La identidad digital se consolida como uno de los principales riesgos de ciberseguridad. El compromiso de credenciales, sobre todo en casos de intrusión (+3%), es una de las causas de incidentes que más ha crecido en 2025, una tendencia que se agrava con la automatización y la escalada de la IA agéntica. Estos modelos pueden, además, acelerar la explotación de fallos en componentes de software desactualizado, que se han incrementado en un 52% respecto el 2024. Son las principales conclusiones que recoge la cuarta edición del Informe de Tendencias en Ciberseguridad presentado en La Fábrica Moritz en Barcelona por Sofistic, la empresa de ciberseguridad del grupo tecnológico Cuatroochenta. Una investigación que analiza los resultados anonimizados de una muestra representativa de 140 auditorías y la monitorización de 100.000 alertas y 1.500 casos a través de su centro de operaciones de seguridad (SOC) realizada a empresas de España y Latinoamérica a lo largo de 2025.
La inteligencia artificial amplifica los riesgos asociados a la identidad, a través de ataques más personalizados, automatizados y escalables. Según señala el informe, “la ingeniería social, el malware infostealer (robo de datos de forma silenciosa en navegadores o cookies de sesión, por ejemplo), las filtraciones masivas o los ataques de fuerza bruta están detrás de este tipo brechas”. Además, el resultado de las auditorías refleja que los fallos de control de acceso son los más frecuentes, con el 38% respecto el total de vulnerabilidades analizadas. Son fallos que evidencian intrusiones, a través de las cuales un usuario o un sistema podría realizar acciones o consultar información para la que no está autorizado. Los fallos de identificación y autenticación son los que más crecen, en concreto un 300% respecto a 2024.

«Observamos un uso creciente de la inteligencia artificial para lanzar múltiples tipos de ataques, desde campañas de fraude personalizadas incorporando deepfake y voice cloning, hasta campañas de ataques a infraestructuras orquestadas directamente por IA»
Phishing polimórfico: la ingeniería social automatizada
“La formación y concienciación ha puesto en alerta a las personas usuarias, permitiendo verificar correos fraudulentos”, según el informe que advierte al mismo tiempo del auge del phishing polimórfico impulsado por IA. Son campañas que generan contenido dinámico y adaptable en tiempo real, ajustando el tono, el estilo y la narrativa según el perfil y el comportamiento del objetivo. Los datos reflejan una reducción en el porcentaje de personas que hacen clic en enlaces fraudulentos (-21%) y en el de las que facilitan credenciales (-9%). Aun así, 1 de cada 3 personas que recibe un correo de phishing lo abre, el 19% accede a enlaces y el 12% cede datos.
La IA es un vector de ataque, sobre todo como una herramienta integrada en el crime as a service y que, además, reduce la barrera de entrada para ataques complejos. Pero los agentes de IA también se han integrado en la parte preventiva y defensiva para agilizar la respuesta a amenazas y minimizar su impacto. La combinación de LLMs con herramientas de automatización de flujos de trabajo, que incluyen inteligencia avanzada, permiten recibir alertas, evaluarlas dando contexto y generar un análisis de forma automática. Son sistemas que complementan y potencian la labor de los analistas de seguridad para que puedan investigar incidentes complejos y comprender en profundidad el entorno específico de cada cliente.

Informe gratuito
¿Quieres conocer las principales tendencias en ciberseguridad para este 2026?
Las infraestructuras críticas, objetivo de alto impacto

Atlantis SOC, Centro de Operaciones de Seguridad, de Sofistic en Panamá.
Las infraestructuras críticas son el sector, que con un 41%, representa porcentualmente un mayor volumen de casos gestionados a través del SOC de Sofistic, distribuido entre España y Latinoamérica. Es un sector con alta preparación y una buena base de ciberseguridad, pero “el actual contexto geopolítico expone todavía más a este tipo de instalaciones esenciales, como son la energía, el transporte o el suministro de agua”. En este caso, la motivación económica pasa a un segundo plano. Una situación de la que vienen advirtiendo también organismos internacionales de referencia como el Foro Económico Mundial, el Centro Criptológico Nacional (CCN) de Espala o el Instituto Nacional de Ciberseguridad (INCIBE).
En el ranking de sectores más amenazados, según el análisis de Sofistic, se sitúa en segunda posición el educativo, que concentra muchos datos, está muy expuesto digitalmente, especialmente tras la pandemia, y tiene una amplia superficie de ataque. Le sigue el retail, con un alto atractivo económico. Un ámbito con “unos márgenes económicos muy ajustados y la inversión en ciberseguridad, aunque va en alza, es limitada”. Cierran la clasificación el sector sanitario y las telecomunicaciones.
«La ciberseguridad ya no es un componente técnico aislado, sino un elemento un estratégico transversal que influye directamente en la estabilidad económica, social y geopolítica. Afrontarla exige respuestas informadas, rápidas y coordinadas, una visión global y la capacidad de anticiparse a amenazas ante un panorama cada vez más complejo y desafiante»
El jueves, el día con más ataques
Aunque existen indicios y evidencias de que los ciberdelincuentes intentan atacar durante períodos de menor actividad y menor concentración, como los fines de semana o festivos, los datos recogidos por Sofistic apuntan que el jueves es el día de la semana en el que se detectan más incidentes. Por horas, la noche y la madrugada es cuando la actividad de los ciberdelincuentes se intensifica, tanto en España como en Latinoamérica. “Las crecientes tensiones geopolíticas, el Black Friday y las festividades de Navidad y fin de año, con menor actividad, pueden explicar que los ataques de los ciberdelincuentes se hayan intensificado en la segunda mitad del año”, según el informe.
Recomendaciones de ciberseguridad para 2026
El informe convierte datos verificados en líneas de acción estratégicas para reforzar la seguridad empresarial y mitigar riesgos. Con este propósito, el documento plantea una serie de recomendaciones prácticas ante un entorno cada vez más complejo:
¿Quieres conocer las principales conclusiones del análisis de los resultados de las auditorías y la monitorización del SOC?
El Informe de tendencias en ciberseguridad 2026 se basa en una muestra representativa del trabajo realizado por el equipo de Sosfistic en 2025, compuesta por 140 auditorías de seguridad y 1.350 vulnerabilidades y los resultados de la monitorización de 100.000 alertas y 1.500 casos gestionados a través del SOC, con sedes en Panamá, Colombia y España. El análisis se centra principalmente en infraestructuras críticas, banca y finanzas, educación, salud, servicios, retail y telecomunicaciones en Latinoamérica y España, aunque las conclusiones y recomendaciones son extrapolables a cualquier organización. El informe ha sido elaborado por Manu Ginés (Head of R&D en Sofistic) y Juan Carlos García (Chief Operations Officer & SOC Director y Ph.D. in Computer Science).
Sofistic es la empresa de ciberseguridad del grupo tecnológico Cuatroochenta. Con casi dos décadas de experiencia y presencia internacional en Europa y Latinoamérica, está especializada en ayudar a organizaciones e instituciones a proteger sus activos más críticos, garantizar la continuidad de sus operaciones y reforzar la confianza en los ecosistemas que operan. Cuenta con estándares ampliamente reconocidos —ISO 27001, ISO 9001, ENS y SOC 2 Type II— que avalan su compromiso con la seguridad de la información, la disponibilidad de los sistemas y la privacidad de los datos, en línea con el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y las normativas locales de protección de datos. Además, integra tecnologías avanzadas y por el uso responsable y gobernado de la inteligencia artificial, siempre bajo supervisión humana y con criterios de transparencia y fiabilidad.