Durante mayo de 2026, el panorama global de ciberseguridad confirmó una tendencia que se ha venido consolidando en los últimos años y que hemos analizado de manera recurrente en Defendens: los ciberdelincuentes continúan profesionalizando sus operaciones, diversificando sus tácticas y perfeccionando sus modelos de negocio.
Lo que antes eran ataques aislados ejecutados por individuos o pequeños grupos ha evolucionado hacia estructuras criminales organizadas que operan con niveles de especialización comparables a los de una empresa legítima.
Las amenazas actuales ya no dependen de una única técnica para alcanzar sus objetivos. Por el contrario, los actores maliciosos combinan ransomware, robo de credenciales, campañas de phishing, explotación de vulnerabilidades y filtración de información para maximizar sus ganancias económicas y aumentar la presión sobre sus víctimas.
Este enfoque multifacético les permite incrementar las probabilidades de éxito y amplificar el impacto de cada incidente, convirtiendo a las ciberamenazas en un desafío cada vez más complejo para organizaciones públicas y privadas de todos los tamaños.
Kaspersky señaló en su informe publicado con motivo del Día Internacional contra el Ransomware 2026 que el ransomware continúa siendo una de las actividades criminales más rentables dentro del ecosistema del cibercrimen. Sin embargo, el modelo de negocio detrás de estas operaciones también está evolucionando.
Actualmente, muchos grupos de ciberdelincuentes ya no dependen exclusivamente del cifrado de archivos para obtener beneficios económicos, sino que complementan sus ataques con el robo de información confidencial, la extorsión pública y la publicación de datos en sitios de filtración para incrementar la presión sobre las organizaciones afectadas.
En términos prácticos, esto significa que una organización puede enfrentar un doble impacto: por un lado, la interrupción de sus operaciones debido al cifrado de sistemas críticos y, por otro, la amenaza de que información estratégica, financiera o personal sea expuesta públicamente o vendida en foros clandestinos. Esta modalidad, conocida como doble extorsión, se ha convertido en una de las tácticas más utilizadas por los grupos de ransomware más activos del mundo.
En Latinoamérica, este escenario resulta especialmente preocupante debido al acelerado proceso de transformación digital que experimentan empresas, gobiernos y ciudadanos. La adopción de servicios en la nube, plataformas colaborativas, sistemas interconectados y procesos digitales ha permitido mejorar la eficiencia operativa, pero también ha ampliado significativamente la superficie de ataque disponible para los ciberdelincuentes.
A este contexto se suma la creciente profesionalización del ecosistema criminal. El informe The State of Ransomware Q1 2026 de Check Point Research documenta cómo modelos como el Ransomware-as-a-Service (RaaS) continúan facilitando la expansión de las operaciones criminales a escala global.
Bajo este esquema, desarrolladores especializados crean y mantienen el malware, mientras que afiliados se encargan de ejecutar los ataques y compartir las ganancias obtenidas. Esta división de funciones ha reducido las barreras técnicas para participar en actividades ilícitas y ha contribuido a incrementar el número de campañas dirigidas contra organizaciones de todo tipo.
El ransomware sigue siendo la principal amenaza para las organizaciones
El ransomware es un tipo de malware diseñado para impedir el acceso a sistemas o archivos mediante técnicas de cifrado. Una vez que la información queda bloqueada, los atacantes exigen un pago económico a cambio de una supuesta clave de recuperación. Sin embargo, en la actualidad el problema va mucho más allá del secuestro de datos, ya que los grupos criminales suelen robar información antes de cifrarla para aumentar la presión sobre las víctimas.
Los reportes más recientes muestran que mayo de 2026 mantuvo una actividad significativa de ransomware a nivel mundial. Según Breachsense, se registraron más de 600 víctimas publicadas en sitios de filtración operados por grupos criminales durante el mes, una cifra que refleja la persistencia de esta amenaza y la capacidad de los atacantes para comprometer organizaciones de distintos sectores económicos.
La preocupación de los especialistas radica en que muchos grupos han adoptado modelos de negocio similares a los de empresas legítimas. Actualmente existen esquemas conocidos como Ransomware-as-a-Service (RaaS), mediante los cuales los desarrolladores alquilan sus herramientas a otros delincuentes a cambio de una comisión por cada ataque exitoso. Este modelo ha reducido las barreras técnicas para ingresar al ecosistema criminal y ha contribuido al crecimiento de las campañas de ransomware en todo el mundo.
