Según el informe EfficientIP DNS Threat Intelligence Report 2026: The Era of Staged Attacks, durante 2025 los atacantes han adoptado un modelo más industrializado, automatizado y silencioso, basado en la creación previa de infraestructuras maliciosas —especialmente dominios— que permanecen inactivas hasta el momento oportuno. Este enfoque permite operar “a velocidad de máquina” y esquivar las defensas tradicionales, más orientadas a la detección reactiva que a la anticipación.
El informe destaca el papel del DNS como fuente de inteligencia. Explica que el análisis del tráfico permite identificar señales previas a la ejecución del ataque, como la generación masiva de dominios, su registro escalonado o su activación puntual. Una evidencias que, aseguran, ofrecen una ventana de oportunidad para actuar antes de que el impacto llegue a usuarios o negocio.
En 2026 los ataques serán cada vez más automatizados, efímeros y difíciles de rastrear
Phishing y automatización: las amenazas dominantes
El phishing sigue siendo el principal vector de ataque, representando en torno al 30% de los dominios maliciosos detectados en 2025. Su presencia es constante, aunque se intensifica en campañas concretas vinculadas a contextos específicos, como temporadas de compras o eventos relevantes.
También se observa un crecimiento sostenido de los fraudes vinculados a criptomonedas, que duplican su actividad a lo largo del año.
Por sectores, los servicios cloud y online concentran cerca del 23% de los ataques de phishing, seguidos por plataformas de criptomonedas (18%) y redes sociales (16%).
Otra de las conclusiones relevantes es el grado de automatización alcanzado por los atacantes. El informe documenta operaciones capaces de generar cientos de miles de dominios potenciales para command and control, y asegura que estas infraestructuras tienden a estar altamente centralizadas. En algunos casos, apenas 69 sistemas son capaces de controlar más de 150.000 sitios fraudulentos, lo que permite a grupos reducidos lanzar campañas globales con gran eficiencia.
Malware
El comportamiento del malware también refleja esta evolución. A lo largo de 2025, su actividad se ha mantenido estable, pero con una clara intensificación en el último trimestre, donde se observa una fase sostenida de operaciones antes de una retirada abrupta.
Los datos del informe de Efficient IP dejan clara una tendencia de cara a 2026: los ataques serán cada vez más automatizados, efímeros y difíciles de rastrear. En este escenario, la capacidad de anticiparse —identificando patrones antes de la ejecución— se convierte en un elemento diferencial.
El informe concluye que las organizaciones que integren inteligencia de amenazas basada en DNS y capacidades apoyadas en inteligencia artificial estarán mejor posicionadas para adelantarse a ataques cada vez más rápidos y sofisticados.
