El panorama de la ciberseguridad está entrando en una nueva fase marcada por la aceleración de los ataques, la profesionalización del cibercrimen y una creciente sofisticación en las técnicas de evasión. Así lo pone de manifiesto el informe M-Trends 2026 de Mandiant, basado en más de 500.000 horas de investigaciones reales realizadas durante 2025.
El documento dibuja un escenario en el que conviven dos modelos de atacante claramente diferenciados: por un lado, grupos criminales que buscan impacto inmediato —especialmente a través de ransomware— y, por otro, actores de espionaje que priorizan la persistencia y el sigilo, apoyándose en dispositivos de red poco monitorizados y funcionalidades nativas para evitar la detección.
Ataques más rápidos… y más difíciles de detectar
Uno de los cambios más relevantes es la reducción drástica del tiempo entre el acceso inicial y la ejecución del ataque. Según el informe, el intervalo medio entre ambos pasos ha pasado de más de ocho horas en 2022 a apenas 22 segundos en 2025.
Este dato refleja el auge de un ecosistema criminal altamente especializado, en el que distintos actores colaboran: unos obtienen el acceso inicial y otros ejecutan la intrusión con herramientas ya preparadas.
En paralelo, el tiempo medio de permanencia de los atacantes dentro de una organización —el conocido dwell time— ha aumentado hasta los 14 días, lo que apunta a una mayor capacidad para esquivar los controles de seguridad.
Del phishing al ransomware
el vishing —fraude a través de llamadas telefónicas— se dispara hasta el 11%
El informe también confirma un cambio en las técnicas de ingeniería social. Mientras el phishing tradicional por correo pierde peso (6% de los ataques), el vishing —fraude a través de llamadas telefónicas— se dispara hasta el 11% y se convierte en el segundo vector de entrada más habitual.
Este tipo de ataques está especialmente dirigido a los equipos de soporte IT, con el objetivo de eludir mecanismos como la autenticación multifactor (MFA) y comprometer entornos SaaS. A partir de ahí, los atacantes aprovechan tokens de sesión o credenciales persistentes para moverse lateralmente entre servicios y organizaciones.
Otro de los cambios estructurales tiene que ver con la evolución del ransomware. Ya no se trata solo de cifrar datos, sino de impedir cualquier capacidad de recuperación.
Mandiant observa cómo los atacantes están centrando sus esfuerzos en infraestructuras críticas como sistemas de backup, servicios de identidad o plataformas de virtualización. El objetivo es claro: forzar a las organizaciones a pagar o enfrentarse a reconstrucciones completas de sus sistemas.
Dispositivos de red: el nuevo punto ciego
En el ámbito del ciberespionaje, el informe alerta del creciente interés por dispositivos de red como VPN o routers, que en muchos casos carecen de capacidades avanzadas de monitorización.
Además, el tiempo medio de explotación de vulnerabilidades se sitúa en valores negativos (-7 días), lo que significa que los atacantes están explotando fallos antes incluso de que existan parches disponibles.
Este tipo de ataques permite a los adversarios mantenerse ocultos durante largos periodos —en algunos casos, cerca de 400 días— sin necesidad de comprometer directamente endpoints tradicionales.
los atacantes aprovechan lagunas en áreas como la identidad, los entornos SaaS o los dispositivos de red
La IA acelera, pero no es el origen del problema
Aunque la inteligencia artificial empieza a formar parte del arsenal de los atacantes —por ejemplo, para evadir detecciones o extraer información de modelos—, Mandiant subraya que la mayoría de las brechas siguen teniendo su origen en fallos básicos: errores humanos, malas configuraciones o debilidades en los procesos.
Eso sí, la IA actúa como acelerador, permitiendo automatizar ataques y aumentar su alcance, lo que refuerza la necesidad de revisar los modelos de defensa.
El informe también recoge un dato positivo: el 52% de los incidentes fueron detectados internamente por las propias organizaciones, frente al 43% del año anterior.
Sin embargo, este avance convive con un entorno cada vez más complejo, en el que la visibilidad sigue siendo parcial y los atacantes aprovechan lagunas en áreas como la identidad, los entornos SaaS o los dispositivos de red.
El informe de Mandiant recomienda evolucionar hacia modelos de verificación continua de identidad, detección basada en comportamiento y una mayor protección de los planos críticos —especialmente identidad, virtualización y backup—, en línea con una tendencia que el mercado ya está consolidando: pasar de la visibilidad a la validación continua de la exposición.
