Etiqueta: Cadena de suministro

Amenazas de ciberseguridad en 2026: De la sofisticación a la velocidad

En 2026 el riesgo de ciberseguridad y las amenazas ya no se miden solo por la sofisticación de los ataques, sino por su velocidad: los atacantes ya pueden pasar del acceso inicial al robo de datos en minutos.

Las amenazas que están marcando 2026 para las pequeñas y medianas empresas son las siguientes:

1. Ransomware 2.0: Extorsión múltiple y RaaS

Según el WEF, en 2025 los directivos (CEOs) clasificaron los ataques de ransomware como su primera preocupación en ciberseguridad. Según Google el ransomware alcanzó niveles récord durante 2025, con el mayor número de víctimas en sitios de filtración de datos desde 2020.

El Ransomware ha evolucionado en 2 sentidos.

  • Extorsión múltiple: extorsionan para recuperar los datos cifrados y para que los datos exfiltrados no sean publicados.
  • Modelo de negocio del Ransomware como servicio (RaaS): permite que cualquier ciberdelincuente con conocimientos técnicos mínimos pueda llevar a cabo ataques a empresas de cualquier tamaño, provocando un crecimiento exponencial en los ataques.

En 2026, el ransomware sigue siendo la categoría de cibercrimen más perjudicial financieramente para las empresas.

Sufrir un ataque de ransomware puede significar una parálisis operativa total. El impacto económico no es solo por el posible pago del rescate, sino por las pérdidas por inactividad y el daño reputacional.

2. Phishing de nueva generación dirigido e ingeniería social

    Según Mimecast, el correo electrónico continúa siendo el punto de entrada en hasta el 90% de los ciberataques en 2026. La diferencia está en el uso de la IA generativa para crear cebos personalizados y extremadamente creíbles.

    Los atacantes utilizan la ingeniería social para investigar minuciosamente a sus objetivos en plataformas de redes sociales, imitando estilos de comunicación para engañar a empleados de confianza.

    En 2026 veremos un aumento del vishing o deepfakes impulsados por IA, donde los empleados reciben llamadas con voces clonadas de sus jefes, técnicos de IT o proveedores solicitando transferencias urgentes, credenciales o cambios de cuenta.

    Además del fraude financiero directo, el robo de credenciales por estas vías puede llevar al compromiso total de cuentas corporativas y el acceso a comunicaciones confidenciales.

    3. Amenazas en la Cadena de Suministro

    Los atacantes prefieren explotar las relaciones de confianza en la cadena de suministro en lugar de atacar directamente a un objetivo protegido. Al comprometer a un proveedor de software o servicios, ganan acceso a todos sus clientes.

    Según el WEF, este es el desafío número uno para los CEOs de organizaciones consideradas «altamente resilientes», que ven en sus proveedores su punto más débil.

    En 2026, gran parte del malware se distribuye a través de plataformas y servicios conocidos, ya que los empleados no sospechan de enlaces a estos dominios. Por ejemplo repositorios de código, plataformas de almacenamiento y compartición de archivos, etc.

    Descargando archivos maliciosos consiguen robar credenciales de manera silenciosa pero abusando de integraciones entre aplicaciones SaaS pueden moverse entre nubes corporativas de forma invisible exfiltrando datos sin necesidad de contraseñas.

    Como consecuencias están la pérdida de contratos clave o la responsabilidad legal por la exposición de datos de terceros que pueden llevar a una empresa a la quiebra técnica.

    4. El riesgo invisible: «Shadow AI» y agentes autónomos

    Según Netskope, se estima que el 47% de los usuarios de IA en las empresas utilizan cuentas personales para procesar datos corporativos buscando eficiencia. Una vez que los datos se suben a estos modelos, se pierde el control sobre ellos.

    Esto está evolucionando hacia los «agentes de sombra«, que se utilizan para realizar tareas repetitivas autónomamente sin supervisión de seguridad. Esto ya es un riesgo crítico en 2026.

    Por ejemplo un empleado que use una IA externa o un agente IA externo para resumir o comparar contratos o informes financieros exponiendo datos confidenciales.

    Esto puede causar violaciones de cumplimiento normativo (como el RGPD) y la pérdida de la ventaja competitiva, fuga de propiedad intelectual y violación de acuerdos de confidencialidad.

    5. Ataques sin «virus» y de identidad

    Según Crowdstrike, en 2026, el 82% de las intrusiones serán «malware-free». Los atacantes no instalan programas maliciosos, sino que usan credenciales legítimas robadas y herramientas del propio sistema para moverse sin activar alarmas.

    Si el atacante toma control de la identidad puede bloquear el acceso a sistemas críticos, causando una parálisis operativa. Además, la pérdida de datos de clientes conlleva multas regulatorias y daño reputacional que puede tardar años en repararse.

    La  estrategia de prevención

    Una empresa que combine tecnología inteligente con concienciación puede neutralizar estos riesgos.

