¿El ransomware y el cifrado siguen siendo las señales definitorias de los ciberataques modernos, o la industria ha estado demasiado obsesionada con el ruido y ha pasado por alto un cambio más peligroso que se está produciendo silenciosamente a su alrededor?
Según el nuevo Informe Rojo 2026 de Picus Labs, que analizó más de 1,1 millones de archivos maliciosos y mapeó 15,5 millones de acciones adversas observadas en 2025, los atacantes ya no están optimizando las interrupciones. En cambio, su objetivo ahora es el acceso invisible a largo plazo.
Para ser claros, el ransomware no va a ninguna parte y los adversarios continúan innovando. Pero los datos muestran un claro giro estratégico que se aleja de los ataques ruidosos y destructivos hacia técnicas diseñadas para evadir la detección, persistir dentro de los entornos y explotar silenciosamente la identidad y la infraestructura confiable. En lugar de irrumpir y quemar sistemas, los atacantes actuales se comportan cada vez más como parásitos digitales. Viven dentro del host, se alimentan de credenciales y servicios y permanecen sin ser detectados el mayor tiempo posible.
La atención del público a menudo gravita hacia los apagones dramáticos y el impacto visible. Los datos del Informe Rojo de este año cuentan una historia más tranquila, que revela dónde están perdiendo visibilidad los defensores.
La señal de ransomware se está desvaneciendo
Durante la última década, el cifrado de ransomware sirvió como la señal más clara de riesgo cibernético. Cuando sus sistemas se bloquearon y sus operaciones se congelaron, el compromiso era innegable.
Esa señal ahora está perdiendo relevancia. Año tras año, Data Encrypted for Impact (T1486) cayó un 38 %, pasando del 21,00 % en 2024 al 12,94 % en 2025. Esta disminución no muestra una capacidad reducida de los atacantes. Más bien refleja un cambio deliberado de estrategia.
En lugar de bloquear datos para forzar el pago, los actores de amenazas están cambiando hacia la extorsión de datos como su principal modelo de monetización. Al evitar el cifrado, los atacantes mantienen los sistemas operativos mientras:
- Extraiga silenciosamente datos confidenciales
- Cosechar credenciales y tokens
- Permanecer incrustado en entornos durante períodos prolongados.
- Aplicar presión más tarde a través de la extorsión en lugar de la interrupción.
La implicación es clara: el impacto ya no se define por los sistemas bloqueados, sino por cuánto tiempo los atacantes pueden mantener el acceso dentro de los sistemas de un host sin ser detectados.
«El modelo de negocio del adversario ha pasado de una interrupción inmediata a un acceso de larga duración». – Informe Pico Rojo 2026
El robo de credenciales se convierte en el plano de control (una cuarta parte de los ataques)
A medida que los atacantes adoptan una persistencia prolongada y sigilosa, la identidad se convierte en el camino más confiable para lograr el control.
El Informe Rojo 2026 muestra que las Credenciales de Almacenes de Contraseñas (T1555) aparecen en casi uno de cada cuatro ataques (23,49%), lo que convierte al robo de credenciales en uno de los comportamientos más frecuentes observados durante el último año.
En lugar de depender de un ruidoso volcado de credenciales o de complejas cadenas de exploits, los atacantes extraen cada vez más las credenciales guardadas directamente de navegadores, llaveros y administradores de contraseñas. Una vez que tienen credenciales válidas, la escalada de privilegios y el movimiento lateral suelen estar a solo una pequeña herramienta administrativa nativa de distancia.
Cada vez más campañas de malware modernas se comportan como parásitos digitales. No hay alarmas, fallos ni indicadores obvios. Sólo un silencio inquietante.
Esta misma lógica ahora da forma a la estrategia de los atacantes de manera más amplia.
El 80% de las principales técnicas de ATT&CK ahora favorecen el sigilo
A pesar de la amplitud del marco MITRE ATT&CK®, la actividad de malware en el mundo real continúa concentrándose en un pequeño conjunto de técnicas que priorizan cada vez más la evasión y la persistencia.
El Informe Rojo 2026 revela un marcado desequilibrio: ocho de las diez técnicas principales de MITRE ATT&CK ahora se dedican principalmente a la evasión, la persistencia o el comando y control sigiloso. Esto representa la mayor concentración de habilidades comerciales centradas en el sigilo que Picus Labs haya registrado jamás, lo que indica un cambio fundamental en las métricas de éxito de los atacantes.
En lugar de priorizar el impacto inmediato, los adversarios modernos están optimizando el tiempo de permanencia máximo. Las técnicas que permiten a los atacantes ocultarse, mezclarse y permanecer operativos durante períodos prolongados ahora superan a las diseñadas para causar disrupción.
Estos son algunos de los comportamientos más comúnmente observados en el informe de este año:
- T1055: la inyección de procesos permite que el malware se ejecute dentro de procesos confiables del sistema, lo que dificulta distinguir la actividad maliciosa de la ejecución legítima.
- T1547: La ejecución de inicio automático de inicio o inicio de sesión garantiza la persistencia al sobrevivir a los reinicios y los inicios de sesión de los usuarios.
- T1071: los protocolos de capa de aplicación proporcionan «canales de susurro» para comando y control, combinando el tráfico de atacantes con las comunicaciones normales web y en la nube.
