El 2025 no solo confirmó que la ciberseguridad vive en modo acelerado; también demostró que las predicciones dejaron de ser ejercicios hipotéticos para convertirse en hechos medibles. Durante el último año, los investigadores de WatchGuard Technologies vieron cumplirse varias de las advertencias que habían anticipado. Hoy, a las puertas de 2026, la compañía profundiza sobre el riesgo ya no es la IA como herramienta de apoyo al atacante, sino la IA como atacante en sí.
Desde el laboratorio de amenazas Threat Lab, dos de las voces técnicas más escuchadas del sector, Marc Laliberte y Corey Nachreiner, coinciden en que la evolución de los modelos generativos, multimodales y de razonamiento sobrepasó el umbral de asistencia para entrar en el de ejecución. “Una cosa es usar IA para escribir malware, y otra muy distinta es que un agente autónomo dirija toda la intrusión sin intervención humana”, explicó Laliberte en un encuentro reciente con prensa especializada.
De acuerdo con los expertos, los agentes de inteligencia artificial que hoy generan código o automatizan operaciones básicas serán lo suficientemente sofisticados para coordinar ataques completos, de punta a punta, en cuestión de segundos. Esa velocidad máquina contra máquina, dicen, cambiará para siempre la forma en que se diseñan las defensas.
2026: punto de quiebre sin vuelta atrás
Aunque el calendario aún no llega, el consenso dentro de la industria es que 2026 será recordado como el año en que la IA tomó el volante ofensivo. Para WatchGuard, no se trata de una posibilidad remota, sino de una trayectoria inevitable. La compañía asegura que 2026 marcará el primer incidente de seguridad operado por herramientas agénticas completamente autónomas, capaces de ejecutar cada fase de la cadena de eliminación del atacante a velocidad masiva y sin pausas de lógica humana.
En 2025, WatchGuard anticipó que las herramientas multimodales podrían operar todas las etapas del cyber kill chain. Hoy, la organización confirma que esa previsión se cumplió: las IA pudieron reconocer entornos, descifrar imágenes, entender prompts y generar acciones para vulnerar sistemas encadenando tareas que antes requerían equipos enteros de operadores humanos.
Desde un enfoque más técnico e indirecto, Nachreiner explicó en varios foros que las IA actuales ya “piensan”, analizan, sintetizan y responden con cada vez menos supervisión humana. La pregunta correcta dejó de ser si podrían hacerlo, para convertirse en cuándo lo harían y quién será el primero en vivirlo. Bajo esa misma línea, WatchGuard sostiene que la primera brecha ejecutada por agentes autónomos en 2026 será el llamado de alerta más importante en décadas para las organizaciones globales.
Laliberte advierte que los defensores no pueden permitirse el lujo de esperar. “Combatir fuego con fuego ya no es una frase, es un requisito operativo. Solo las herramientas de defensa impulsadas por IA, desplegadas con la misma velocidad que la ofensiva autónoma, tendrán posibilidades reales de éxito”, dijo recientemente el directivo, subrayando que la defensa tradicional corre el riesgo de quedar obsoleta incluso antes de ser desplegada.
El ransomware no será lo que hoy conocemos
Si algo marcó 2025 es que los modelos de negocio del crimen cibernético también evolucionan, y evoluciona con ellos su método estrella: el ransomware. Pero el diagnóstico de WatchGuard cambia profundamente el mapa. Para 2026, el ransomware basado en cifrado de datos, conocido industrialmente como crypto-ransomware, entrará en fase terminal.
La causa no es una disminución de ataques, sino todo lo contrario: es la prueba de que el chantaje por cifrado dejó de ser la palanca más efectiva para presionar a las víctimas. Hoy, con capacidades de respaldo y restauración mucho más robustas, las organizaciones han desarrollado “músculo operativo” para recuperarse sin pagar. Las empresas aprendieron a desconectarse rápido, restaurar más eficientemente y perderle el miedo a la narrativa de descifrado irreversible. Esto provocará que los atacantes abandonen el cifrado para enfocarse en un vector más rentable y doloroso: el robo de datos y la extorsión por exposición pública.
“La rentabilidad del cifrado como mecanismo de presión se acabó. La nueva moneda será la exposición”, señaló Laliberte. Y el modelo que anticipa es perturbador: el extorsionador robará datos, amenazará con filtrarlos y, para aumentar la angustia de la víctima, incluso alertará a reguladores o aseguradoras para sumarle daño reputacional, financiero y legal al impacto original del ataque.
En América Latina, un mercado con altos niveles de adopción de nube pública y dispositivos distribuidos, el valor de la información se ha multiplicado dramáticamente. No es solo el dato robado, sino el contexto de su exposición lo que hoy puede provocar la peor crisis de continuidad en una empresa.
Otro de los puntos centrales dentro del análisis de la compañía se concentra en los repositorios de paquetes de código abierto, que ya son altamente utilizados por millones de desarrolladores en el mundo. Plataformas como NPM y PyPI, sistemas críticos que alimentan cadenas de suministro de software global, se han convertido en objetivos prioritarios de ataques a la supply chain. Los controles tradicionales, por más estrictos, han demostrado ser insuficientes para igualar la agilidad ofensiva.
Regulación europea, el efecto dominó global
La Ley de Resiliencia Cibernética en Europa terminará por convertirse en la regulación más influyente para 2026. Aunque inicialmente está orientada a la Unión Europea, su impacto será transversal. Desde septiembre, fabricantes tendrán que reportar en 24 horas vulnerabilidades explotadas e incidentes, un requisito que detona un incentivo profundo para construir con seguridad desde el diseño. WatchGuard anticipa que esta regulación no quedará en Europa, sino que empujará efectos dominó a nivel global, especialmente en mercados de adopción rápida como América Latina.
Laliberte y Nachreiner han señalado indirectamente que la implementación inicial será confusa, incluso caótica, pero que sentará una lógica perdurable: si la vulnerabilidad debe reportarse en 24 horas, entonces el software debe nacer seguro por diseño, porque la prisa por parchar se volverá exposición inevitable.
Mientras tanto, en México, la conversación paralela ya existe. Países como Brasil y México impulsan estrategias propias de resiliencia digital, empujadas por el nearshoring, la adopción de edge computing y la creciente interdependencia de los data centers regionales con cargas de IA y nube pública.
En América Latina, la adopción de VPN tradicionales sigue presente en miles de pymes. Pero la visión técnica es clara: si un atacante obtiene credenciales de usuario confiable, el VPN se convierte en la puerta de entrada perfecta. Hacia 2026, al menos un tercio de brechas tendrá como origen configuraciones deficientes, ausencia de MFA y exposición de puertos inseguros.
Por esa razón, las pymes migrarán hacia ZTNA, una arquitectura que elimina la necesidad de exponer un puerto de VPN a internet, limita el acceso del usuario solo a recursos específicos y traslada la responsabilidad de protección al proveedor en la nube. ZTNA no hará a la pyme invulnerable, advierte WatchGuard, pero sí reducirá la superficie de ataque de forma dramática.
Lee más:
- TikTok construirá su primer data center en América Latina con 100% energía eólica
- El retail media ya no es tendencia, es infraestructura
- TD SYNNEX galardonada con los premios AWS Partner Awards 2025
