos de lenguaje y sistemas externos. MCP prioriza la funcionalidad, no la seguridad, lo que lo convierte en un vector de riesgo si se implementa sin medidas de protección adecuadas. El problema no es solo técnico, sino organizativo: la descentralización del uso de IA dentro de las empresas dificulta la aplicación de políticas coherentes.
En paralelo, la idea de un malware generado por IA que revolucione el panorama de amenazas sigue siendo más una construcción mediática que una realidad operativa. Las capacidades que se presentan como novedosas —como el polimorfismo o la evasión de firmas— existen desde hace décadas. Lo que cambia es la accesibilidad: los modelos de lenguaje grandes (LLM) permiten a actores menos sofisticados reempaquetar código malicioso con mayor facilidad y en múltiples lenguajes, como Rust o Golang.
Esta capacidad tiene implicaciones concretas. Por un lado, dificulta la atribución de ataques, ya que desaparecen las huellas de estilo que antes permitían identificar a los autores. Por otro, eleva el nivel medio del malware, lo que podría reducir la eficacia de los descifradores de ransomware que dependen de errores básicos de implementación. En este sentido, la IA no crea amenazas nuevas, pero sí contribuye a hacer más eficientes las existentes.
La hipótesis de un malware completamente orquestado por IA también genera escepticismo entre los profesionales de seguridad. Las pruebas de concepto existen, pero su aplicación práctica es limitada. La ejecución de los LLM sigue siendo frágil y no determinista, lo que dificulta su uso en operaciones que requieren precisión y sigilo. “El hackeo exitoso minimiza los pasos observables”, recuerda Zugec. La actividad excesiva es fácilmente detectable por sistemas EDR o XDR, por lo que los atacantes de alto nivel siguen optando por técnicas discretas como los ataques sin archivos (Living Off the Land, LOTL).
Donde sí se observa una evolución sostenida es en el ecosistema del ransomware como servicio. Lejos de desaparecer, el modelo RaaS se ha consolidado como una estructura criminal racional y orientada al beneficio. La sofisticación no reside en el código, sino en la eficiencia operativa: rapidez, fiabilidad y simplicidad en la ejecución. Esta lógica empresarial permite a los grupos de RaaS generar ingresos constantes y escalar su actividad sin necesidad de innovaciones disruptivas.
En 2026, se espera que esta tendencia continúe. Los actores de amenazas seguirán afinando sus técnicas: desde el uso de phishing potenciado por IA hasta la explotación de vulnerabilidades en dispositivos perimetrales, pasando por ataques a la cadena de suministro y operaciones sin malware. El uso de lenguajes como Rust o Golang para escribir cifradores multiplataforma se está convirtiendo en una práctica común, lo que complica el análisis y la respuesta por parte de los defensores.
Una de las estrategias más preocupantes es el desplazamiento hacia ataques dirigidos a la infraestructura, especialmente a nivel de hipervisor. Este enfoque evita el cifrado masivo de endpoints y apunta directamente al corazón de los entornos virtualizados. Si esta tendencia se consolida, podría obligar a los proveedores de virtualización a replantear aspectos fundamentales de su arquitectura de seguridad.
Ante este panorama, las recomendaciones de Bitdefender insisten en reforzar los fundamentos. Priorizar medidas básicas de seguridad sobre soluciones de moda, mantener la calma frente al ruido mediático y adoptar una estrategia de prevención sólida son pasos esenciales. Las herramientas avanzadas no compensan una base débil. La detección basada en comportamiento, por ejemplo, gana relevancia frente a las firmas estáticas, especialmente cuando el malware se vuelve más derivado y menos identificable.
Otra recomendación apunta a un cambio de mentalidad: asumir la perspectiva de un “administrador malicioso”. Muchas prácticas de IT están diseñadas para prevenir errores, no actos deliberados de sabotaje. Si un atacante obtiene privilegios de administrador, las defensas tradicionales pueden resultar ineficaces. Evaluar los controles de seguridad desde esta óptica puede revelar vulnerabilidades ocultas.
Por último, se propone romper la previsibilidad del entorno. Los grupos de ransomware se apoyan en rutinas estandarizadas. Introducir elementos de imprevisibilidad en la red puede dificultar su operativa y aumentar el coste de los ataques. No se trata de eliminar el riesgo, sino de hacerlo menos rentable.
En contraste con el discurso dominante, 2026 no será el año del malware autónomo ni de la IA descontrolada. Será, más bien, un año en el que las amenazas tradicionales se perfeccionan y se adaptan, mientras las organizaciones siguen lidiando con los mismos dilemas estructurales: gobernanza, visibilidad y resiliencia. La diferencia estará en quién haya hecho los deberes antes de que el próximo ataque llegue sin previo aviso.
