Panda SecurityEn 2026, los ciberataques que más daño van a causar serán los más creíbles, en lugar de los más sofisticados. El patrón que se repite en todos ellos es el mismo: suplantación de identidad, engaño cada vez más realista gracias a la inteligencia artificial y abuso de relaciones de confianza con terceros. Por eso mismo, este año la seguridad deberá pasar sí o sí por la protección de identidades, procesos y decisiones humanas. Porque el atacante ha aprendido que la mejor puerta de entrada es la confianza.
¿Qué es lo que más nos va a doler en 2026? Esta es la pregunta del millón… Y, aunque nadie tiene una bola de cristal que prediga el futuro, la tendencia general es clara: el atacante ya no va a necesitar ser especialmente técnico. “Le va a bastar con una identidad falsa, una idea de engaño potenciado con inteligencia artificial y la baza de la dependencia que aún tenemos de terceros y cadenas de suministros para que el impacto sea potente y el esfuerzo mínimo”. Avisa Hervé Lambert, Global Consumer Operation Manager de Panda Security.
En otras palabras, el cibercrimen se ha democratizado. “Ya no hablamos de grupos altamente especializados que explotan complejas vulnerabilidades técnicas, sino de ataques que combinan suplantación de identidad, manipulación psicológica y accesos ilegítimos mal protegidos”, apunta el experto. Y eso cambia por completo las reglas del juego. “Ahora los ataques son más fáciles de ejecutar, más difíciles de detectar y mucho más dañinos para empresas y usuarios”, recalca.
Ante este escenario, el ranking de ciberataques que marcarán este 2026 no se puede entender como una lista aislada, sino como distintas caras de un mismo problema, “la pérdida de control sobre quién accede a nuestros sistemas, desde dónde y con qué nivel de confianza”, señala Lambert.
Ranking de los 10 ciberataques que marcarán 2026
1. Ransomware
En el primer puesto del ranking no hay sorpresas. El ransomware de nueva generación sigue siendo, con diferencia, el ataque que más va a doler en 2026. Y no porque sea nuevo, sino porque ha evolucionado. “Ya no se limita a cifrar sistemas, sino que roba datos, extorsiona y presiona reputacionalmente”, advierte el directivo de Panda Security.
Este tipo de ataque se lleva la medalla de oro porque impacta directamente en la continuidad de cualquier negocio, producción o servicio. No hablamos solo de sistemas parados durante horas o días, sino de filtraciones de información sensible, sanciones regulatorias, pérdida de confianza de clientes y un daño reputacional que, en muchos casos, tarda años en repararse.
Además, la recuperación ya no consiste únicamente en restaurar copias de seguridad. “Implica gestionar una crisis completa, con investigación forense, notificaciones legales, comunicación pública y toma de decisiones bajo una enorme presión”, recuerda Lambert. Y, lo más preocupante es que, en muchos casos, el punto de entrada no es especialmente sofisticado. El escenario se repite: un atacante accede con las credenciales de un usuario protegido con un MFA débil, escala privilegios sin levantar sospechas, exfiltra información crítica (contratos, nóminas, datos de clientes) y, solo al final, cifra los servidores clave. Cuando la organización se da cuenta, el daño ya no es sólo técnico, es estructural.
Mitigación del ransomware
Lambert afirma que para mitigar el riesgo, “no hay soluciones mágicas, sólo medidas que, bien combinadas, pueden marcar la diferencia”. Así, es necesario contar con backups 3-2-1, inmutables y offline, con pruebas mensuales de restauración y segmentación clara de la red, separando usuarios, servidores y sistemas de backup. Así como entornos IT y OT para evitar que un sólo acceso lo comprometa todo.
Además de autenticación fuerte y principio de mínimo privilegio, con MFA resistente al phishing, eliminación de administradores locales innecesarios y uso de soluciones PAM para accesos críticos. También detección temprana, apoyada en EDR, registros centralizados y alertas específicas ante movimientos laterales o exfiltración de datos. Y, un plan de respuesta ante incidentes ensayado, que deje claro quién decide, cómo se aíslan los sistemas afectados y cómo se comunica interna y externamente.
