La ciberseguridad está entrando en un territorio desconocido hasta ahora. Ya no hablamos de que los hackers ataquen nuestros móviles o sistemas de sobremesa de Windows. Ahora, el objetivo principal es la inteligencia artificial. Y es de sentido común: la utilizan las empresas y los usuarios para sus operaciones más importantes.
Un mero fallo en los permisos de un agente de IA, un token mal configurado o una clave API expuesta puede suponer una brecha de datos de millones de personas, o incluso a escala industrial.
Así lo han advertido los expertos de seguridad que han analizado qué podemos esperar de este panorama en 2026. De hecho, anticipan que los sistemas de IA se convertirán en los blancos predilectos. De igual manera, las «deepfakes» alcanzarán un nivel de perfección que será mucho más difícil distinguirlas de imágenes o vídeos reales. Pero también hay espacio para los navegadores, que ya son terreno fértil para las extensiones maliciosas y un phishing cada vez más profesional.
La ingeniería social y la IA son las principales herramientas de los ciberdelincuentes. Por lo que vamos a ver las principales predicciones de ciberseguridad para el año 2026.
La IA se convertirá en el blanco favorito de los ciberdelincuentes
La seguridad de la IA ha sido un tema secundario hasta ahora. No es que las empresas dieran la espalda a la seguridad de sus datos. Pero la tecnología de desarrollo ha evolucionado más rápidamente que sus sistemas de seguridad. A día de hoy, las empresas cuentan con copilotos de IA, pipelines automatizados y agentes autónomos en su cadena de producción.
En este apartado, los expertos han alcanzado un consenso generalizado. Y es que argumentan que veremos un aumento de vulnerabilidades que afecten a la IA. Desde frameworks de entrenamiento hasta los propios motores. De hecho, las amenazas son específicas y a más de uno puede poner los vellos de punta. Ya se están inyectando promps para desviar el comportamiento de sistema, están entrenando modelos nocivos y extrayendo datos de modelos entrenados que cuestan millones de euros. De hecho, un agente autónomo que consiga entrar en una base de datos puede conseguir información confidencial sin que nadie lo detecte hasta que ya sea demasiado tarde.
Aumento de las «Deepfakes»
Uno de los cambios más dramáticos en esta industria, según los expertos, será la profesionalización de las deepfakes. Las voces sintéticas son cada vez más naturales, y los vídeos generados por IA ya son raramente diferenciables de los reales. Por lo que un atacante podría suplantar a un gran cargo de una empresa en una videollamada.
Así lo afirma David Meese, director del Servicio de Ciberseguridad de la empresa Resilience:
«El problema de las deepfakes que preocupaba a todos hace dos años es cien veces peor hoy, y será cien veces peor en un año. Ya estamos viendo avatares y voces generados por IA que son indistinguibles de los reales. En la DEF CON de este año, los equipos utilizaron modelos de IA para ejecutar campañas de ingeniería social totalmente automatizadas, llamando a empresas reales y engañando con éxito a los empleados para que compartieran información».
Este problema puede llegar a ser tan profundo que las empresas ya están reinventando su modo de trabajar. Algunas hablan de reintroducir «palabras clave de seguridad» para contrastar una identidad real en reuniones por videollamada. Otras simplemente volverán al método tradicional de las reuniones presenciales. Si lo que escuchamos o vemos en pantalla puede ser falso, no queda otra que «des-digitalizar» para ganar en seguridad.
El problema para los navegadores
Las empresas migran cada vez más hacia software basado en la nube y están abandonando los sistemas de hardware. Lo que conlleva que los navegadores sean el epicentro de trabajo de muchas empresas. Sin embargo, también podemos considerarlo un campo de minas. Cada vez se descubren más extensiones malignas, páginas de phishing más creíbles.
De hecho, el factor humano en este proceso supone un punto de debilidad fuerte. Los atacantes ya no necesitan nuevas tácticas de ingeniería social, porque utilizan la IA para hacerlas más efectivas. De hecho, un correo de phishing generado por IA, con un contexto verificado, es mucho más dañino y creíble que uno genérico.
Por lo tanto, las defensas deben desarrollarse en este contexto. La búsqueda inteligente deberá cuestionar prácticamente cualquier actividad online, y los empleados deberán seguir formándose en IA y seguridad. Por lo que 2026 será un año crucial para la seguridad de las empresas.
