CrowdStrike publicó el lunes su Informe de amenazas globales 2026, que documenta un aumento interanual del 89 % en las operaciones de adversarios habilitadas por IA. El informe afirma que la IA ahora está impulsando ataques más rápidos y sigilosos y, al mismo tiempo, se convierte en un objetivo. La inteligencia extraída de más de 280 actores de amenazas nombrados revela que el “tiempo de ruptura” promedio (el período desde la infracción inicial hasta el movimiento lateral a través de una red) cayó a 29 minutos en 2025.
Esto representa un aumento del 65 % en la velocidad en comparación con 2024. La fuga más rápida observada tardó solo 27 segundos y, en un caso específico, la filtración de datos comenzó a los cuatro minutos del acceso inicial. Además, el 82 % de las detecciones estuvieron libres de malware, continuando una tendencia hacia el robo de credenciales y las intrusiones basadas en la identidad.
Los adversarios están apuntando directamente a los sistemas de inteligencia artificial. Se inyectaron mensajes maliciosos en herramientas de inteligencia artificial generativa en más de 90 organizaciones para robar credenciales y criptomonedas. Los atacantes aprovecharon las vulnerabilidades en las plataformas de desarrollo de inteligencia artificial para implementar ransomware y publicaron servidores de inteligencia artificial no autorizados para interceptar datos confidenciales. En el lado ofensivo, el grupo FANCY BEAR vinculado a Rusia implementó LAMEHUG, un malware habilitado para LLM identificado por el CERT-UA de Ucrania en julio de 2025. LAMEHUG utiliza el modelo Qwen2.5-Coder-32B-Instruct para generar dinámicamente comandos de reconocimiento.
El grupo cibercriminal PUNK SPIDER utilizó scripts generados por IA para acelerar el volcado de credenciales y destruir pruebas forenses. FAMOUS CHOLLIMA, vinculada a Corea del Norte, aprovechó personajes generados por IA para escalar operaciones de amenazas internas.
La actividad del Estado-nación aumentó significativamente. Las operaciones cibernéticas vinculadas a China aumentaron un 38 % en 2025, y el sector logístico experimentó un aumento del 85 % en sus objetivos. El sesenta y siete por ciento de las vulnerabilidades explotadas por los actores del nexo con China brindaron acceso inmediato al sistema, mientras que el 40 por ciento se dirigió a dispositivos de borde con acceso a Internet.
Los incidentes relacionados con Corea del Norte aumentaron más del 130%, y la actividad de FAMOUS CHOLLIMA se duplicó con creces. El robo de 1.460 millones de dólares en criptomonedas por parte de PRESSURE CHOLLIMA fue señalado como el mayor atraco financiero jamás reportado.
Las intrusiones centradas en la nube aumentaron un 37 % en general, incluido un aumento del 266 % por parte de actores respaldados por el estado que apuntan a entornos de nube. El cuarenta y dos por ciento de las vulnerabilidades fueron explotadas antes de su divulgación pública cuando los atacantes utilizaron las fallas de día cero como armas. El presidente de CrowdStrike, Michael Sentonas, afirmó: “Los avisos serán el nuevo malware”.