2. Robo de identidad digital
En el segundo puesto del ranking está un ataque muy peligroso, porque pasa inadvertido y es muy efectivo: el robo de identidad digital. “Aquí no hay pantallas negras ni mensajes amenazantes, sólo alguien que entra como si fueras tú”, avisa Lambert.
En la práctica, este ataque suele empezar con algo tan cotidiano como una extensión aparentemente inofensiva. Un empleado instala un PDF converter, por ejemplo, que, en realidad es un infostealer. Este malware roba usuario, contraseña, cookies y tokens de sesión y, con ellos, el atacante accede al correo o al sistema corporativo sin que se le vuelva a pedir MFA, porque la sesión ya estaba abierta.
“El problema es que este tipo de actividad parece completamente legítima, por lo que los firewalls y antivirus tradicionales no suelen detectarlo”, recuerda el experto.
Para mitigar este riesgo es clave reforzar la identidad como nuevo perímetro. Eso pasa por usar MFA resistente a phishing en cuentas críticas, aplicar acceso condicional que tenga en cuenta el dispositivo, la ubicación o el comportamiento, y proteger los endpoints con controles estrictos sobre software y extensiones. Además, reducir la vida de las sesiones, forzar reautenticaciones ante cambios sospechosos y separar claramente las cuentas administrativas de las de uso diario marca una diferencia enorme.
3. Fraudes por teléfono
En 2026, muchos fraudes entrarán por el teléfono. El Business Email Compromise (BEC) evoluciona gracias a la inteligencia artificial y se apoya en voces clonadas, vídeos creíbles y correos prácticamente indistinguibles de los reales.
El escenario es tan simple como peligroso. “Una llamada del CEO pidiendo un pago urgente y confidencial, o un email de un proveedor habitual solicitando un cambio de IBAN con un tono, un hilo de conversación y un contexto impecables puede ser el detonante”, subraya Lambert. No hay malware, no hay enlaces sospechosos. Solo persuasión.
Este tipo de ataque es especialmente efectivo porque explota nuestros reflejos humanos, la urgencia, la jerarquía, el miedo a equivocarse o a retrasar una operación crítica. Y la defensa, por tanto, no es 100% tecnológica. “Requiere procesos antifraude claros y no negociables, ningún cambio de cuenta bancaria ni pago urgente sin verificación fuera de banca, doble aprobación para transferencias relevantes y mecanismos de challenge-response en llamadas internas”, recalca el experto de Panda Security. Todo ello reforzado con formación específica para los equipos más expuestos basada en ejemplos reales y simulacros periódicos.
4. Ataques a las cadenas de suministro
En cuarto lugar nos encontramos con los ataques a las cadenas de suministro. “Y es que, si algo ha quedado claro en los últimos años es que ya no basta con protegerse a uno mismo”, dice Lambert. “Porque el atacante prefiere comprometer a un proveedor, un integrador o una plataforma SaaS para entrar con credenciales legítimas”.
Un ejemplo habitual es el del proveedor de soporte que tiene acceso VPN a la red corporativa. Si esa cuenta cae y tiene permisos amplios, el atacante puede desplegar herramientas, moverse lateralmente y preparar ataques más graves sin levantar sospechas.
Este tipo de ataques son especialmente peligrosos “porque escala rápidamente y porque suele haber una confianza excesiva y poca visibilidad sobre qué hacen realmente los terceros”, puntualiza el directivo de Panda Security.
La mitigación pasa por recuperar el control: “inventariar proveedores, entender qué accesos tienen y por qué, exigir MFA fuerte y cuentas nominativas, limitar permisos y establecer caducidades automáticas”. Y, a nivel contractual, “es clave exigir notificación de incidentes, evidencias de controles y derecho de auditoría, además de monitorizar y rotar regularmente las integraciones SaaS y sus tokens”.
5. Vulnerabilidades en el perímetro
Las vulneraciones en perímetro también se van a encontrar como las más habituales, y peligrosas, durante este 2026. “Porque cuando se publica un incidente crítico en una VPN, un firewall o un gateway de correo, el reloj se pone en marcha y en cuestión de horas, los atacantes escanean internet buscando sistemas sin parchear”, explica Lambert.
