La identidad digital se consolida como uno de los principales riesgos de ciberseguridad. El compromiso de credenciales, sobre todo en casos de intrusión es una de las causas de incidentes que más ha crecido en 2025, una tendencia que se agrava con la automatización y la escalada de la IA agéntica. Estos modelos pueden, además, acelerar la explotación de fallos en componentes de software desactualizado, que se han incrementado en un 52% respecto a 2024. Son las principales conclusiones que recoge la cuarta edición del Informe de Tendencias en Ciberseguridad presentado hoy en Barcelona por Sofistic, la empresa de ciberseguridad del grupo tecnológico Cuatroochenta. Una investigación que analiza los resultados anonimizados de una muestra representativa de 140 auditorías y la monitorización de 100.000 alertas y 1.500 casos a través de su centro de operaciones de seguridad (SOC) realizada a empresas de España y Latinoamérica a lo largo de 2025.
La inteligencia artificial amplifica los riesgos asociados a la identidad, a través de ataques más personalizados, automatizados y escalables. Según señala el informe, “la ingeniería social, el malware infostealer (robo de datos de forma silenciosa en navegadores o cookies de sesión, por ejemplo), las filtraciones masivas o los ataques de fuerza bruta están detrás de este tipo brechas”. Además, el resultado de las auditorías refleja que los fallos de control de acceso son los más frecuentes, con el 38% respecto el total de vulnerabilidades analizadas. Son fallos que evidencian intrusiones, a través de las cuales un usuario o un sistema podría realizar acciones o consultar información para la que no está autorizado. Los fallos de identificación y autenticación son los que más crecen, en concreto un 300% respecto a 2024.
Phishing polimórfico: la ingeniería social automatizada
“La formación y concienciación ha puesto en alerta a las personas usuarias, permitiendo verificar correos fraudulentos”, según el informe que advierte al mismo tiempo del auge del phishing polimórfico impulsado por IA. Son campañas que generan contenido dinámico y adaptable en tiempo real, ajustando el tono, el estilo y la narrativa según el perfil y el comportamiento del objetivo. Los datos reflejan una reducción en el porcentaje de personas que hacen clic en enlaces fraudulentos (-21%) y en el de las que facilitan credenciales (-9%). Aun así, 1 de cada 3 personas que recibe un correo de phishing lo abre, el 19% accede a enlaces y el 12% cede datos.
La IA es un vector de ataque, sobre todo como una herramienta integrada en el crime as a service y que, además, reduce la barrera de entrada para ataques complejos. Pero los agentes de IA también se han integrado en la parte preventiva y defensiva para agilizar la respuesta a amenazas y minimizar su impacto. La combinación de LLMs con herramientas de automatización de flujos de trabajo, que incluyen inteligencia avanzada, permiten recibir alertas, evaluarlas dando contexto y generar un análisis de forma automática. Son sistemas que complementan y potencian la labor de los analistas de seguridad para que puedan investigar incidentes complejos y comprender en profundidad el entorno específico de cada cliente.
Las infraestructuras críticas, objetivo de alto impacto
Las infraestructuras críticas son el sector, que con un 41%, representa porcentualmente un mayor volumen de casos gestionados a través del SOC de Sofistic, distribuido entre España y Latinoamérica. Es un sector con alta preparación y una buena base de ciberseguridad, pero “el actual contexto geopolítico expone todavía más a este tipo de instalaciones esenciales, como son la energía, el transporte o el suministro de agua”. En este caso, la motivación económica pasa a un segundo plano. Una situación de la que vienen advirtiendo también organismos internacionales de referencia como el Foro Económico Mundial, el Centro Criptológico Nacional (CCN) de España o el Instituto Nacional de Ciberseguridad (INCIBE).
En el ranking de sectores más amenazados, según el análisis de Sofistic, se sitúa en segunda posición el educativo, que concentra muchos datos, está muy expuesto digitalmente, especialmente tras la pandemia, y tiene una amplia superficie de ataque. Le sigue el retail, con un alto atractivo económico. Un ámbito con “unos márgenes económicos muy ajustados y la inversión en ciberseguridad, aunque va en alza, es limitada”. Cierran la clasificación el sector sanitario y las telecomunicaciones.
El jueves, el día con más ataques
Aunque existen indicios y evidencias de que los ciberdelincuentes intentan atacar durante períodos de menor actividad y menor concentración, como los fines de semana o festivos, los datos recogidos por Sofistic apuntan que el jueves es el día de la semana en el que se detectan más incidentes. Por horas, la noche y la madrugada es cuando la actividad de los ciberdelincuentes se intensifica, tanto en España como en Latinoamérica. “Las crecientes tensiones geopolíticas, el Black Friday y las festividades de Navidad y fin de año, con menor actividad, pueden explicar que los ataques de los ciberdelincuentes se hayan intensificado en la segunda mitad del año”, según el informe.
Recomendaciones de ciberseguridad para 2026
El informe convierte datos verificados en líneas de acción estratégicas para reforzar la seguridad empresarial y mitigar riesgos. Con este propósito, el documento plantea una serie de recomendaciones prácticas ante un entorno cada vez más complejo:
Reforzar la protección de la cadena de suministro ante una superficie de exposición más amplia y compleja. Para ello deben implementarse medidas como la actualización regular de software, la monitorización de anomalías apoyada en gestión inteligente de datos o la segmentación de redes.
Adoptar un modelo Zero Trust y una correcta política de actualizaciones ante posibles vulnerabilidades o fallos de código que pueden ser aprovechados por los ciberdelincuentes.
Formación continua y personalizada ante nuevas amenazas más sofisticadas como los deepfakes o el vishing.
Priorizar la gestión de la identidad digital ante el impulso de la IA con políticas de confianza cero o la adopción de autenticación multifactor.
Colaboración y respuesta coordinada entre empresas privadas y organismos públicos ante un escenario de amenazas cada vez más complejas y marcadas por el tenso e incierto panorama geopolítico.
El Informe de tendencias en ciberseguridad 2026 se basa en una muestra representativa del trabajo realizado por el equipo de Sofistic en 2025, compuesta por 140 auditorías de seguridad y 1.350 vulnerabilidades y los resultados de la monitorización de 100.000 alertas y 1.500 casos gestionados a través del SOC, con sedes en Panamá, Colombia y España. El análisis se centra principalmente en infraestructuras críticas, banca y finanzas, educación, salud, servicios, retail y telecomunicaciones en Latinoamérica y España, aunque las conclusiones y recomendaciones son extrapolables a cualquier organización. El informe ha sido elaborado por Manu Ginés (Head of R&D en Sofistic) y Juan Carlos García (Chief Operations Officer & SOC Director y Ph.D. in Computer Science).