Durante años, el imaginario de la ciberseguridad empresarial estuvo dominado por el malware masivo, los archivos maliciosos y las campañas automatizadas que buscaban volumen. Pero el panorama ha cambiado. El reporte 2026 State of Malware de ThreatDown deja claro que entramos en una nueva etapa: el cibercrimen ya no depende únicamente de código malicioso tradicional, sino de intrusiones humanas sigilosas, credenciales robadas, herramientas legítimas y operaciones impulsadas por inteligencia artificial.
Lo más relevante no es solo que los ataques sean más sofisticados, sino que ahora son más rápidos, más silenciosos y más difíciles de detectar. En 2025, las intrusiones “hands-on-keyboard” dominaron los ataques a empresas: atacantes que se mezclan con la actividad normal, aprovechan herramientas administrativas legítimas, operan durante la noche o los fines de semana, y lanzan ransomware de forma remota desde equipos no protegidos. Hacia el final del año, además, comenzaron a confirmarse campañas en las que agentes de IA ya participan activamente en etapas críticas del ataque.
Para las organizaciones mexicanas, esto cambia la conversación. Ya no basta con pensar en prevención estática o en soluciones aisladas. El reto ahora es reducir la superficie de exposición, acortar los tiempos de respuesta y remediar antes de que el impacto crezca. Ahí es donde cobra especial relevancia el enfoque de ThreatDown, y donde MAPS Distribuidor de ThreatDown en México se convierte en un aliado estratégico para llevar esta capacidad al mercado.
El costo real de un ciberataque ya no se mide solo en rescates
Uno de los hallazgos más contundentes del reporte es que el impacto del cibercrimen moderno va mucho más allá del pago de un rescate. En la primera mitad de 2025, el pago promedio de ransomware fue de 750 mil dólares, pero el costo total promedio de una brecha llegó a 4.4 millones de dólares, casi seis veces más.
ThreatDown documenta además cómo los incidentes se traducen en interrupciones de negocio de gran escala.
Un ataque a Kettering Health provocó un apagón tecnológico en un sistema hospitalario de 14 hospitales; otro a United Natural Foods afectó el suministro a 30,000 tiendas; un incidente contra Collins Aerospace paralizó procesos de check-in en aeropuertos europeos; y el caso de Jaguar Land Rover generó un impacto estimado de 2.5 mil millones de dólares en la economía británica.
La lección es clara: hoy un ciberataque no solo compromete datos. También frena operaciones, golpea la reputación, rompe cadenas de suministro y afecta directamente ingresos, continuidad y confianza.
Así operan los atacantes modernos: sigilo, velocidad y puntos ciegos
ThreatDown identifica cinco patrones operativos que toda empresa debería entender. El primero es la velocidad: los atacantes comprimen ataques de múltiples fases en apenas horas, reduciendo la ventana de reacción del equipo defensor. El segundo es el trabajo nocturno: operan en noches, fines de semana o feriados, aprovechando menor supervisión. El tercero es el clásico living off the land, donde usan herramientas legítimas para pasar desapercibidos. El cuarto es el uso de puntos ciegos, como shadow IT, endpoints sin monitoreo o sistemas con exclusiones de EDR. El quinto es el ataque directo a herramientas de seguridad y recuperación, como hipervisores ESXi, copias sombra y respaldos.
La anatomía del ataque que presenta el informe confirma esta lógica. El acceso inicial sigue viniendo en gran medida de phishing y de la explotación de vulnerabilidades en appliances expuestos a internet, en especial firewalls Fortinet y VPNs SonicWall. Posteriormente, los atacantes buscan persistencia con herramientas RMM como AnyDesk o ConnectWise, elevan privilegios, se mueven lateralmente, exfiltran datos y finalmente cifran. Lo más alarmante es que 86% de los ataques de cifrado en 2025 se ejecutaron de forma remota.
En otras palabras: muchas veces el ransomware no se origina en el equipo que ves afectado, sino en otro dispositivo no protegido que el atacante usa como plataforma de lanzamiento. Eso obliga a repensar por completo el control de la red y el alcance de la protección.
Ransomware: más fragmentado, más impredecible y todavía más peligroso
El informe confirma que 2025 fue el peor año registrado para ransomware, con un incremento de 8% en ataques conocidos y afectación en 135 países. Las grandes marcas del ransomware ya no dominan el mercado como antes; en su lugar, el ecosistema se ha fragmentado en múltiples grupos, programas de afiliados y modelos de Ransomware-as-a-Service.