En términos prácticos, esto significa que una organización puede enfrentar un doble impacto: por un lado, la interrupción de sus operaciones debido al cifrado de sistemas críticos y, por otro, la amenaza de que información estratégica, financiera o personal sea expuesta públicamente o vendida en foros clandestinos.
The Gentlemen y otros grupos impulsan una nueva ola de ataques
Entre los grupos que más han llamado la atención de los investigadores durante 2026 destaca The Gentlemen. Reportes de inteligencia indican que esta operación criminal ha experimentado un crecimiento acelerado y se ha convertido en uno de los actores más activos del ecosistema de ransomware. Su éxito se atribuye, en parte, a la combinación de herramientas avanzadas de cifrado, técnicas automatizadas de propagación y estrategias de doble extorsión.
Uno de los aspectos más preocupantes de The Gentlemen es su capacidad para moverse lateralmente dentro de las redes comprometidas. Esto significa que, una vez obtenido el acceso inicial, los atacantes pueden desplazarse entre distintos sistemas y servidores hasta alcanzar activos críticos. En términos prácticos, una intrusión aparentemente limitada puede terminar afectando gran parte de la infraestructura tecnológica de una organización.
Por ejemplo, un atacante que inicialmente compromete la computadora de un empleado podría terminar accediendo a servidores de bases de datos, sistemas de correo electrónico, respaldos corporativos o plataformas críticas para la operación del negocio.
Junto con The Gentlemen, grupos como Qilin, Akira y Play continúan figurando entre los operadores más activos del panorama global. Estas organizaciones criminales han demostrado una notable capacidad de adaptación, incorporando nuevas técnicas de evasión, explotación de vulnerabilidades y robo de información para incrementar la efectividad de sus campañas.
Robo de credenciales: el combustible de los ciberataques modernos
Aunque el ransomware suele acaparar los titulares, muchas intrusiones exitosas comienzan con el robo de credenciales. Los ciberdelincuentes utilizan programas maliciosos conocidos como infostealers para recopilar nombres de usuario, contraseñas, cookies de sesión, datos almacenados en navegadores y otra información sensible. Una vez obtenidos estos datos, pueden venderse en mercados clandestinos o utilizarse para acceder directamente a sistemas corporativos.
Un ejemplo común ocurre cuando un usuario almacena sus contraseñas en el navegador de Internet. Si un infostealer logra infectar el equipo, puede extraer esa información y enviarla a los atacantes, quienes posteriormente la comercializan en foros clandestinos sin que la víctima note inmediatamente el robo.
La popularidad de los infostealers ha crecido de forma considerable porque representan una forma rápida y rentable de monetizar los ataques. En lugar de comprometer una organización completa, los delincuentes pueden obtener credenciales válidas y comercializarlas en foros clandestinos, donde otros grupos las adquieren para realizar campañas de fraude, espionaje corporativo o ransomware. Esta dinámica ha dado lugar a un ecosistema criminal altamente especializado en el que cada actor cumple una función específica.
Un escenario frecuente ocurre cuando un empleado descarga un archivo aparentemente legítimo desde un sitio web comprometido. Sin que la víctima lo note, el malware recopila las credenciales almacenadas en el navegador y las envía a los atacantes. Días o semanas después, esas mismas credenciales pueden ser utilizadas para acceder a sistemas empresariales, correos electrónicos o plataformas de servicios en la nube.
Expertos advierten que el robo de credenciales se ha convertido en uno de los principales facilitadores de ataques posteriores. De hecho, numerosas investigaciones sobre incidentes de ransomware muestran que los atacantes aprovecharon cuentas comprometidas para evitar mecanismos de seguridad tradicionales y acceder a recursos críticos dentro de las organizaciones.
Phishing e ingeniería social: la puerta de entrada que sigue funcionando
A pesar de los avances tecnológicos en materia de ciberseguridad, el phishing continúa siendo una de las técnicas más efectivas para comprometer a usuarios y organizaciones. Este tipo de ataque busca engañar a las víctimas mediante correos electrónicos, mensajes de texto o sitios web falsificados que aparentan ser legítimos con el objetivo de obtener credenciales, datos financieros o información confidencial.
