Los ataques habilitados por IA aumentan un 89% mientras el tiempo de acceso a las infraestructuras corporativas por parte de los ciberdelincuentes cae a 29 minutos; las herramientas y plataformas de desarrollo de IA están siendo explotadas activamente
CrowdStrike ha publicado su Informe Global de Amenazas 2026, que revela que la IA está acelerando las capacidades de los ciberdelincuentes y ampliando la superficie de ataque empresarial.
El tiempo promedio de acceso a los activos empresariales por parte de los grupos de ciberdelincuentes se redujo a sólo 29 minutos en 2025, y el más rápido observado ocurrió en apenas 27 segundos. Los criminales también están explotando activamente los propios sistemas de IA, inyectando indicaciones maliciosas en herramientas de IA generativa en más de 90 organizaciones y abusando de plataformas de desarrollo de IA. El informe de CrowdStrike deja claro que, a medida que la innovación se acelera, la explotación por parte de los ciberdelincuentes avanza al mismo ritmo.
Los criminales incrementaron sus operaciones habilitadas por IA en un 89% respecto al año pasado, empleando mayoritariamente como vectores de ataque la IA como arma en reconocimiento, el robo de credenciales y la evasión. Las intrusiones ahora se desplazan a través de identidades de confianza, aplicaciones SaaS e infraestructuras en la nube, mimetizándose con la actividad normal mientras consiguen reducir la capacidad de respuesta de los responsables de seguridad. La IA, según muestra el estudio de CrowdStrike, es, por tanto, acelerador y objetivo.
Aspectos destacados del Informe Global de Amenazas de CrowdStrike
Basado en la inteligencia de primera línea de los equipos de lucha contra amenazas e inteligencia de CrowdStrike, que rastrean a más de 280 grupos identificados, el informe revela que:
* La IA es la nueva superficie de ataque: los prompts son el nuevo malware. Los ciberdelincuentes explotaron herramientas legítimas de IA generativa en más de 90 organizaciones mediante la inyección de prompts maliciosos para generar comandos destinados al robo de credenciales y criptomonedas. También explotaron vulnerabilidades en plataformas de desarrollo de IA para establecer persistencia y desplegar ransomware, y publicaron servidores de IA maliciosos que suplantaban servicios de confianza para interceptar datos sensibles.
* Tiempo de acceso a infraestructuras corporativas más rápido registrado: a medida que la IA acelera los ataques, el tiempo promedio de acceso a activos empresariales por parte de los ciberdelincuentes ha caído a 29 minutos, un 65% más rápido que 2024. El acceso más rápido observado llegó en sólo 27 segundos. En una intrusión analizada, la extracción de datos comenzó cuatro minutos después del acceso inicial.
* Aceleración del uso de IA por Estados nación y eCrime: los ciberdelincuentes habilitados por la IA incrementaron su actividad en un 89 %. El actor vinculado a Rusia FANCY BEAR desplegó malware habilitado con LLM (LAMEHUG) para automatizar el reconocimiento y la recopilación de documentos. El actor de eCrime PUNK SPIDER utilizó scripts generados por IA para acelerar el volcado de credenciales y borrar evidencias forenses; y el actor vinculado a Corea del Norte FAMOUS CHOLLIMA empleó identidades generadas por IA para escalar operaciones internas.
* Aumento de operaciones vinculadas a China y Corea del Norte: la actividad asociada a China aumentó un 38 % en 2025, con el sector logístico como el más afectado (incremento del 85%). El 67 % de todas las vulnerabilidades explotadas por actores vinculados a China proporcionó acceso inmediato al sistema, mientras que el 4 0% apuntó a dispositivos edge expuestos a Internet. Los incidentes vinculados a Corea del Norte aumentaron en más de un 130 %, con más del doble de actividad de FAMOUS CHOLLIMA. El robo de criptomonedas por valor de 1.460 millones de dólares de PRESSURE CHOLLIMA fue el mayor atraco financiero único jamás denunciado.
* Crecen los zero-day y la explotación en la nube: el 42 % de las vulnerabilidades se explotó antes de su divulgación pública, ya que los ciberdelincuentes utilizaron ataques zero-day para acceso inicial, ejecución remota de código y escalada de privilegios. Las intrusiones orientadas a la nube aumentaron un 37 % en general, con un incremento del 266 % por parte de actores vinculados a Estados que atacan entornos cloud para recopilación de inteligencia.
«Esta es una carrera armamentista basada en la IA», afirma Adam Meyers, responsable de operaciones contra ciberdelincuentes en CrowdStrike. «El tiempo de acceso es la señal más clara de cómo ha cambiado la intrusión. Los criminales pasan del acceso inicial al movimiento lateral en minutos. La IA está reduciendo al mínimo el tiempo entre intención y ejecución, y se están utilizando los sistemas de IA empresariales como objetivos. Los equipos de seguridad deben operar más rápido que el criminal si quieren vencerle».
Arriba, en la foto, Adam Meyers, responsable de operaciones contra ciberdelincuentes en CrowdStrike
