Los ciberdelincuentes se adaptan más rápido, tienen más presupuesto y no tienen que rendir cuentas ante un comité de dirección. Esa asimetría es el verdadero problema.
La semana pasada un cliente llamó a las 11 de la noche. Habían publicado un CVE crítico en una aplicación expuesta a internet ese mismo día. A las 2 de la madrugada ya tenían ransomware desplegado. No es un caso excepcional. Es lo que se está viendo cada mes.
Se llevan años hablando de la ciberseguridad como una carrera armamentística. Lo que los datos de 2026 confirman es que uno de los dos corredores lleva ventaja clara y la está ampliando. Según el CrowdStrike Global Threat Report 2026, los ataques protagonizados por adversarios que usan IA crecieron un 89% en el último año. El breakout time — el tiempo desde que el atacante entra hasta que se mueve lateralmente — se ha reducido a 29 minutos, un 65% más rápido que en 2024.
La razón no es tecnológica. Es estructural. Los atacantes no tienen que pedir permiso a nadie para adoptar una herramienta nueva. No hay comité de compras, no hay proceso de validación, no hay CISO que apruebe el gasto. Compran acceso a un modelo de IA, lo integran en su pipeline de ataque y están operativos en horas. Las organizaciones tardan meses en hacer lo mismo. Esa asimetría es el problema real, y todavía muy poca gente en los consejos de administración lo ha entendido.
La ventaja del atacante: velocidad, escala y bajo coste
El informe X-Force Threat Intelligence 2026 de IBM documenta un incremento del 44% en ataques que comienzan por la explotación de aplicaciones públicas, acelerado por herramientas de IA que identifican vulnerabilidades más rápido que cualquier equipo humano. Pero el dato que mejor ilustra la asimetría actual lo aporta Mandiant M-Trends 2026: el TTE (Time To Exploit, el tiempo medio desde que se publica una vulnerabilidad hasta que es explotada) es ya de −7 días, lo que significa que los exploits llegan de media una semana antes de que exista un parche disponible. Y una vez dentro, el tiempo de traspaso entre el atacante inicial y el grupo de ransomware se ha derrumbado a 22 segundos, frente a las más de 8 horas que tardaba en 2022.
Paralelamente, el umbral de entrada se ha derrumbado. Los grupos de ransomware como servicio (RaaS) permiten ejecutar ataques sofisticados sin conocimientos técnicos avanzados, y la IA generativa ha eliminado las barreras del idioma y la personalización. El informe State of AI Cybersecurity 2026 de Darktrace constata que el 87% de los responsables de seguridad afirma que la IA está aumentando significativamente el volumen de amenazas que requieren atención. No es percepción: es la consecuencia directa de que el coste marginal de lanzar un ataque se aproxima a cero.
Los vectores que mayor crecimiento están registrando en 2026:
Phishing hiper-personalizado generado por IA: el 50% de los líderes de seguridad lo señala como su mayor preocupación (Darktrace 2026). Es comprensible. Se han visto correos generados con IA que imitan el estilo de escritura del CEO con una precisión que engañaría a cualquiera. Ya no hay errores ortográficos, ya no hay frases raras. El filtro humano que existía ha desaparecido.
Deepfakes ejecutivos: el 59% de las organizaciones ha experimentado ataques basados en deepfakes en 2025-2026, según el Thales Data Threat Report 2026. El caso más documentado sigue siendo el fraude de 25 millones de dólares en Hong Kong (febrero 2024), donde todos los participantes de una videollamada eran suplantaciones generadas por IA.
Exploits zero-day automatizados: la IA permite a los atacantes desarrollar y desplegar exploits en cuestión de horas desde la divulgación de una vulnerabilidad, antes de que los equipos defensivos puedan reaccionar.
Ataques a la cadena de suministro de software: IBM X-Force registra un incremento de casi 4 veces en compromisos de cadena de suministro desde 2020, con la IA acelerando la identificación de puntos de entrada en entornos CI/CD.
El coste oculto: el agotamiento de los equipos DFIR
Hay una consecuencia del incremento de incidentes que rara vez aparece en los informes ejecutivos: el desgaste de los equipos de DFIR (Digital Forensics and Incident Response, los especialistas en análisis forense y respuesta a incidentes). Es el problema que más preocupa a medio plazo, y probablemente el menos visible para los consejos de administración.
Los datos son elocuentes. Según el informe State of Incident Management 2026, la carga operativa (toil) en equipos de seguridad creció un 30% en 2025, el primer incremento en cinco años, a pesar de las inversiones masivas en automatización con IA. El 76% de los responsables de SOC identifica el alert fatigue como su principal desafío, por encima incluso de la evolución de las amenazas. Y el 47% de los profesionales de riesgo y seguridad encuestados por Bitsight en 2025 reconocía niveles de burnout en sus equipos.