La inteligencia artificial está potenciando aún más este tipo de amenazas. Los atacantes pueden generar correos electrónicos con redacción impecable, traducidos a múltiples idiomas y adaptados a contextos específicos. Esta capacidad reduce los errores que anteriormente permitían identificar mensajes fraudulentos y aumenta significativamente la probabilidad de éxito de las campañas de ingeniería social.
Por ejemplo, un usuario podría recibir un mensaje aparentemente enviado por una aerolínea, una entidad bancaria o una plataforma de venta de boletos. El correo incluye logotipos auténticos, enlaces visualmente legítimos y un lenguaje profesional. Sin embargo, al hacer clic, la víctima es redirigida a un sitio falso diseñado para capturar sus credenciales o información de pago.
La persistencia del phishing demuestra que el factor humano continúa siendo uno de los eslabones más vulnerables dentro de cualquier estrategia de ciberseguridad. Por esta razón, la capacitación continua de los usuarios y la implementación de mecanismos de autenticación multifactorial se han convertido en medidas fundamentales para reducir el riesgo de compromiso.
Junio bajo vigilancia: las amenazas que podrían intensificarse en las próximas semanas
Los informes publicados durante mayo de 2026 por Check Point Research, Kaspersky, Rapid7, Palo Alto Networks Unit 42 y Breachsense muestran que las principales tendencias observadas durante el primer semestre del año mantienen una trayectoria ascendente. Entre ellas destacan el crecimiento de los grupos de ransomware, la explotación de vulnerabilidades críticas como mecanismo de acceso inicial y la comercialización de credenciales robadas en mercados clandestinos. En conjunto, estos hallazgos sugieren que junio podría registrar una actividad cibercriminal similar o incluso superior a la observada en meses anteriores.
Kaspersky, por su parte, señaló en su informe State of Ransomware in 2026 que Latinoamérica continúa siendo una región atractiva para los grupos de ransomware debido a la acelerada digitalización de empresas y organismos gubernamentales.
A medida que más procesos críticos dependen de servicios digitales y plataformas conectadas, aumenta también la superficie de ataque disponible para los ciberdelincuentes. Este escenario resulta especialmente relevante para organizaciones que aún enfrentan desafíos relacionados con la adopción de controles de seguridad avanzados, la gestión de vulnerabilidades o la capacitación de usuarios.
En tanto, Check Point Research documentó que los modelos criminales conocidos como Ransomware-as-a-Service (RaaS) continúan impulsando la expansión del ransomware a nivel global. Este esquema permite que desarrolladores de malware alquilen sus herramientas a afiliados que ejecutan los ataques, reduciendo las barreras técnicas para ingresar al ecosistema criminal. Como consecuencia, cada vez más organizaciones, independientemente de su tamaño o sector, se convierten en objetivos potenciales de estas campañas.
El Mundial 2026 atraerá nuevas campañas de phishing y fraude digital
La Copa Mundial de la FIFA 2026 movilizará millones de transacciones relacionadas con la compra de boletos, reservas de hospedaje, transporte, mercancía oficial y plataformas de entretenimiento. INTERPOL ha advertido en reiteradas ocasiones que los eventos internacionales de gran magnitud suelen atraer la atención de actores maliciosos que buscan aprovechar el incremento de la actividad digital para ejecutar campañas de fraude, robo de información y estafas financieras.
La Comisión Federal de Comercio de Estados Unidos (FTC) ha documentado que los ciberdelincuentes suelen explotar contextos de alta demanda y urgencia para desplegar campañas de phishing. En el contexto del Mundial, esto podría traducirse en correos electrónicos, mensajes de texto o sitios web falsos relacionados con boletos, promociones exclusivas, sorteos, paquetes turísticos o experiencias VIP inexistentes. El objetivo es persuadir a las víctimas para que compartan credenciales, información personal o datos bancarios.
Un aficionado, por ejemplo, podría recibir un correo informándole que fue seleccionado para participar en una preventa exclusiva de entradas. Al acceder al enlace y registrar sus datos de pago, en realidad estaría entregando información sensible a un sitio controlado por ciberdelincuentes.