    • EDR: A diferencia del antivirus antiguo, el EDR no busca virus sino comportamientos sospechosos que puede bloquear en milisegundos.
    • Protección de Correo con IA para detectar anomalías en el lenguaje y patrones de suplantación que las personas pueden no ver.
    • Protección de Navegación para inspeccionar el tráfico web y analizar ejecución en sandbox evitando que lleguen a infectarse dispositivos. A nivel navegación también se puede bloquear el uso de la IA externa.
    • Concienciación continua mediante un entrenamiento basado en situaciones reales para fortalecer la primera línea de defensa.

    Conclusión

    Aunque en 2026 los atacantes son más rápidos, las herramientas de defensa actuales permiten responder a la velocidad de las máquinas. Con herramientas inteligentes y concienciación las pymes pueden convertir la ciberseguridad en una ventaja competitiva, para que la innovación tecnológica no venga acompañada de riesgos inasumibles.

    El equipo Cyber Guardian

    Nuevas categorías en OWASP Top10

    El OWASP Top 10 es como la referencia de la seguridad de aplicaciones: te dice por dónde pueden venir las vulnerabilidades más peligrosas y explotadas. En su versión 2025 (RC1), algo ha cambiado. No es la típica reordenación: se han añadido dos nuevas categorías o riesgos y uno se ha ampliado tanto que empieza a parecer algo distinto.

    Esta evolución no es trivial: refleja cómo el panorama de seguridad ha girado, y cómo las grandes corporaciones ya no solo temen ataques directos, sino debilidades en toda su cadena de suministro de software.

    Spoiler: eso nos afecta a todos, incluidas las empresas medianas que aportan código o componentes.

    ¿Qué hay de nuevo en el Top Ten de 2025?

    Hay dos nuevas categorías en OWASP Top 10, como se puede ver en esta imagen:

    https://owasp.org/Top10/es/2025/0x00_2025-Introduction/

    A03: Software Supply Chain Failures (Fallos de la cadena de suministro de software)

    El cambio más destacable. En el Top 10, había algo así como “componentes vulnerables u obsoletos” (en la versión 2021 era Vulnerable and Outdated Components), pero ahora OWASP ha ampliado esa categoría: no solo librerías viejas, sino todo lo que rodea el proceso de construcción, distribución y actualización del software.

    Esto es importante porque los ataques a la cadena de suministro (supply chain attacks) ya no son cosa de películas: comprometer un repositorio, inyectar código malicioso en librerías, o atacar el pipeline de CI/CD puede dar acceso directo a muchas empresas.
    OWASP lo ha identificado como un riesgo muy real: lanzaron una encuesta para añadir nuevos riesgos y este fue el riesgo Top1 en la encuesta de la comunidad.

    A10: Mishandling of Exceptional Conditions (Manejo incorrecto de condiciones excepcionales)

    Otro riesgo totalmente nuevo y, aunque suene “menos glamuroso” que un ataque de cadena de suministro, es crítico. Aquí OWASP está agrupando 24 CWE (Common Weakness Enumerations) relacionadas con errores al manejar fallos inesperados, condiciones raras, excepciones o estados anómalos.

    Algunos ejemplos concretos: mensajes de error que revelan datos sensibles (CWE-209), parámetros olvidados (CWE-234), privilegios mal manejados (CWE-274), punteros nulos (CWE-476) o estados “fail-open” (CWE-636).

    Una evolución de los ataques de inyección en muchos casos que revela información confidencial, deja transacciones sin completar o recursos bloqueados.

    ¿Por qué la cadena de suministro es ahora tan relevante, especialmente para las grandes empresas y sus proveedores?

    Aquí empieza lo verdaderamente interesante: el riesgo no solo impacta al desarrollador final, sino que los grandes están empezando a mirar con lupa su ecosistema de sus proveedores. Si una mediana empresa les provee librerías, microservicios o componentes, un fallo en su pipeline o una dependencia mal gestionada puede convertirse en un vector de ataque.

    1. Las corporaciones no quieren sorpresas
      Si tú, como proveedor, no gestionas bien tu cadena de suministro, podrías poner en riesgo no sólo tu reputación sino la de tu cliente. Por eso muchas grandes están pidiendo auditorías y controles más estrictos.
    2. No es algo nuevo
      Incidentes como SolarWinds han demostrado el desastre de comprometer la cadena de desarrollo.
    3. Estos cambios fuerzan un cambio cultural
      No basta con escribir buen código: hay que diseñar con la seguridad en mente, tener una pipeline segura, monitorizar dependencias, controlar errores de forma robusta, … Las empresas tienen una oportunidad: si adoptan estas prácticas, no solo se protegen a sí mismas, sino que pueden ofrecer un valor diferencial a sus clientes grandes.

    Conclusión

    El OWASP Top 10 2025 no va a ser solo un “update técnico”: es una llamada de atención. Las amenazas han evolucionado, y ya no basta con cerrar agujeros antiguos: ahora hay que pensar en cómo se construye, distribuye y actualiza el software, y en cómo los errores extraordinarios (“excepción rara”) pueden convertirse en una brecha de seguridad.

    Para ti, que trabajas en una empresa mediana de desarrollo: esto es una oportunidad. Adoptar desde ya buenas prácticas de seguridad de cadena de suministro no solo te protege, sino que puede ser un argumento fuerte frente a tus clientes corporativos y tu competencia.

    Floren Molina Carballo

    CTO en Cyber Guardian