ThreatDown destaca casos como Qilin, que se convirtió en el grupo más activo del año y se enfocó sobre todo en organizaciones medianas, empresas regionales y proveedores locales; Akira, especialmente agresivo con pymes y empresas mid-market; Cl0p, con campañas de explotación masiva de cero-days; e INC Ransom, que aceleró su crecimiento con un modelo de afiliados en expansión.
Lo importante aquí es que las víctimas preferidas ya no son solo los gigantes globales. El reporte muestra con claridad que las empresas medianas y pequeñas están en el centro del radar, precisamente porque suelen tener menos visibilidad, menos personal y menos capacidad de respuesta.
La IA está reescribiendo el manual del atacante
Si el ransomware ya era preocupante, la sección del reporte dedicada a IA es aún más reveladora. ThreatDown documenta cómo en 2025 se confirmó el inicio de una etapa en la que la IA no solo apoya a atacantes humanos, sino que empieza a orquestar partes del ataque. Deepfakes de voz y video crecieron como herramienta de ingeniería social; IBM encontró que la IA participó en 16% de las brechas, y que dentro de ese grupo el 35% involucró manipulación de voz o video.
En investigación de vulnerabilidades, agentes como Big Sleep, XBOW y Auto Exploit demostraron que la IA ya puede descubrir fallas y generar código de explotación mucho más rápido que muchos humanos, reduciendo ventanas de parcheo a minutos. Más inquietante aún, ThreatDown documenta el surgimiento del ransomware autónomo y del uso malicioso de servidores MCP, que permiten a agentes de IA interactuar con herramientas externas, coordinar movimientos laterales y ejecutar compromisos de extremo a extremo a velocidad de máquina.
El mensaje del reporte es contundente: el cibercrimen ha entrado en su era de machine-scale.
Cómo responder: protección por capas y remediación en pocos clics
Frente a esta evolución, ThreatDown plantea una arquitectura de protección integral que cubre todo el ciclo del ataque, desde reducción de superficie de ataque y prevención, hasta detección, aislamiento y remediación completa. El modelo incluye capas como Email Security, Vulnerability Assessment, Patch Management, DNS Filtering, Web Protection, Exploit Mitigation, Ransomware Detection, Endpoint Isolation, Ransomware Rollback y, de forma muy destacada, Remediation Linking Engine.
Aquí es donde el concepto ThreatDown Remediación en pocos clics cobra muchísimo valor. Porque en el contexto actual, no gana quien detecta primero si no puede actuar rápido. Gana quien puede aislar, contener, revertir y limpiar con mínima fricción operativa. La combinación de EDR, rollback, aislamiento y remediación enlazada permite que los equipos respondan de manera práctica y acelerada, sin depender de procesos lentos ni de múltiples consolas dispersas.
Además, ThreatDown refuerza esta postura con su servicio Managed Detection & Response (MDR), que ofrece monitoreo 24x7x365, analistas especializados, integración con SIEM y SOAR, opciones flexibles de respuesta, despliegue rápido y escalabilidad transparente. Para muchas empresas, especialmente medianas, esto significa cerrar la brecha entre necesidad de protección y escasez de talento interno.
MAPS Distribuidor de ThreatDown en México: del análisis a la acción
En este nuevo escenario, la propuesta de valor ya no puede quedarse en “ver más alertas”. Las organizaciones necesitan reducir puntos ciegos, endurecer identidades, acelerar remediación y apoyarse en servicios expertos que les permitan operar al ritmo del ataque moderno. Eso es exactamente lo que ThreatDown plantea en su reporte y en su arquitectura.
Como MAPS Distribuidor de ThreatDown en México, nuestro papel es acercar esta capacidad al mercado con una visión práctica, consultiva y enfocada en negocio. No solo hablamos de una plataforma reconocida; hablamos de una propuesta diseñada para el presente: ataques remotos, ransomware más veloz, operadores que usan herramientas legítimas y un futuro en el que la IA multiplicará la escala del cibercrimen.
En 2026, la diferencia entre una empresa resiliente y una vulnerable estará en su capacidad para actuar rápido. Y ahí, ThreatDown Remediación en pocos clics deja de ser una característica deseable para convertirse en una necesidad operativa.