- T1497: Virtualización y Sandbox Evasion permite que el malware detecte entornos de análisis y se niegue a ejecutar cuando sospecha que está siendo observado.
El efecto combinado es poderoso. Los procesos que parecen legítimos utilizan herramientas legítimas para operar silenciosamente a través de canales ampliamente confiables. La detección basada en firmas tiene dificultades en este entorno, mientras que el análisis del comportamiento se vuelve cada vez más importante para identificar actividades ilícitas diseñadas deliberadamente para parecer normales.
Mientras que el cifrado alguna vez definió el ataque, el sigilo ahora define su éxito.
El malware consciente se niega a ser analizado
Cuando el sigilo se convierte en la principal medida del éxito, evadir la detección por sí solo ya no es suficiente. Los atacantes también deben evitar activar las herramientas en las que confían los defensores para observar su comportamiento malicioso en primer lugar. El Informe Rojo 2026 muestra esto claramente en el aumento de la virtualización y la evasión de sandbox (T1497), que pasó al nivel superior de las técnicas de ataque en 2025.
El malware moderno evalúa cada vez más dónde es antes de decidir si actuar. En lugar de depender de simples comprobaciones de artefactos, algunos ejemplos evalúan el contexto de ejecución y la interacción del usuario para determinar si realmente están operando en un entorno real.
En un ejemplo destacado en el informe, LummaC2 analizó los patrones de movimiento del mouse usando geometría, calculando la distancia euclidiana y los ángulos del cursor para distinguir la interacción humana del movimiento lineal típico de los entornos sandbox automatizados. Cuando las condiciones parecían artificiales, suprimió deliberadamente cualquier ejecución y simplemente se quedó allí sentado, esperando en silencio el momento oportuno.
Este comportamiento refleja un cambio más profundo en la lógica del atacante. Ya no se puede confiar en que el malware se revele en entornos sandbox. Retiene actividad por diseño, permaneciendo latente hasta llegar a un sistema de producción real.
En un ecosistema dominado por el sigilo y la persistencia, inacción misma Se ha convertido en una técnica de evasión central.
Exageración de la IA versus realidad: evolución, no revolución
Dado que los atacantes demuestran un comportamiento cada vez más adaptativo, es natural preguntarse dónde encaja la inteligencia artificial en esta imagen.
Los datos del Informe Rojo 2026 sugieren una respuesta mesurada. A pesar de la especulación generalizada, casi anticipación, En cuanto a la remodelación del panorama del malware por parte de la IA, Picus Labs no observó ningún aumento significativo en las técnicas de malware impulsadas por IA en el conjunto de datos de 2025.
En cambio, los comportamientos más frecuentes siguen siendo familiares. Técnicas de larga data como la inyección de procesos y el intérprete de comandos y secuencias de comandos continúan dominando las intrusiones en el mundo real, lo que refuerza el hecho de que los atacantes no necesitan IA avanzada para eludir las defensas modernas.
Algunas familias de malware han comenzado a experimentar con API de modelos de lenguajes grandes, pero hasta ahora su uso ha tenido un alcance limitado. En los casos observados, los servicios LLM se utilizaron principalmente para recuperar comandos predefinidos o actuar como una capa de comunicación conveniente. Estas implementaciones mejoran la eficiencia, pero no alteran fundamentalmente la lógica de ejecución o la toma de decisiones del atacante.
Hasta ahora, los datos muestran que la IA está siendo absorbido en oficios existentes en lugar de redefiniéndolo. La mecánica del parásito digital permanece sin cambios: robo de credenciales, persistencia sigilosa, abuso de procesos confiables y tiempos de permanencia cada vez más prolongados.
Los atacantes no ganan inventando técnicas radicalmente nuevas. Están ganando al volverse más tranquilos, más pacientes y cada vez más difíciles de distinguir de la actividad legítima.
Regreso a lo básico para un modelo de amenaza diferente
Después de realizar estos informes anualmente desde hace algún tiempo, vemos una tendencia continua en la que muchas de las mismas tácticas aparecen año tras año. Lo que ha cambiado fundamentalmente es el objetivo.
Los ataques modernos priorizan:
- permanecer invisible
- abusar de identidades y herramientas confiables
- desactivando defensas silenciosamente
- mantener el acceso a lo largo del tiempo
Al duplicar los fundamentos de seguridad modernos, la detección basada en el comportamiento, la higiene de credenciales y la validación continua de exposición a adversarios, las organizaciones pueden centrarse menos en escenarios de ataques dramáticos y más en las amenazas que realmente están teniendo éxito en la actualidad.
¿Listo para validar contra el parásito digital?
Si bien los titulares sobre ransomware siguen dominando el ciclo de noticias, el Informe Rojo 2026 muestra que, cada vez más, el riesgo real reside en un compromiso silencioso y persistente. Picus Security se centra en validar las defensas contra las técnicas específicas que los atacantes están utilizando en este momento, no sólo las que hacen más ruido.
¿Listo para ver todos los datos detrás del modelo Digital Parasite?
Descargue el Informe Picus Red 2026 para explorar los hallazgos de este año y comprender cómo los adversarios modernos permanecen dentro de las redes por más tiempo que nunca.
Nota: Este artículo fue escrito por Sıla Özeren Hacıoğlu, ingeniera de investigación de seguridad de Picus Security.