¿Siguen siendo el ransomware y el cifrado las señales definitorias de los ciberataques modernos, o la industria se ha obsesionado con el ruido mientras pasa por alto un cambio más peligroso que ocurre silenciosamente a su alrededor?
Según el nuevo Red Report 2026 de Picus Labs, que analizó más de 1,1 millones de archivos maliciosos y mapeó 15,5 millones de acciones adversarias observadas durante 2025, los atacantes ya no optimizan para la disrupción. En cambio, su objetivo es ahora el acceso invisible a largo plazo.
Para ser claros, el ransomware no desaparece y los adversarios continúan innovando. Pero los datos muestran un claro giro estratégico, alejándose de ataques ruidosos y destructivos hacia técnicas diseñadas para evadir la detección, persistir dentro de los entornos y explotar silenciosamente la identidad y la infraestructura de confianza. En lugar de irrumpir y destruir sistemas, los atacantes de hoy se comportan cada vez más como parásitos digitales. Viven dentro del anfitrión, se alimentan de credenciales y servicios, y permanecen sin ser detectados el mayor tiempo posible.
La atención pública a menudo se dirige a interrupciones dramáticas e impactos visibles. Los datos de este año en el Red Report cuentan una historia más silenciosa, una que revela dónde los defensores están perdiendo visibilidad.
La señal del ransomware se desvanece
Durante la última década, el cifrado del ransomware sirvió como la señal más clara de riesgo cibernético. Cuando tus sistemas se bloqueaban y tus operaciones se congelaban, el compromiso era innegable. Esa señal ahora está perdiendo relevancia. Año tras año, Data Encrypted for Impact (T1486) cayó un 38%, pasando del 21,00% en 2024 al 12,94% en 2025. Este descenso no muestra una capacidad reducida del atacante. Refleja un cambio deliberado en la estrategia. En lugar de bloquear datos para forzar el pago, los actores de amenazas se están desplazando hacia la extorsión de datos como su principal modelo de monetización. Al evitar el cifrado, los atacantes mantienen los sistemas operativos mientras: exfiltran silenciosamente datos sensibles, roban credenciales y tokens, permanecen integrados en los entornos durante períodos prolongados, y aplican presión más tarde mediante extorsión en lugar de disrupción. La implicación es clara: el impacto ya no se define por sistemas bloqueados, sino por cuánto tiempo los atacantes pueden mantener el acceso dentro de los sistemas de un anfitrión sin ser detectados.
"El modelo de negocio del adversario ha pasado de la disrupción inmediata al acceso de larga duración." – Picus Red Report 2026
El robo de credenciales se convierte en el plano de control (un cuarto de los ataques)
A medida que los atacantes se desplazan hacia la persistencia prolongada y sigilosa, la identidad se convierte en el camino más confiable hacia el control. El Red Report 2026 muestra que Credentials from Password Stores (T1555) aparece en casi uno de cada cuatro ataques (23,49%), lo que convierte el robo de credenciales en uno de los comportamientos más prevalentes observados durante el último año. En lugar de confiar en volcados de credenciales ruidosos o cadenas de explotación complejas, los atacantes extraen cada vez más credenciales guardadas directamente de navegadores, llaveros y gestores de contraseñas. Una vez que tienen credenciales válidas, la escalada de privilegios y el movimiento lateral suelen estar a solo una herramienta administrativa nativa de distancia. Cada vez más, las campañas modernas de malware se comportan como parásitos digitales. No hay alarmas, ni fallos, ni indicadores obvios. Solo un silencio inquietante. Esta misma lógica ahora da forma al arte del atacante en general.
El 80% de las principales técnicas ATT&CK ahora favorecen el sigilo
A pesar de la amplitud del marco MITRE ATT&CK®, la actividad real de malware continúa concentrándose en un pequeño conjunto de técnicas que priorizan cada vez más la evasión y la persistencia. El Red Report 2026 revela un marcado desequilibrio: ocho de las diez principales técnicas de MITRE ATT&CK ahora están dedicadas principalmente a la evasión, la persistencia o el comando y control sigiloso. Esta es la concentración más alta de tácticas centradas en el sigilo que Picus Labs haya registrado, lo que señala un cambio fundamental en las métricas de éxito de los atacantes. En lugar de priorizar el impacto inmediato, los adversarios modernos optimizan para maximizar el tiempo de permanencia. Las técnicas que permiten a los atacantes esconderse, mezclarse y permanecer operativos durante períodos prolongados ahora superan a las diseñadas para la disrupción. Estos son algunos de los comportamientos más comúnmente observados en el informe de este año: T1055 – Process Injection permite que el malware se ejecute dentro de procesos del sistema de confianza, haciendo que la actividad maliciosa sea difícil de distinguir de la ejecución legítima. T1547 – Boot or Logon Autostart Execution asegura la persistencia al sobrevivir a reinicios e inicios de sesión. T1071 – Application Layer Protocols proporciona "canales susurrantes" para el comando y control, mezclando el tráfico del atacante con las comunicaciones normales de web y nube. T1497 – Virtualization and Sandbox Evasion permite que el malware detecte entornos de análisis y se niegue a ejecutarse cuando sospecha que está siendo observado. El efecto combinado es poderoso. Procesos de apariencia legítima utilizan herramientas legítimas para operar silenciosamente a través de canales ampliamente confiables. La detección basada en firmas lucha en este entorno, mientras que el análisis de comportamiento se vuelve cada vez más importante para identificar actividad ilícita diseñada deliberadamente para parecer normal. Donde el cifrado una vez definió el ataque, el sigilo ahora define su éxito.
