El informe sitúa la explotación de vulnerabilidades como la principal causa de ataques, al representar el 40% de los incidentes observados por X-Force en 2025. A esto se suma un dato especialmente revelador: los ataques que comenzaron con la explotación de aplicaciones públicas aumentaron un 44%, impulsados por la falta de controles de autenticación y por el uso de IA para detectar fallos con mayor rapidez.
El mensaje es claro: la IA no sustituye el manual del atacante; lo acelera. Donde antes había días de exploración y tanteo, ahora puede haber minutos. Esa velocidad castiga a las organizaciones que arrastran tareas pendientes: parches que no llegan, configuraciones laxas, accesos sobredimensionados o controles de identidad inconsistentes. El resultado es una ventaja operativa para el adversario: más intentos, más superficie rastreada y más oportunidades de éxito con técnicas conocidas.
Ransomware fragmentado y más difícil de atribuir
El ecosistema de ransomware también se está reconfigurando. IBM X-Force registró un incremento del 49% en los grupos activos de ransomware y extorsión en un año, con operadores más pequeños y transitorios que lanzan campañas de menor volumen, lo que complica la atribución y el seguimiento.
Aquí la IA actúa como igualador del mercado criminal: reduce barreras de entrada y permite automatizar tareas que antes requerían experiencia. El informe apunta, además, a la reutilización de herramientas filtradas y a manuales ya probados, una combinación que aumenta la escala sin necesidad de innovación técnica. En ese contexto, la defensa no puede depender solo de perímetro y reacción: exige detección temprana, respuesta ágil y disciplina operativa en los fundamentos.
Identidad, credenciales y la nueva exposición de las plataformas de IA
Un punto especialmente sensible es la identidad en entornos con IA. El documento señala que malware tipo infostealer expuso más de 300.000 credenciales de ChatGPT en 2025, un indicio de que estas plataformas ya afrontan riesgos de credenciales comparables a los de otras soluciones SaaS empresariales.
La preocupación va más allá del acceso a una cuenta. Un atacante con credenciales puede extraer información, manipular resultados o introducir prompts maliciosos que contaminen procesos internos. Por eso, el informe subraya la necesidad de extender a la IA corporativa medidas que deberían ser estándar: autenticación robusta, controles de acceso condicional y una evaluación real del uso de estas herramientas en toda la organización.
Cadenas de suministro: el efecto dominó se acelera
La presión sobre proveedores y terceros también crece. IBM X-Force identifica que los grandes compromisos de cadena de suministro o terceros casi se cuadruplicaron desde 2020, en parte por la explotación de relaciones de confianza y la automatización de flujos CI/CD e integraciones SaaS. La advertencia final es incómoda, pero práctica: si la IA acelera el desarrollo, también puede acelerar la introducción de código no revisado o prácticas inseguras.
En 2026, la prioridad no es perseguir la herramienta perfecta, sino cerrar lo obvio con rigor: parcheo disciplinado, identidad fuerte, configuración correcta y visibilidad continua. La IA ha cambiado el ritmo del ataque; la defensa debe cambiar su ritmo de ejecución.
