Google revela la radiografía del cibercrimen en 2026: crece el phishing por voz y el sector tech es el más atacado

Google y su filial de ciberseguridad Mandiant difundieron los resultados del informe anual M-Trends 2026, que recopila datos de más de 500.000 horas de análisis de incidentes reales durante todo 2025.

El documento ofrece una radiografía del cibercrimen mundial, con nuevas tendencias y tácticas que marcan el pulso de las amenazas digitales. El reporte detalla cómo los ciberdelincuentes han adaptado sus métodos frente a la evolución tecnológica y los cambios en los sistemas de defensa empresarial.

Según el informe, el año pasado el sector de alta tecnología desplazó a la banca y los servicios financieros como el principal objetivo de los ataques, mientras que el phishing por voz o vishing escaló hasta convertirse en el segundo vector de infección inicial más frecuente.

Cómo el phishing por voz superó al correo electrónico como vector de ataque

El informe global señala que el phishing por voz experimentó un crecimiento sin precedentes, representando ya el 11% de los accesos iniciales en incidentes investigados, solo por detrás de los exploits técnicos, que abarcan el 32%.

Hasta hace poco, el phishing por correo electrónico era la vía dominante, pero su uso cayó del 14% al 6% en solo un año. Esta transformación refleja un giro hacia tácticas más personalizadas e interactivas.

Cuáles son los sectores empresariales más afectados por los ciberataques

La investigación revela que el sector de alta tecnología fue el principal objetivo de los ciberataques durante 2025, superando a los servicios financieros, que encabezaron los registros en años anteriores.

Además, entre los sectores más afectados figuran los servicios profesionales y la salud, aunque el reporte detecta incidentes relevantes en más de 16 industrias distintas.

Los atacantes priorizan organizaciones vinculadas al desarrollo o gestión de infraestructuras digitales, por el potencial impacto y alcance de los datos comprometidos.

Se observa una tendencia creciente a transferir rápidamente el control de los sistemas comprometidos a otros grupos criminales especializados, con el fin de ejecutar ataques de mayor escala o desplegar ransomware.

De qué forma ha evolucionado el ransomware o el secuestro de datos

Los grupos de ransomware han modificado sus estrategias, enfocando sus esfuerzos en destruir capacidades de recuperación y copias de seguridad en lugar de limitarse al robo de información.

Esta táctica busca maximizar el daño y las probabilidades de obtener pagos por extorsión. Solo el 9% de las familias de malware detectadas están orientadas al robo de credenciales, mientras que los backdoors y downloaders lideran el ranking de amenazas.

Asimismo, el tiempo de traspaso entre el acceso inicial y la intervención de un grupo secundario se redujo drásticamente: en 2022 superaba las 8 horas, mientras que en 2025 descendió a solo 22 segundos. Este fenómeno evidencia una mayor colaboración y especialización entre los actores del cibercrimen.

Cuál es el impacto de la inteligencia artificial en el cibercrimen global

El reporte advierte que la inteligencia artificial potencia la capacidad de los atacantes para escalar y personalizar sus ofensivas, aunque la mayoría de las intrusiones aún explotan debilidades humanas y fallos sistémicos.

Pruebas de acceso inicial confirman que la combinación de explotación técnica y manipulación psicológica produce los mayores índices de éxito para los ciberdelincuentes.

Un dato alentador es que el 52% de las amenazas fueron detectadas internamente, un avance respecto al 43% del año anterior, pero la notificación por parte de los atacantes aumentó en los incidentes de ransomware.

Qué sugiere el informe para fortalecer la defensa empresarial

El análisis propone adoptar un paradigma defensivo adaptativo, basado en la visibilidad continua, la protección de identidades y la segmentación de infraestructuras críticas.

Entre las pautas preventivas figura la expansión de la retención de logs en todo el ecosistema, incluyendo dispositivos de red y servicios de autenticación, y la priorización de la gestión y parcheo de superficies externas.

El informe enfatiza la necesidad de verificar identidades de forma continua, asegurar la integridad de los registros enviándolos a ubicaciones centralizadas y aislar sistemas de gestión críticos, como hipervisores y plataformas de administración.