Porque hoy proteger ya no es suficiente.
Hoy hay que detectar, responder y remediar antes de que el atacante tome ventaja.
El cibercrimen ya opera a escala de máquina, y las empresas necesitan responder igual de rápido
MAPS Distribuidor de ThreatDown en México
Durante años, el imaginario de la ciberseguridad empresarial estuvo dominado por el malware masivo, los archivos maliciosos y las campañas automatizadas que buscaban volumen. Pero el panorama ha cambiado. El reporte 2026 State of Malware de ThreatDown deja claro que entramos en una nueva etapa: el cibercrimen ya no depende únicamente de código malicioso tradicional, sino de intrusiones humanas sigilosas, credenciales robadas, herramientas legítimas y operaciones impulsadas por inteligencia artificial.
Lo más relevante no es solo que los ataques sean más sofisticados, sino que ahora son más rápidos, más silenciosos y más difíciles de detectar. En 2025, las intrusiones “hands-on-keyboard” dominaron los ataques a empresas: atacantes que se mezclan con la actividad normal, aprovechan herramientas administrativas legítimas, operan durante la noche o los fines de semana, y lanzan ransomware de forma remota desde equipos no protegidos. Hacia el final del año, además, comenzaron a confirmarse campañas en las que agentes de IA ya participan activamente en etapas críticas del ataque.
Para las organizaciones mexicanas, esto cambia la conversación. Ya no basta con pensar en prevención estática o en soluciones aisladas. El reto ahora es reducir la superficie de exposición, acortar los tiempos de respuesta y remediar antes de que el impacto crezca. Ahí es donde cobra especial relevancia el enfoque de ThreatDown, y donde MAPS Distribuidor de ThreatDown en México se convierte en un aliado estratégico para llevar esta capacidad al mercado.
El costo real de un ciberataque ya no se mide solo en rescates
Uno de los hallazgos más contundentes del reporte es que el impacto del cibercrimen moderno va mucho más allá del pago de un rescate. En la primera mitad de 2025, el pago promedio de ransomware fue de 750 mil dólares, pero el costo total promedio de una brecha llegó a 4.4 millones de dólares, casi seis veces más.
La lección es clara: hoy un ciberataque no solo compromete datos. También frena operaciones, golpea la reputación, rompe cadenas de suministro y afecta directamente ingresos, continuidad y confianza.
Así operan los atacantes modernos: sigilo, velocidad y puntos ciegos
ThreatDown identifica cinco patrones operativos que toda empresa debería entender. El primero es la velocidad: los atacantes comprimen ataques de múltiples fases en apenas horas, reduciendo la ventana de reacción del equipo defensor. El segundo es el trabajo nocturno: operan en noches, fines de semana o feriados, aprovechando menor supervisión. El tercero es el clásico living off the land, donde usan herramientas legítimas para pasar desapercibidos. El cuarto es el uso de puntos ciegos, como shadow IT, endpoints sin monitoreo o sistemas con exclusiones de EDR. El quinto es el ataque directo a herramientas de seguridad y recuperación, como hipervisores ESXi, copias sombra y respaldos.
La anatomía del ataque que presenta el informe confirma esta lógica. El acceso inicial sigue viniendo en gran medida de phishing y de la explotación de vulnerabilidades en appliances expuestos a internet, en especial firewalls Fortinet y VPNs SonicWall. Posteriormente, los atacantes buscan persistencia con herramientas RMM como AnyDesk o ConnectWise, elevan privilegios, se mueven lateralmente, exfiltran datos y finalmente cifran. Lo más alarmante es que 86% de los ataques de cifrado en 2025 se ejecutaron de forma remota.
En otras palabras: muchas veces el ransomware no se origina en el equipo que ves afectado, sino en otro dispositivo no protegido que el atacante usa como plataforma de lanzamiento. Eso obliga a repensar por completo el control de la red y el alcance de la protección.
Ransomware: más fragmentado, más impredecible y todavía más peligroso
El informe confirma que 2025 fue el peor año registrado para ransomware, con un incremento de 8% en ataques conocidos y afectación en 135 países. Las grandes marcas del ransomware ya no dominan el mercado como antes; en su lugar, el ecosistema se ha fragmentado en múltiples grupos, programas de afiliados y modelos de Ransomware-as-a-Service.