El malware autoconsciente se niega a ser analizado
Cuando el sigilo se convierte en la principal medida de éxito, evadir la detección ya no es suficiente. Los atacantes también deben evitar activar las herramientas en las que los defensores confían para observar su comportamiento malicioso. El Red Report 2026 muestra esto claramente en el aumento de Virtualization and Sandbox Evasion (T1497), que se movió al nivel superior del arte del atacante en 2025. El malware moderno evalúa cada vez más dónde está antes de decidir si actuar. En lugar de depender de simples comprobaciones de artefactos, algunas muestras evalúan el contexto de ejecución y la interacción del usuario para determinar si realmente están operando en un entorno real. En un ejemplo destacado en el informe, LummaC2 analizó los patrones de movimiento del ratón utilizando geometría, calculando la distancia euclidiana y los ángulos del cursor para distinguir la interacción humana del movimiento lineal típico de los entornos automatizados de sandbox. Cuando las condiciones parecían artificiales, suprimía deliberadamente cualquier ejecución y simplemente se quedaba allí, esperando silenciosamente su momento. Este comportamiento refleja un cambio más profundo en la lógica del atacante. Ya no se puede confiar en que el malware se revele en entornos de sandbox. Retiene la actividad por diseño, permaneciendo inactivo hasta que llega a un sistema de producción real. En un ecosistema dominado por el sigilo y la persistencia, la inacción misma se ha convertido en una técnica central de evasión.
Exageración vs. realidad de la IA: evolución, no revolución
Dado que los atacantes demuestran un comportamiento cada vez más adaptativo, es natural preguntarse dónde encaja la inteligencia artificial en esta imagen. Los datos del Red Report 2026 sugieren una respuesta mesurada. A pesar de la especulación generalizada, casi anticipación, sobre que la IA remodelaría el panorama del malware, Picus Labs no observó un aumento significativo en las técnicas de malware impulsadas por IA en el conjunto de datos de 2025. En cambio, los comportamientos más prevalentes siguen siendo familiares. Técnicas de larga data como Process Injection y Command and Scripting Interpreter continúan dominando las intrusiones del mundo real, reforzando que los atacantes no requieren IA avanzada para eludir las defensas modernas. Algunas familias de malware han comenzado a experimentar con APIs de modelos de lenguaje grandes, pero hasta ahora su uso se ha mantenido limitado en alcance. En los casos observados, los servicios LLM se utilizaron principalmente para recuperar comandos predefinidos o actuar como una capa de comunicación conveniente. Estas implementaciones mejoran la eficiencia, pero no alteran fundamentalmente la toma de decisiones o la lógica de ejecución del atacante. Hasta ahora, los datos muestran que la IA está siendo absorbida por el arte existente en lugar de redefinirlo. La mecánica del parásito digital permanece sin cambios: robo de credenciales, persistencia sigilosa, abuso de procesos de confianza y tiempos de permanencia cada vez más largos. Los atacantes no están ganando inventando técnicas radicalmente nuevas. Están ganando al volverse más silenciosos, más pacientes y cada vez más difíciles de distinguir de la actividad legítima.
Volver a lo básico para un modelo de amenaza diferente
Habiendo realizado estos informes anualmente durante algún tiempo, vemos una tendencia continua con muchas de las mismas tácticas que aparecen año tras año. Lo que ha cambiado fundamentalmente es el objetivo. Los ataques modernos priorizan: permanecer invisibles, abusar de identidades y herramientas de confianza, desactivar defensas silenciosamente y mantener el acceso a lo largo del tiempo. Al reforzar los fundamentos modernos de seguridad, la detección basada en comportamiento, la higiene de credenciales y la validación continua de exposición adversaria, las organizaciones pueden centrarse menos en escenarios de ataque dramáticos y más en las amenazas que realmente están teniendo éxito hoy.
¿Listo para validar contra el parásito digital?
Mientras los titulares sobre ransomware siguen dominando el ciclo de noticias, el Red Report 2026 muestra que, cada vez más, el riesgo real reside en el compromiso silencioso y persistente. Picus Security se enfoca en validar las defensas contra las técnicas específicas que los atacantes están utilizando ahora, no solo las que hacen más ruido. ¿Listo para ver los datos completos detrás del modelo de parásito digital? Descarga el Picus Red Report 2026 para explorar los hallazgos de este año y entender cómo los adversarios modernos permanecen dentro de las redes por más tiempo que nunca. Nota: Este artículo fue escrito por Sıla Özeren Hacıoğlu, Ingeniera de Investigación en Seguridad en Picus Security.
