La evolución del cibercrimen está transformando la manera en que se ejecutan los ataques y se concibe la defensa cibernética. Según el primer Threat Intel Report de 2026 publicado por Cloudflare, los actores estatales y ciberdelincuentes han modificado sus tácticas. Abandonando los asaltos directos a los sistemas, ahora adoptan una estrategia más astuta: hacerse pasar por usuarios legítimos. Este enfoque, que redefine el concepto de ciberataque, aprovecha la identidad como una nueva y vulnerable superficie de ataque.
El equipo de investigación Cloudforce One, en colaboración con la red global de Cloudflare, ha identificado un cambio en la naturaleza de estos ciberataques modernos. Además de los ataques DDoS con un alcance sin precedentes, se observa un uso intensivo de modelos de lenguaje (LLM) para explotar vulnerabilidades y llevar a cabo tareas de reconocimiento, así como una dependencia renovada en métodos tradicionales, como el phishing a través del correo electrónico, para obtener credenciales.
El informe revela que Cloudflare bloquea diariamente una media de 230.000 millones de amenazas, remarcando que el desafío actual es tanto cuantitativo como cualitativo. Con la inteligencia artificial (IA) reduciendo las barreras de entrada para los atacantes, estos logran moverse más rápido que nunca. La defensa, entonces, no solo se basa en impedir el acceso, sino en verificar constantemente la legitimidad de quienes ya lo tienen.
Una de las conclusiones más inquietantes del informe radica en el uso de la IA para democratizar el cibercrimen, facilitando operaciones que antes requerían especialización. Los atacantes emplean LLM para mapear redes en tiempo real, desarrollar exploits, generar deepfakes hiperrealistas y comprometer entornos corporativos de alto volumen, como aplicaciones SaaS, evidenciando que la IA está aumentando la accesibilidad a ataques complejos.
Un notable cambio de estrategia ha sido identificado en actores ligados a China, que han dejado de lado las campañas indiscriminadas para centrarse en objetivos de alto valor estratégico, como las telecomunicaciones en América del Norte y entidades gubernamentales. Esta táctica implica un «posicionamiento previo persistente», dejando atrás la simple exfiltración de datos para amenazar infraestructuras críticas.
Asimismo, operativos asociados con Corea del Norte han sido detectados infiltrándose en empresas occidentales, utilizando deepfakes e identidades fraudulentas para insertarse como empleados reales. Esta estrategia supone un riesgo significativo, ya que los intrusos operan con credenciales genuinas, lo que obliga a replantear las estrategias de seguridad tradicionales.
La magnitud de los ataques DDoS también ha alcanzado niveles abrumadores. Botnets como Aisuru operan a una escala considerada «de nivel estatal», con ataques récord de hasta 31,4 Tbps. Esto sobrepasa la capacidad de respuesta manual, demandando soluciones de defensa autónomas, basadas en telemetría y automatización en tiempo real.
Matthew Prince, CEO de Cloudflare, destaca la importancia de la inteligencia de amenazas en tiempo real para mantener la ventaja sobre los atacantes, enfatizando que compartir visibilidad puede nivelar la balanza a favor de los defensores. Blake Darché, a cargo de la inteligencia de amenazas en Cloudforce One, añade que la seguridad ya no es una cuestión de construir muros, sino de evitar suplantaciones.
En resumen, el informe del Threat Intel Report 2026 pinta un panorama donde la ciberseguridad tradicional de perímetros se ve superada por la necesidad de defender la identidad como nuevo campo de batalla. Cuando los atacantes se hacen pasar por usuarios legítimos, la defensa se centra en pruebas continuas de legitimidad, telemetría avanzada y automatización, adaptándose a una realidad donde las credenciales pueden ser tanto un escudo como una espada.
