Un año más, Verizon ha publicado su informe anual sobre brechas de seguridad y ciberataques, el ya habitual Data Breach Investigations Report (DBIR), convertido desde hace años en una de las referencias más seguidas por la industria para entender cómo evoluciona el panorama de amenazas. Y la edición de 2026 deja varios mensajes claros: la explotación de vulnerabilidades ya supera al robo de credenciales como principal vía de acceso inicial, el ransomware sigue creciendo y la inteligencia artificial empieza a acelerar distintas fases de los ataques.
Uno de los cambios más relevantes detectados por el DBIR 2026 es el ascenso de la explotación de vulnerabilidades como principal vector de acceso inicial en los ataques. Según Verizon, ya representa el 31 % de las intrusiones analizadas, frente al 20 % del año anterior, mientras que el abuso de credenciales cae hasta el 13 %.
La IA empieza a acelerar los ataques
Aunque el periodo analizado por el informe cubre principalmente incidentes ocurridos entre octubre de 2024 y noviembre de 2025, Verizon dedica parte del documento a anticipar el impacto que ya empieza a tener la IA generativa en las operaciones ofensivas.
El equipo del DBIR explica que los atacantes están utilizando GenAI para distintas fases de sus campañas, incluyendo la selección de objetivos, la investigación de vulnerabilidades, el desarrollo de malware y la automatización de técnicas de intrusión.
El informe también advierte de la evolución de la ingeniería social. Verizon observa un aumento de técnicas basadas en voz y en interacciones móviles diseñadas para sorprender a las víctimas durante la jornada laboral, alejándose parcialmente de los modelos tradicionales de phishing masivo por correo electrónico.
El ransomware sigue creciendo
Otro de los grandes protagonistas del DBIR 2026 vuelve a ser el ransomware. Verizon asegura que este tipo de ataques ya aparece en el 48 % de todas las brechas analizadas, frente al 44 % registrado en la edición anterior.
Sin embargo, el informe también identifica una tendencia interesante: cada vez más organizaciones se niegan a pagar rescates. Según los datos recopilados por Verizon, el 69 % de las víctimas de ransomware no realizó ningún pago a los atacantes.
El informe subraya también que la dependencia de servicios externos, plataformas cloud y ecosistemas conectados está ampliando el impacto potencial de las brechas y complicando la gestión de la seguridad.
Más presión sobre dispositivos expuestos e IoT
El DBIR también llama la atención sobre el riesgo asociado a dispositivos obsoletos o fuera de soporte conectados a Internet, especialmente en entornos IoT y de conectividad remota.
Verizon identificó entre 45.000 y 50.000 dispositivos de módem inalámbrico fuera de soporte con interfaces de administración accesibles públicamente durante varios meses de 2025. Según el informe, muchos de estos equipos están siendo reutilizados por actores maliciosos como nodos intermedios para campañas ofensivas.
Ante este escenario, el informe insiste en que, pese a la irrupción de la IA y a la sofisticación creciente de los ataques, los fundamentos siguen siendo determinantes: Visibilidad sobre activos y terceros, segmentación de red, gestión de vulnerabilidades y capacidad de respuesta continúan siendo las principales prioridades defensivas.
