El escenario digital de 2026 se perfila más hostil, más automatizado y, en muchos frentes, más difícil de contener. Así lo anticipa ESET, que ha identificado cinco vectores de amenaza que marcarán el pulso de la ciberseguridad el próximo año. La compañía, con sede en la Unión Europea, alerta de una evolución del cibercrimen que no necesariamente pasa por técnicas nuevas, sino por una sofisticación creciente de métodos ya conocidos.
Según Josep Albors, director de Investigación y Concienciación de ESET España, el problema no está tanto en la innovación de los atacantes como en la persistencia de errores básicos en las defensas. “En 2026 veremos cómo técnicas conocidas continúan funcionando, pero ejecutadas a mayor escala y con mayor precisión y velocidad”, afirma. La automatización, la profesionalización del cibercrimen como servicio y la expansión de la inteligencia artificial están detrás de este salto cualitativo.
APT y ciberespionaje: cooperación entre actores estatales y criminales
Las amenazas persistentes avanzadas (APT) no solo no se reducen, sino que se diversifican. ESET prevé una intensificación de los ataques dirigidos a sectores estratégicos, con una colaboración más fluida entre grupos respaldados por estados y actores criminales. Rusia, China, Corea del Norte e Irán seguirán siendo focos de actividad. En el caso ruso, se espera una integración más estrecha entre estructuras estatales y grupos delictivos. Corea del Norte, por su parte, combinará espionaje con operaciones orientadas a la financiación ilícita, mientras que China continuará desarrollando exploits a través de su ecosistema tecnológico.
Este tipo de amenazas, que tradicionalmente han estado asociadas a objetivos militares o gubernamentales, están ampliando su alcance hacia sectores industriales, tecnológicos y de infraestructuras críticas. La atribución sigue siendo un reto, pero el patrón apunta a una consolidación de capacidades ofensivas en manos de actores con recursos y objetivos geopolíticos.
Credenciales robadas: un acceso barato y eficaz
Pese a las campañas de concienciación y las mejoras en autenticación, el robo y la reutilización de credenciales sigue siendo el punto de entrada más rentable para los atacantes. La proliferación de infostealers, incluso tras operaciones policiales internacionales, mantiene activo un mercado subterráneo de acceso inicial. Técnicas como ClickFix, que inducen al usuario a ejecutar comandos maliciosos de forma manual, están ganando tracción.
El problema no es nuevo, pero sí persistente. Las credenciales obtenidas en brechas anteriores alimentan ataques posteriores, incluyendo campañas de ransomware. La falta de rotación de contraseñas y la escasa adopción de autenticación multifactor siguen siendo puntos débiles. En este contexto, el acceso inicial se convierte en una mercancía que se compra, se vende y se reutiliza con facilidad.
Ransomware: más volumen, más velocidad
El ransomware, lejos de estabilizarse, se expande. ESET anticipa un crecimiento tanto en volumen como en sofisticación, impulsado por el modelo RaaS (Ransomware-as-a-Service). Este modelo permite a actores con escasos conocimientos técnicos lanzar ataques complejos alquilando herramientas ya desarrolladas. La profesionalización del ecosistema criminal reduce las barreras de entrada y multiplica los vectores de ataque.
Aunque algunas familias conocidas podrían perder protagonismo, otras nuevas ocuparán su lugar. El uso de IA para personalizar campañas, automatizar la distribución y optimizar la negociación con las víctimas acelera el ciclo de ataque. El resultado es una amenaza más ágil, más difícil de contener y con un impacto económico creciente.
Inteligencia artificial: doble filo para atacantes y defensores
La IA será, al mismo tiempo, una herramienta de ataque y de defensa. Por un lado, los atacantes la utilizarán para generar contenidos más creíbles, desde correos de phishing hasta deepfakes de voz e imagen. También facilitará la creación de malware adaptativo y la automatización de campañas de fraude. Por otro, los defensores podrán aprovecharla para detectar patrones anómalos, correlacionar eventos y reducir los tiempos de respuesta.
El problema, según ESET, es que muchas organizaciones están desplegando agentes de IA sin una evaluación previa de riesgos. Esto amplía la superficie de ataque, especialmente en la cadena de suministro digital. La velocidad con la que se integran estas tecnologías supera, en muchos casos, la capacidad de auditar su seguridad. Y eso abre la puerta a nuevos vectores de intrusión.
Android y NFC: el móvil como vector de fraude
El ecosistema Android seguirá siendo un objetivo prioritario. ESET ha detectado un aumento del 78% en campañas de malware basadas en NFC durante la segunda mitad de 2025. Familias como NGate, PhantomCard o RatON están expandiéndose y podrían llegar a España en los próximos meses. Estas amenazas aprovechan tecnologías de pago y comunicación de corto alcance para robar datos sensibles y facilitar fraudes financieros.
La combinación de movilidad, conectividad y escasa supervisión convierte a los dispositivos móviles en un eslabón débil. Las campañas ya no se limitan a apps maliciosas, sino que explotan funciones legítimas del sistema operativo para camuflar su actividad. El resultado es un entorno donde la detección se complica y el impacto económico puede ser inmediato.
Un riesgo estructural más que puntual
Más allá de las técnicas concretas, lo que subyace es un cambio estructural en el equilibrio entre atacantes y defensores. La profesionalización del cibercrimen, la automatización de procesos y la integración de IA están reduciendo los costes de ataque y aumentando su eficacia. Mientras tanto, muchas organizaciones siguen sin cubrir los básicos: gestión de credenciales, segmentación de redes, formación del personal.
La previsión de ESET no apunta a una amenaza puntual, sino a una transformación sostenida del riesgo digital. La velocidad y la escala de los ataques seguirán aumentando. Y aunque la tecnología defensiva también evoluciona, el margen de error se estrecha. La prevención, más que nunca, deja de ser una opción para convertirse en una necesidad operativa.
