En 2026 veremos cómo las organizaciones van a experimentar una transición fundamental en sus estrategias de seguridad. Como consecuencia de la creciente explotación de vulnerabilidades en el Edge y del uso de tácticas living off the land» (LOTL) por parte de los ciberdelincuentes, las defensas reactivas irán perdiendo peso en favor de una prevención proactiva de amenazas.
Un estudio reciente en el que se analizan 700.000 incidentes de seguridad revela que en el 84 % de los ataques se utilizan técnicas LOTL, lo que significa que los adversarios recurren a aplicaciones o herramientas legítimas existentes en el entorno en lugar de basar sus ataques en malware. Por ello, a medida que los atacantes se integren cada vez más en la actividad normal de la red, las organizaciones tendrán que adoptar modelos de seguridad que prioricen la prevención y reduzcan dinámicamente las superficies de ataque, aplicando accesos personalizados y reforzando las defensas antes de que las amenazas alcancen la capa de detección.
Entornos diseñados para repeler más que para detectar
Durante años las estrategias de seguridad se han centrado en la idea de que detectar y responder a los ataques con rapidez era suficiente para minimizar los daños. Sin embargo, esta mentalidad se desmorona cuando los adversarios ya no dependen del malware y actúan como un empleado más. Las técnicas LOTL les permiten trabajar con discreción, utilizando herramientas nativas del sistema operativo, escalando privilegios y propagándose lateralmente sin activar las alertas de seguridad.
En estos momentos, las herramientas de detección y respuesta de endpoints (EDR) y de detección y respuesta extendidas (XDR) han madurado y se han adoptado ampliamente, hasta el punto de que ahora se consideran capacidades básicas y no diferenciadoras. Aunque siguen siendo esenciales, ya no son suficientes por sí solas. Los actores de amenazas han aprendido a eludir sus detecciones y han desarrollado métodos para desactivar los agentes EDR/XDR por completo durante las primeras etapas de un ataque.
Es por ello que en 2026 las organizaciones van a tener que orientarse a la construcción de entornos diseñados para ser hostiles con los atacantes. En estos momentos los ciberdelincuentes ya están automatizando el reconocimiento, explotando vulnerabilidades tan solo unas horas después de su divulgación y utilizando herramientas legítimas como PowerShell, WMIC o Certutil para imitar comportamientos de confianza. Dado que estas acciones no suelen dejar artefactos de malware ni binarios sospechosos, incluso las plataformas más avanzadas de EDR y XDR pueden generar grandes volúmenes de alertas benignas o de baja señal, lo que dificulta que los equipos de seguridad distingan la verdadera actividad maliciosa del comportamiento normal del sistema.
El resultado es claro: la superficie de ataque en sí misma (no la precisión en la detección) es ahora el campo de batalla.
Controles preventivos impulsados por IA
Una tendencia que definirá 2026 será el auge de los sistemas de prevención adaptativos basados en IA, dirigidos a reforzar de forma continua los entornos basándose en el comportamiento real y la inteligencia de amenazas. Históricamente, los controles de prevención se consideraban rígidos o disruptivos, pero la IA moderna les permite ser precisos, dinámicos y escalables al poder aprender cómo cada empleado utiliza las aplicaciones y las herramientas del sistema, otorgando o restringiendo privilegios de acceso según las necesidades y el riesgo de cada puesto de trabajo, y bloqueando las acciones de alto riesgo antes de que lleguen a la capa de detección.
Por ejemplo, si un usuario nunca usa PowerShell, el acceso puede restringirse por completo. Si otro lo usa regularmente para tareas legítimas, el sistema puede permitir comandos típicos, pero bloquear los cifrados u ofuscados asociados con intenciones maliciosas. Esto crea una postura de seguridad que se adapta continuamente, bloqueando las vías de ataque a la velocidad de la máquina y minimizando las oportunidades de escala. Con la capacidad de la IA para actuar de forma autónoma y observar patrones en entornos completos, la prevención proactiva es más eficiente que cuando se depende de humanos para detectar alertas.
Las capacidades de detección y respuesta seguirán siendo esenciales, pero las organizaciones las reforzarán con tecnologías preventivas de última generación diseñadas para detener a los atacantes que se aprovechan de técnicas basadas en la confianza, como LOTL.
A medida que la prevención desempeñe un papel más importante en las estrategias de defensa modernas, estos modelos ayudarán a los equipos de seguridad a reducir el uso innecesario de herramientas y privilegios para cerrar brechas de seguridad, disminuir las rutas de movimiento lateral e interrumpir intrusiones repetibles, como las de un manual de estrategias, garantizando que cada sistema se comporte de forma diferente. También reducirán la fatiga de alertas para que los equipos puedan centrarse en las amenazas reales, a la vez que alinearán los controles de seguridad con las condiciones en tiempo real y el comportamiento del usuario.
Así, cuando las organizaciones superen la idea de que la detección por sí sola puede contrarrestar las técnicas cada vez más automatizadas y sigilosas, estarán mejor posicionadas para afrontar los ataques en constante evolución. Los equipos de seguridad que sean capaces de reducir la superficie de ataque, restringir las herramientas innecesarias, imponer privilegios de datos e implementar controles adaptativos también estarán mejor preparados para responder a métodos de ataque más sofisticados.
Para los profesionales de seguridad y TI, el mensaje es claro: la ciberseguridad debe ir más allá de la lucha contra el incendio. Confiar únicamente en defensas reactivas significa aceptar el riesgo y depender de los tiempos de respuesta humanos ante ataques automatizados. En 2026, la prevención proactiva se convertirá en una estrategia clave, permitiendo a las organizaciones anticiparse a las amenazas en lugar de perseguirlas.
Martin Zugec, director de Soluciones Técnicas de Bitdefender
