Hola mis estimados lectores, sean bienvenidos una vez más a Código Seguro. El panorama de la ciberseguridad nunca ha sido estático, pero la velocidad de la evolución tecnológica está acelerando la aparición de nuevas amenazas a un ritmo sin precedentes. Mientras nos adentramos en 2026, ya no es suficiente reaccionar a los ataques; debemos anticiparlos. Basándonos en tendencias actuales de investigación, inteligencia de amenazas y el desarrollo tecnológico, podemos vislumbrar un horizonte donde los desafíos serán más complejos, automatizados y con un impacto tangible en el mundo físico. Este artículo no pretende ser una bola de cristal, sino un mapa de navegación para comprender hacia dónde se dirigen los vectores de ataque.
1. La era del engaño profundo: Phishing hiperpersonalizado y desinformación sistémica.
La Inteligencia Artificial (IA) generativa dejará de ser una novedad para convertirse en el arma preferida de los atacantes. En 2026, el “phishing” tradicional será obsoleto. Lo enfrentaremos será “deep-phishing”: correos, mensajes de voz o incluso videollamadas falsas, generadas en tiempo real por IA, que imitarán perfectamente a un contacto conocido (un directivo, un compañero de trabajo, un familiar). Estos ataques, muy complejos de identificar a simple vista, buscarán no solo robar credenciales, sino manipular acciones (como autorizar transferencias considerables de activos o filtrar datos de todo tipo) mediante la ingeniería social más convincente jamás vista. La desinformación dirigida a desestabilizar organizaciones o determinados procesos será otro frente crítico.
Los voy a poner en contexto. Ahora imaginemos este escenario: de momento recibes una llamada supuestamente de la compañía de mensajería internacional que gestiona el envío de un paquete que esperas desde el extranjero.
La persona al otro lado de la línea —con un tono profesional, usando el nombre correcto de la empresa y citando un número de seguimiento aparentemente válido— te informa que para “garantizar la entrega exitosa y prioritaria” de tu envío, o para “activar una cobertura de seguro contra pérdida”, debes realizar un pago adicional inmediato mediante transferencia bancaria, depósito en efectivo o, cada vez más común, a través de una billetera digital.
La urgencia y la verosimilitud de los datos que manejan (que muchas veces obtienen de publicaciones tuyas en redes sociales o de filtraciones de datos anteriores) buscan anular tu capacidad de reflexión. En realidad, no hay ningún cargo legítimo; la llamada es una trampa diseñada para sacarte dinero aprovechando tu expectativa y la natural preocupación por recibir un envío valioso.
Esta estafa, una variante del clásico “fraude de soporte técnico” trasladado al ámbito logístico, explota la confianza en marcas reconocidas de paquetería y el deseo de asegurar lo que esperamos.
2. El nuevo campo de batalla no es la red, es la IA misma.
No solo se usará la IA para atacar, sino que la propia infraestructura de la IA se convertirá en un objetivo fundamental. Los modelos de lenguaje, los sistemas de recomendación y los agentes autónomos serán vulnerables a nuevas formas de manipulación y sabotaje digital: desde el “envenenamiento de datos” —que corrompe su aprendizaje al introducir información maliciosa— hasta “jailbreaks” más sofisticados —trucos lingüísticos o contextuales que engañan a la IA para que ignore sus propias restricciones de seguridad y ética—, pasando por robos masivos de modelos propietarios entrenados con inversiones millonarias.
3. Crisis en la cadena de suministro de software: De los paquetes a las plataformas.
Los ataques a la cadena de suministro, como el histórico SolarWinds, se volverán más frecuentes y devastadores. Los atacantes ya no se centrarán únicamente en librerías de código abierto. En 2026, explotarán vulnerabilidades en plataformas de desarrollo en la nube, servicios CI/CD (Integración Continua/Despliegue Continuo) y repositorios de contenedores. Los que nos dedicamos a la industria del desarrollo del software debemos estar muy alertas. Un compromiso en este nivel puede infectar simultáneamente miles de aplicaciones y servicios de cientos de empresas, creando un “evento de extinción” digital con tiempos de recuperación menos discretos.
4. El reloj cuántico ya está en marcha: La cuenta regresiva de nuestro cifrado.
Aunque el ordenador cuántico a gran escala que rompa los sistemas de cifrado de clave pública actuales, como RSA (basado en la factorización de números primos) o ECC (basado en curvas elípticas), podría no llegar comercialmente en 2026, la amenaza la tenemos hoy día. Los atacantes están implementando ya la “cosecha ahora, descifra luego” (Harvest Now, Decrypt Later), almacenando enormes cantidades de datos cifrados (secretos de estado, historiales médicos, comunicaciones confidenciales) con la expectativa de descifrarlos dentro de unos años. El año 2026 será un año crítico donde las organizaciones que no hayan iniciado su transición hacia la criptografía post-cuántica (PQC) se encontrarán en un riesgo irrecuperable. La presión regulatoria para migrar será enorme.