El mecanismo es sencillo: más ataques generan más alertas, más alertas generan más fatiga, la fatiga genera errores y rotación, y la rotación degrada la capacidad de respuesta precisamente cuando más se necesita. Es un círculo vicioso que la IA ofensiva está acelerando deliberadamente: inundar los sistemas de detección de ruido es una táctica, no un efecto secundario. Las organizaciones que no aborden este problema humano con la misma urgencia que los problemas técnicos tendrán una brecha de resiliencia estructural en los próximos 18-24 meses.
Cerrar la brecha: dónde deben enfocarse las organizaciones
Hay algo que no gusta escuchar: el problema de la mayoría de organizaciones no es que inviertan poco en ciberseguridad. Es que invierten mal. Acumulan herramientas que no usan, renuevan licencias de productos que nadie opera y luego no tienen presupuesto para lo que realmente importa — personas entrenadas y procesos que funcionen bajo presión. Desde Aliando se identifican consistentemente cinco áreas donde se decide si una organización aguanta o cae:
Parar de comprar herramientas y empezar a usarlas bien: la mayoría de organizaciones tiene capacidades de detección que no están configuradas, feeds de inteligencia de amenazas que nadie lee y playbooks que caducan sin actualizarse. Antes de invertir en algo nuevo, hay que auditar lo que ya se tiene.
Automatización inteligente de la respuesta: no para reemplazar al analista, sino para protegerlo del ruido. Con exploits llegando antes que los parches — el TTE ya es de −7 días según Mandiant — la detección basada en firmas y los escaneos periódicos han muerto. Se necesita correlación avanzada y threat hunting (búsqueda proactiva de amenazas) continuo.
Tratar la resiliencia del equipo como infraestructura crítica: se han visto equipos DFIR que llevan meses respondiendo a incidentes sin respiro. Cuando llega el ataque grande — y llega — esos equipos cometen errores. Planes de rotación, especialización y protocolos claros de escalado no son recursos humanos, son seguridad.
Gobernanza de IA antes de que sea obligatoria: el AI Act europeo ya es vinculante. Pero más allá del compliance, cada organización que despliega herramientas de IA sin un inventario claro de accesos y riesgos está creando un vector de ataque nuevo que no ve. El shadow AI — uso de herramientas de IA no corporativas por parte de empleados — ya está en el 69% de las organizaciones según Gartner.
Probar los planes de respuesta bajo presión real: un plan de incidentes que no se ha simulado con el equipo directivo incluido no funciona. Red team con IA, simulacros de deepfake, ejercicios de crisis. Lo que no se practica, falla cuando más se necesita.
Conclusión: el reto no es tecnológico, es de velocidad y resistencia
Los atacantes no van a frenar. Tienen presupuesto ilimitado, no responden ante nadie y la IA les ha dado escala sin coste marginal. Eso no va a cambiar.
Lo que sí puede cambiar es la velocidad a la que las organizaciones reaccionan. El 70% de los profesionales de seguridad reconoce que el ritmo de la transformación impulsada por IA es su mayor desafío (Thales 2026). El diagnóstico está hecho. Lo que falta no es más tecnología — es tomar decisiones más rápido, ejecutarlas mejor y cuidar a los equipos que hacen posible todo lo demás.
El cliente de las 2 de la madrugada sobrevivió al incidente. Pero tardó tres semanas en recuperarse, perdió datos de dos semanas de operaciones y su equipo estuvo al límite durante un mes. Podría haberse evitado con un parche aplicado a tiempo y un plan de respuesta que alguien hubiera probado antes. No con una herramienta nueva.
Sobre el autor
Christopher Domingo Real Director Técnico de Ciberseguridad · Aliando
Aliando es una empresa especializada en ciberseguridad y tecnología que acompaña a organizaciones en la definición e implementación de estrategias de seguridad adaptadas a los retos de la era digital. Más información en aliando.com/cybersecurity
Referencias: CrowdStrike — Global Threat Report 2026 | IBM — X-Force Threat Intelligence Index 2026 | IBM — Cost of a Data Breach Report 2024 | Mandiant — M-Trends 2026 | Darktrace — State of AI Cybersecurity 2026 | Thales — Data Threat Report 2026 | Bitsight — State of Cyber Risk and Exposure 2025 | Foro Económico Mundial — Global Cybersecurity Outlook 2025 | Gartner — Shadow AI Predictions 2025 | NIST AI Risk Management Framework | Reglamento (UE) 2024/1689 — AI Act