Además del fraude financiero, ENISA ha señalado en ediciones recientes de su Threat Landscape que los eventos con amplia cobertura mediática suelen ser utilizados por grupos hacktivistas para amplificar mensajes políticos, sociales o ideológicos. En este contexto, no puede descartarse la aparición de campañas de denegación de servicio (DDoS), defacement de sitios web o filtraciones de información dirigidas contra organizaciones vinculadas al evento o contra instituciones gubernamentales de los países participantes.
Explotación de vulnerabilidades críticas: una tendencia en ascenso
Rapid7 concluyó en su Q1 2026 Threat Landscape Report que la explotación de vulnerabilidades está superando a la ingeniería social como vector inicial de compromiso en numerosos incidentes de seguridad. Este hallazgo refleja un cambio importante en las tácticas de los atacantes, quienes buscan aprovechar fallos sin corregir en sistemas expuestos a Internet para obtener acceso a redes corporativas, desplegar malware o robar información sensible.
En muchos casos, los atacantes ni siquiera necesitan engañar a un usuario. Basta con identificar un servidor, una aplicación web o un dispositivo expuesto que no haya sido actualizado para aprovechar una vulnerabilidad conocida y obtener acceso inicial a la infraestructura tecnológica de una organización.
La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) mantiene un catálogo de vulnerabilidades activamente explotadas que evidencia la rapidez con la que los actores maliciosos incorporan nuevos fallos a sus operaciones. Para las organizaciones, esto implica la necesidad de fortalecer sus programas de gestión de parches, monitoreo continuo y respuesta ante incidentes, ya que una vulnerabilidad sin corregir puede convertirse en la puerta de entrada para comprometer sistemas críticos.
La venta de información robada continuará alimentando el ecosistema criminal
Flashpoint documentó en su Global Threat Intelligence Report 2026 que la compraventa de credenciales, bases de datos y accesos corporativos continúa siendo una de las actividades más rentables dentro de los mercados clandestinos. Esta información permite a los actores de amenaza lanzar campañas más precisas, realizar fraudes financieros, comprometer cuentas empresariales o facilitar ataques posteriores de ransomware y espionaje digital.
El informe 2026 Global Incident Response Report de Unit 42, la división de inteligencia de amenazas de Palo Alto Networks, destaca que las amenazas actuales operan dentro de un ecosistema criminal altamente interconectado. Las credenciales robadas alimentan campañas de phishing; el phishing facilita accesos iniciales; los accesos comprometidos son vendidos en foros clandestinos; y estos, a su vez, son utilizados por operadores de ransomware y otros grupos criminales para ejecutar ataques de mayor impacto.
Los reportes publicados por Check Point Research, Kaspersky, Rapid7, Flashpoint y Palo Alto Networks durante el primer semestre de 2026 coinciden en una conclusión: el ransomware, el robo de credenciales y el phishing continúan siendo algunos de los principales riesgos para organizaciones y usuarios.
La profesionalización de los grupos criminales, la adopción de modelos de negocio como Ransomware-as-a-Service y el uso de inteligencia artificial para perfeccionar campañas de fraude están incrementando la complejidad del panorama de amenazas.
De cara a junio, las organizaciones deberán prestar especial atención a tres factores:
- El crecimiento sostenido de las operaciones de ransomware.
- El incremento de la explotación de vulnerabilidades críticas y…
- Las campañas de phishing asociadas al Mundial 2026.
En un entorno donde los ataques evolucionan con rapidez y los actores de amenaza aprovechan cualquier oportunidad para obtener beneficios económicos o visibilidad mediática, fortalecer las capacidades de prevención, detección y respuesta seguirá siendo una prioridad estratégica para reducir el impacto de los ciberataques.
La principal lección que deja mayo de 2026 es que las amenazas no están evolucionando de manera aislada. El ransomware, el robo de credenciales, la explotación de vulnerabilidades y el phishing forman parte de un ecosistema criminal cada vez más integrado, donde diferentes actores colaboran para maximizar sus beneficios económicos.
De cara a la segunda mitad del año, las organizaciones deberán asumir que los ataques serán más rápidos, más automatizados y más difíciles de detectar. En este escenario, la ventaja competitiva ya no dependerá únicamente de prevenir incidentes, sino de desarrollar capacidades sólidas de detección, respuesta y resiliencia que permitan reducir el impacto cuando ocurra una intrusión.