5. La convergencia Física-Lógica: Cuando el ciberataque paraliza la ciudad.
La expansión de los sistemas OT (Tecnología Operacional) y del Internet de las Cosas (IoT) industrial hace que el mundo físico sea más programable… y más vulnerable. En 2026, veremos ataques coordinados que combinarán un ransomware en sistemas de las Tecnologías de la Información con el sabotaje de infraestructuras físicas: desde la manipulación de plantas de tratamiento de agua hasta la interrupción de redes de distribución energética o logística. El objetivo ya no será solo el rescate económico, sino la extorsión geopolítica, el caos social o simplemente la demostración de capacidad destructiva.
Más allá de la protección, hacia la resiliencia
El denominador común de estas amenazas es su naturaleza sistémica y asimétrica. Frente a ellas, el paradigma del “perímetro fortificado” está muerto. La estrategia para 2026 pudiera estar dirigida hacia alguno de estos frentes:
- Autenticación difícil de falsificar: Adoptar estándares como FIDO2/Passkeys, el sistema que está eliminando las contraseñas tradicionales. En lugar de recordar claves, usas tu dispositivo (teléfono o llave de seguridad física) junto con tu huella o rostro para acceder. Funciona con criptografía de pares de claves: una clave pública se registra en el servicio y otra privada queda bloqueada en tu dispositivo. Para entrar, debes poseer el dispositivo y aprobar con biometría. Esto hace inviable el phishing y el robo de credenciales, porque no hay contraseña que puedan robar —solo tú, con tu cuerpo y tu dispositivo, puedes autenticarte.
- Principio de confianza cero (Zero Trust): Verificar siempre, nunca confiar por defecto, tanto en usuarios como en dispositivos y cargas de trabajo.
- Preparación criptográfica Post-Cuántica: Inventariar datos sensibles de larga vida útil y comenzar la migración a estándares PQC ya aprobados por el Instituto Nacional de Estándares y Tecnología (NIST).
- La preparación criptográfica post-cuántica exige un cambio de paradigma inmediato: Las organizaciones deben comenzar por identificar y catalogar todos sus datos sensibles con validez a largo plazo —como secretos industriales, historiales médicos, información financiera y comunicaciones clasificadas— cuya confidencialidad debe preservarse durante décadas. Este inventario crítico es el primer paso para priorizar la migración hacia los nuevos algoritmos de criptografía post-cuántica (PQC), aquellos estándares ya evaluados y oficializados por el Instituto Nacional de Estándares y Tecnología (NIST), diseñados específicamente para resistir el poder de futuros ordenadores cuánticos. Iniciar esta transición no es una opción tecnológica, sino una necesidad estratégica de supervivencia, pues los datos que hoy se cifran con métodos tradicionales ya están siendo acumulados por adversarios para descifrarlos cuando la tecnología cuántica llegue a su punto crítico.
- Resiliencia operacional: Asumir que serás comprometido. Tener planes de recuperación rápidos, backups aislados y capacidad de operar de forma degradada.
A medida que nos adentramos en 2026, el panorama de la ciberseguridad se irá definiendo no por amenazas aisladas, sino por la convergencia perfecta de tecnologías avanzadas en manos de adversarios cada vez más sofisticados. Los avances en inteligencia artificial, la sombra inminente de la computación cuántica y la creciente interdependencia entre los sistemas digitales y físicos exigen mucho más que vigilancia; demandan una transformación profunda en nuestra cultura de defensa.
Este año no traerá solo nuevos vectores de ataque, sino también una ventana crítica para reimaginar la resiliencia digital. La colaboración internacional dejará de ser opcional para convertirse en el único marco viable frente a amenazas que ignoran fronteras. La inversión debe orientarse hacia tecnologías que anticipen riesgos, no solo que respondan a ellos, y la educación debe evolucionar para que cada usuario comprenda que su acción u omisión puede desencadenar o contener una crisis sistémica. Por tanto, es imperativo que todos, desde los arquitectos de infraestructuras críticas hasta quienes usan un dispositivo móvil, asuman que la seguridad ya no es un componente técnico, sino la condición básica para operar en un mundo donde lo digital ha dejado de ser un espacio paralelo para convertirse en el sustrato mismo de la realidad. Solo desde esta conciencia colectiva y proactiva podremos construir defensas que no intenten resistir la tormenta, sino navegar en ella.
Sin dudas este nuevo año no será para los que tengan el firewall más grande, sino para las organizaciones que hayan integrado la ciberseguridad en su ADN, fomentado una cultura de alerta y hayan invertido en la capacidad de recuperarse más rápido de lo que el atacante puede propagar el daño. La carrera ya ha comenzado. Termino con las siguientes cuestiones que nos permitirían reflexionar: ¿Tu organización ya está discutiendo estos escenarios? ¿En qué área sientes que estamos más atrasados como sector? La conversación colectiva es nuestra primera línea de defensa. Nos vemos la próxima semana.