El patrón se repite: una VPN corporativa vulnerable permite acceso sin credenciales, el atacante crea una cuenta administrativa “discreta” y, semanas después, lanza ransomware o roba información sin que nadie relacione ambos eventos. Estos ataques son tan peligrosos porque combinan mucho impacto con poco esfuerzo, y suelen afectar a sistemas que dan acceso directo al corazón de la organización.
La defensa exige disciplina. “Parches con SLA claros según criticidad, priorizando lo expuesto a internet; reducción de superficie de ataque cerrando paneles y limitando accesos. Y, una buena gestión de activos para saber exactamente qué está publicado”. Señala el experto, quien, además, añade “el monitoreo de logs y señales de explotación temprana, como webshells o cambios inesperados de configuración”.
6. Ataques derivados por una mala configuración del cloud
Otro de los ataques que deberemos vigilar son los derivados de una mala configuración del cloud. “En estos entornos, muchos incidentes se deben a permisos excesivos y secretos mal gestionados”, indica el directivo de Panda Security. “Como una API subida por error a un repositorio, que pueden bastar para acceder a buckets, copiar bases de datos o generar recursos para minar criptomonedas, con un impacto inmediato en datos y costes”. El reto es que estas acciones suelen parecer “normales”, ya que se ejecutan a través de APIs legítimas.
Mitigar este riesgo implica profesionalizar la gestión cloud. “Uso de vaults para secretos y rotación automática, escaneo continuo de repositorios, políticas IAM estrictas con privilegios mínimos y roles temporales, y alertas ante comportamientos anómalos”. Todo ello apoyado por revisiones continuas de postura de seguridad para detectar desviaciones antes de que se conviertan en incidentes.
7. Software
El ataque que se cuela en el software se posiciona en séptimo lugar de nuestro ranking. Y es que, atacar el pipeline de desarrollo es atacar a todos los usuarios a la vez. Un paquete malicioso, una dependencia falsa o un pipeline comprometido puede introducir código dañino que llegue directamente a producción. “Un ejemplo clásico es el typosquatting: un desarrollador instala una librería con un nombre casi idéntico al legítimo”, dice Lambert. Esa dependencia roba variables de entorno con tokens y las envía fuera, abriendo la puerta a accesos mucho más graves.
La mitigación pasa por blindar el proceso: firmado de artefactos, protección de ramas, runners aislados, control estricto de dependencias con versiones fijadas y SBOM, y escaneo continuo de secretos y paquetes en el pipeline. En CI/CD, como en el resto, el mínimo privilegio también aplica.
8. El Helpdesk
El helpdesk es otro de los talones de Aquiles que pueden encontrar los atacantes para entrar en los sistemas. Y es que el MFA puede ser muy robusto… hasta que alguien lo resetea. “El problema aquí no es la tecnología, sino el proceso”. Para mitigarlo, es imprescindible contar con procedimientos estrictos de verificación de identidad y limitar o prohibir resets sin aprobación en cuentas privilegiadas. Además de generar alertas ante cambios de MFA y formar al personal de soporte con guiones claros frente a intentos de manipulación.
9. Riesgos internos
El riesgo interno también tiene que aparecer en este ranking, “porque, desde el contratista que exporta datos hasta el falso empleado en remoto que obtiene acceso con una identidad fraudulenta, el impacto puede ser enorme si los permisos son amplios”, recuerda Lambert.
En este caso, la mitigación exige controles continuos, “separación de funciones, revisiones periódicas de accesos, DLP y alertas ante movimientos inusuales. Así como procesos de onboarding y offboarding acordes al nivel de riesgo”. Todo ello dentro de una cultura que facilite reportar errores o sospechas sin miedo.
10. Ataques de denegación de servicio
Cerrando el ranking aparecen los ataques de denegación de servicio, que siguen siendo relevantes no solo por su impacto directo, sino porque a menudo se usan como cortina de humo.
La defensa pasa por combinar protección DDoS (CDN, WAF, rate limiting) con una buena observabilidad que permita correlacionar tráfico y eventos de seguridad. Y, sobre todo, por procedimientos claros: mientras una parte del equipo gestiona la disrupción, otra debe vigilar activamente posibles intrusiones.
