Siete tendencias para enfrentar el panorama post-malware

1. Los ataques autónomos impulsados por IA impulsan el surgimiento del ‘Predator Swarm’

Los cibercriminales adoptarán agentes autónomos de IA, capaces de ejecutar miles de acciones simultáneas para comprometer las redes de sus víctimas, tales como la generación de 10.000 correos de phishing personalizados por segundo, la creación de exploits de día cero en tiempo real, e incluso desplegar ransomware en miles de dispositivos en menos de un minuto. Este nuevo paradigma, denominado ‘Predator Swarm’, combinará automatización, ingeniería social con deepfakes y explotación masiva de puntos ciegos en la red, todo sin intervención humana.

2. El panorama post-malware traerá técnicas de Living-Off-the-Land

La mayoría de las intrusiones en 2026 ya no utilizarán malware tradicional. En lugar de eso, los atacantes incrementarán exponencialmente el abuso de relaciones de confianza y el uso de herramientas legítimas de los sistemas operativos como PowerShell, WMI, Python o soluciones de acceso remoto (RMM, Remote Management and Monitoring), combinadas con cadenas de comandos generadas por IA para ejecutar actividades maliciosas sin ser detectados.

También recurrirán al cifrado abusivo y al polimorfismo impulsado por IA (modificación constante de código para evitar detección), y usarán frameworks de comando y control basados en IA (AI-C2) que se adaptan dinámicamente al entorno. Además, los modelos de lenguaje de IA (LLM) entrenados con datos corporativos permitirán que los bots atacantes ajusten su comportamiento según la víctima.

3. La nueva capa de verdad, o la correlación entre red, identidad y metadatos

Con la desaparición del malware clásico y el auge de las técnicas de “Living-Off-the-Land”, las soluciones tradicionales de seguridad en terminales (EDR o Endpoint Detection and Response) ya no serán suficientes. La ilusión de contar con dispositivos “limpios” e identidades “seguras” será cada vez menos.

En este contexto, asumir que ya hay un compromiso activo será más importante que nunca. La única forma de identificar comportamientos maliciosos será mediante la correlación de comportamientos de red, patrones de identidad y metadatos, que juntos conforman la nueva “Truth Layer” o capa de verdad, capaz de analizar el contexto e inferir intención maliciosa, aunque a simple vista la actividad de red parezca legítima al ser analizada por separado.

4. Los agentes de IA asumen las operaciones rutinarias de seguridad, con humanos supervisando

El centro de operaciones de seguridad (Security Operations Center o SOC), tal como lo conocemos, empezará a desaparecer. Los agentes de IA serán los encargados de clasificar alertas, correlacionar señales y ejecutar respuestas más rápido y preciso que los analistas humanos.

Las organizaciones migrarán hacia operaciones autónomas, distribuidas y orientadas a resultados, donde la supervisión humana se centrará en validar, monitorear y ajustar las acciones de los agentes de IA, en lugar de ejecutar cada tarea manualmente.

“En este nuevo modelo, el papel humano cambiará de funciones operativas (in the loop) a funciones de supervisión y definición de estrategias (on the loop), donde las personas monitorean, validan y ajustan la actuación de los agentes de IA en lugar de ejecutar cada tarea manualmente”, explica Villadiego.

5. El ecosistema MCP será la próxima frontera de los compromisos en la cadena de suministro

El ecosistema Model-Context-Protocol (MCP), que integra clientes, conectores, parsers y capas de orquestación, se convertirá en un objetivo clave para ataques sofisticados a la cadena de suministro. En lugar de atacar una sola organización, los atacantes buscarán explotar vulnerabilidades dentro de este ecosistema compartido, comprometiendo múltiples empresas al mismo tiempo.

Un ejemplo es el “Connector Supply-Chain Compromise”, donde un único componente puede infectar todos los modelos y aplicaciones que dependen de él, multiplicando exponencialmente el impacto del ataque.

6. La guerra del mercado del ransomware y la aparición del G-RaaS

El ecosistema de ransomware se consolidará en una guerra de mercado, donde bandas o grupos poderosos competirán por afiliados y víctimas de alto valor, ofrecerán plataformas de interacción con sus afiliados y víctimas, le darán foco a mantener la reputación de su “marca” y desarrollarán nuevas estrategias de extorsión multivector.

Esta dinámica también tendrá un componente geopolítico: algunas plataformas podrían alinearse con intereses estatales bajo presión de reguladores o sanciones. Así surgirán los ecosistemas de Geopolitical-RaaS (G-RaaS  o ransomware como servicio geopolítico), en los cuales los ataques persiguen lucro económico y objetivos nacionales, difuminando la línea entre cibercrimen y guerra digital asimétrica.

7. ‘OAuth Worm’ surgirá como nueva amenaza para empresas nativas SaaS

Los atacantes empezarán a usar la red de autorizaciones confiables entre aplicaciones en la nube para lanzar “SaaS-to-SaaS OAuth Worms”, que pueden moverse entre Microsoft 365, Google Workspace, Slack y Salesforce. Este tipo de ataque elude todas las defensas tradicionales, ya que no necesita contraseñas robadas ni notificaciones de autenticación multifactor (MFA). Basta con engañar a un usuario para que otorgue permisos amplios a una “helper app” maliciosa, que luego puede leer contactos, replicarse y exfiltrar datos a gran escala.

Con la creciente conciencia de que la superficie de ataque incluye no solo usuarios y dispositivos, sino también la interacción entre aplicaciones, la gobernanza del consentimiento (Consent Governance) se volverá una categoría de seguridad obligatoria y un rubro innegociable dentro del presupuesto corporativo.

“Ya no debatimos si ocurrirá una intrusión, sino que operamos bajo la dura verdad de que ya ha ocurrido. Ya no se puede construir defensas para reaccionar a ataques, sino que todo el sistema debe diseñarse para proporcionar resiliencia y respuestas eficientes cuando los ataques inevitablemente ocurran”, concluye el fundador y CEO de Lumu Technologies.