ThreatDown destaca casos como Qilin, que se convirtió en el grupo más activo del año y se enfocó sobre todo en organizaciones medianas, empresas regionales y proveedores locales; Akira, especialmente agresivo con pymes y empresas mid-market; Cl0p, con campañas de explotación masiva de cero-days; e INC Ransom, que aceleró su crecimiento con un modelo de afiliados en expansión.
Lo importante aquí es que las víctimas preferidas ya no son solo los gigantes globales. El reporte muestra con claridad que las empresas medianas y pequeñas están en el centro del radar, precisamente porque suelen tener menos visibilidad, menos personal y menos capacidad de respuesta.
La IA está reescribiendo el manual del atacante
Si el ransomware ya era preocupante, la sección del reporte dedicada a IA es aún más reveladora. ThreatDown documenta cómo en 2025 se confirmó el inicio de una etapa en la que la IA no solo apoya a atacantes humanos, sino que empieza a orquestar partes del ataque. Deepfakes de voz y video crecieron como herramienta de ingeniería social; IBM encontró que la IA participó en 16% de las brechas, y que dentro de ese grupo el 35% involucró manipulación de voz o video.
En investigación de vulnerabilidades, agentes como Big Sleep, XBOW y Auto Exploit demostraron que la IA ya puede descubrir fallas y generar código de explotación mucho más rápido que muchos humanos, reduciendo ventanas de parcheo a minutos. Más inquietante aún, ThreatDown documenta el surgimiento del ransomware autónomo y del uso malicioso de servidores MCP, que permiten a agentes de IA interactuar con herramientas externas, coordinar movimientos laterales y ejecutar compromisos de extremo a extremo a velocidad de máquina.
El mensaje del reporte es contundente: el cibercrimen ha entrado en su era de machine-scale.
Cómo responder: protección por capas y remediación en pocos clics
Frente a esta evolución, ThreatDown plantea una arquitectura de protección integral que cubre todo el ciclo del ataque, desde reducción de superficie de ataque y prevención, hasta detección, aislamiento y remediación completa. El modelo incluye capas como Email Security, Vulnerability Assessment, Patch Management, DNS Filtering, Web Protection, Exploit Mitigation, Ransomware Detection, Endpoint Isolation, Ransomware Rollback y, de forma muy destacada, Remediation Linking Engine.
Aquí es donde el concepto ThreatDown Remediación en pocos clics cobra muchísimo valor. Porque en el contexto actual, no gana quien detecta primero si no puede actuar rápido. Gana quien puede aislar, contener, revertir y limpiar con mínima fricción operativa. La combinación de EDR, rollback, aislamiento y remediación enlazada permite que los equipos respondan de manera práctica y acelerada, sin depender de procesos lentos ni de múltiples consolas dispersas.
Además, ThreatDown refuerza esta postura con su servicio Managed Detection & Response (MDR), que ofrece monitoreo 24x7x365, analistas especializados, integración con SIEM y SOAR, opciones flexibles de respuesta, despliegue rápido y escalabilidad transparente. Para muchas empresas, especialmente medianas, esto significa cerrar la brecha entre necesidad de protección y escasez de talento interno.
MAPS Distribuidor de ThreatDown en México: del análisis a la acción
En este nuevo escenario, la propuesta de valor ya no puede quedarse en “ver más alertas”. Las organizaciones necesitan reducir puntos ciegos, endurecer identidades, acelerar remediación y apoyarse en servicios expertos que les permitan operar al ritmo del ataque moderno. Eso es exactamente lo que ThreatDown plantea en su reporte y en su arquitectura.
Como MAPS Distribuidor de ThreatDown en México, nuestro papel es acercar esta capacidad al mercado con una visión práctica, consultiva y enfocada en negocio. No solo hablamos de una plataforma reconocida; hablamos de una propuesta diseñada para el presente: ataques remotos, ransomware más veloz, operadores que usan herramientas legítimas y un futuro en el que la IA multiplicará la escala del cibercrimen.
En 2026, la diferencia entre una empresa resiliente y una vulnerable estará en su capacidad para actuar rápido. Y ahí, ThreatDown Remediación en pocos clics deja de ser una característica deseable para convertirse en una necesidad operativa.
Porque hoy proteger ya no es suficiente.
Hoy hay que detectar, responder y remediar antes de que el atacante tome ventaja.
Categorías
Buscar