Los ciberdelincuentes están cambiando de estrategia, pero no de objetivo. Los fallos de seguridad —los conocidos exploits— siguen siendo la principal puerta de entrada en los ciberataques por sexto año consecutivo. Así lo confirma el informe M-Trends 2026 de Mandiant, basado en más de 500.000 horas de respuesta a incidentes realizadas durante 2025.
El documento dibuja un panorama claro: los atacantes son más rápidos, más coordinados y cada vez más eficaces a la hora de comprometer sistemas críticos. Además, están abandonando técnicas tradicionales como el phishing masivo por correo electrónico en favor de métodos más sofisticados y difíciles de detectar.
El auge del phishing por voz y el declive del email
Uno de los cambios más relevantes detectados por Mandiant es la evolución de la ingeniería social. El phishing por voz, o vishing, se ha convertido en el segundo vector de infección más común, presente en el 11% de los incidentes analizados. Mientras tanto, el phishing por correo electrónico continúa su caída tras años de dominio.
Este cambio no es menor. A diferencia de los correos masivos, el phishing por voz implica interacción directa con la víctima, lo que lo hace mucho más difícil de detectar mediante herramientas automatizadas. Los atacantes, en muchos casos, se hacen pasar por empleados o personal de soporte para convencer a sus objetivos de compartir credenciales o autorizar accesos.
Grupos como UNC6040 han utilizado estas técnicas para obtener acceso a aplicaciones SaaS legítimas, mientras que otros, como UNC3944 —vinculado a la actividad de Scattered Spider— han centrado sus ataques en departamentos de soporte técnico, solicitando cambios de contraseñas o configuraciones de autenticación multifactor.
Ataques más rápidos y coordinados
Otro de los hallazgos del informe es la aceleración en los tiempos de ataque. El modelo de “división del trabajo” entre grupos criminales está cada vez más extendido. En este esquema, un grupo obtiene el acceso inicial y lo cede inmediatamente a otro especializado en la explotación.
En 2022, el tiempo medio entre el acceso inicial y este traspaso era de más de ocho horas. En 2025, se ha reducido a apenas 22 segundos.
Este cambio reduce drásticamente la capacidad de respuesta de las organizaciones. En muchos casos, cuando se detecta la intrusión inicial, el atacante ya ha avanzado en la red o incluso desplegado malware.
Más tiempo dentro de las redes sin ser detectados
A pesar de la rapidez en las fases iniciales, los atacantes también están mejorando su capacidad de permanencia. El tiempo medio que pasan dentro de una red sin ser detectados —conocido como dwell time— ha aumentado a 14 días en 2025, frente a los 11 días del año anterior.
En casos de espionaje o campañas vinculadas a actores estatales, este tiempo puede extenderse hasta los cuatro meses. Estos atacantes utilizan herramientas legítimas del sistema, imitan comportamientos administrativos y eliminan rastros para evitar ser descubiertos.
Aunque más de la mitad de las organizaciones logró detectar internamente la actividad maliciosa, los casos en los que la alerta provino de terceros tardaron una media de 25 días en identificarse, más del doble que el año anterior.
El ransomware cambia de estrategia: destruir la recuperación
El ransomware sigue siendo una amenaza clave, presente en el 13% de los incidentes analizados. Sin embargo, su evolución es clara: los atacantes ya no se limitan a cifrar datos y robar información, sino que buscan impedir cualquier capacidad de recuperación.
Esto implica ataques directos a infraestructuras críticas como sistemas de copia de seguridad, entornos de virtualización y servicios de identidad. En varios casos, los atacantes lograron eliminar millones de copias de seguridad o bloquear el acceso de los propios equipos de seguridad a los sistemas.
También se han detectado ataques a hipervisores, donde los delincuentes cifran directamente los sistemas virtualizados, esquivando controles tradicionales de seguridad.
Explotación de vulnerabilidades antes incluso de los parches
El informe destaca otro dato clave: el tiempo medio de explotación de vulnerabilidades es ahora negativo. Esto significa que, en muchos casos, los atacantes comienzan a explotar fallos antes de que exista un parche disponible.
Entre las vulnerabilidades más explotadas en 2025 se encuentran fallos críticos en SAP NetWeaver, Oracle E-Business Suite y Microsoft SharePoint. Todas ellas fueron utilizadas como zero-day, es decir, antes de que los fabricantes publicaran soluciones.
Dispositivos de red, el nuevo objetivo
Los dispositivos de red, especialmente los que operan en el perímetro o en el núcleo de la infraestructura, se han convertido en un objetivo prioritario. Estos equipos suelen carecer de herramientas avanzadas de detección, lo que los convierte en puntos ciegos dentro de la red.
Los atacantes los utilizan para capturar credenciales, moverse lateralmente y mantener persistencia sin ser detectados. En algunos casos, incluso emplean funcionalidades propias de los dispositivos, como la captura de tráfico, para extraer información sensible.
