Ataques de ransomware aumentan 389% debido a la IA agéntica

El panorama de la ciberseguridad ha cruzado un umbral crítico en este primer cuatrimestre de 2026. Según el Informe Global de Paisaje de Amenazas 2026 de Fortinet, publicado esta mañana, los ataques de ransomware han experimentado una explosión sin precedentes, registrando un aumento del 389% en las víctimas confirmadas año tras año. Esta cifra no es solo un indicador de volumen, sino el síntoma de una transformación estructural en la forma en que operan los grupos cibercriminales: la transición hacia la “IA Agéntica” (Agentic AI).

A diferencia de la automatización tradicional o el uso simple de modelos de lenguaje para generar correos de phishing, la IA agéntica representa el uso de agentes autónomos capaces de razonar, planificar y ejecutar ciclos de ataque completos sin intervención humana. Esta evolución ha pulverizado las métricas de respuesta tradicionales, dejando a los defensores en una carrera contra algoritmos que no descansan, no cometen errores de fatiga y procesan vulnerabilidades a una velocidad que la mente humana apenas puede procesar.

La era de la IA Agéntica: El cerebro detrás del 389% de aumento

El núcleo del reporte de Fortinet señala que el crecimiento exponencial de los ataques de ransomware se debe a la implementación de sistemas multi-agente en el lado ofensivo. Estos “Shadow Agents” (agentes en la sombra) funcionan como una fuerza laboral virtual que orquestra el ciclo de vida del ataque de extremo a extremo. El proceso, que antes requería semanas de reconocimiento manual por parte de hackers experimentados, ahora se ha industrializado mediante las siguientes capacidades:

• Reconocimiento Autónomo: Agentes de IA que escanean superficies de ataque globales en busca de configuraciones erróneas y vulnerabilidades específicas, priorizando objetivos basados en la probabilidad de éxito y el valor de los activos.
• Armamentización Dinámica: Capacidad de generar payloads personalizados en tiempo real que se adaptan para evadir las soluciones de detección y respuesta en el endpoint (EDR) específicas del objetivo.
• Movimiento Lateral Inteligente: Una vez dentro de la red, la IA agéntica no se limita a seguir reglas fijas; analiza el tráfico interno, identifica los controladores de dominio y las bases de datos críticas, y se desplaza de forma silenciosa utilizando credenciales legítimas obtenidas mediante infostealers.

Derek Manky, Estratega Jefe de Seguridad y VP Global de Inteligencia de Amenazas en Fortinet, destaca que el cibercrimen ya no opera como una serie de campañas aisladas, sino como un “sistema industrializado” donde la IA optimiza cada dólar invertido en la infraestructura de ataque.

Compresión del TTE: El colapso del tiempo de reacción

Uno de los datos más alarmantes del informe es la reducción drástica del Time-to-Exploit (TTE). En 2024, el tiempo promedio entre la divulgación de una vulnerabilidad crítica y su explotación activa era de aproximadamente 4.76 días. Hoy, en 2026, Fortinet reporta que el TTE se ha comprimido a un rango de 24 a 48 horas.

Este fenómeno se hizo evidente con la reciente vulnerabilidad bautizada como React2Shell. Según la telemetría de FortiGuard Labs, los primeros intentos de explotación masiva se detectaron apenas unas horas después de que el fallo se hiciera público. La IA permite a los atacantes realizar ingeniería inversa de parches de seguridad casi instantáneamente, desarrollando exploits funcionales antes de que la mayoría de los departamentos de TI hayan tenido tiempo de evaluar el riesgo o programar una ventana de mantenimiento. En este nuevo ecosistema, los ataques de ransomware se lanzan sobre sistemas vulnerables mucho antes de que el ciclo tradicional de gestión de parches pueda cerrarse.

El fenómeno del “Ransomware Roto”: El caso de VECT 2.0

A pesar de la sofisticación de la IA para la intrusión, la ejecución técnica del cifrado ha mostrado una tendencia preocupante: el surgimiento del “ransomware roto”. El informe pone como ejemplo principal a VECT 2.0, una variante que ha ganado tracción en foros de la dark web como BreachForums.

Investigaciones de Check Point Research, complementadas por los hallazgos de Fortinet, revelan que VECT 2.0 posee una falla crítica en su motor criptográfico basado en libsodium. El malware intenta utilizar el cifrado ChaCha20-IETF, pero debido a un error de lógica en el manejo de los nonces (números únicos utilizados en el cifrado), el sistema descarta tres de cada cuatro claves necesarias para la recuperación de archivos de gran tamaño.

Impacto técnico de VECT 2.0:

• Umbral de destrucción: Cualquier archivo superior a 128 KB (131,072 bytes) es cifrado de tal forma que los datos originales se pierden permanentemente.
• Inutilidad del rescate: Incluso si la víctima paga la extorsión en Monero y recibe el descifrador, la recuperación es matemáticamente imposible.
• Comportamiento de Wiper: Aunque se promociona como una herramienta de extorsión, VECT 2.0 actúa operativamente como un data wiper (borrador de datos).

Esta “chapuza técnica” subraya un riesgo adicional para las empresas: el pago del rescate ya no es una opción de recuperación, ni siquiera desde una perspectiva puramente pragmática. La industrialización ha permitido que actores con menores habilidades técnicas utilicen kits de IA para desplegar ransomware masivamente, sin comprender la arquitectura defectuosa de las herramientas que están empleando.

La economía de los “Shadow Agents” y el robo de datasets

El informe de Fortinet identifica un cambio radical en el botín preferido de los delincuentes. Mientras que en años anteriores el foco eran las credenciales de acceso, en 2026 el mercado negro se ha saturado de datasets completos robados mediante infostealers. Se ha observado un aumento del 79% en el robo de registros de sistemas comprometidos, sumándose al incremento del 500% ya registrado en 2025.

La IA agéntica facilita este proceso al “masticar” volúmenes masivos de datos exfiltrados para identificar información personal identificable (PII), secretos corporativos y propiedad intelectual. Estos agentes autónomos priorizan de forma inteligente qué datos tienen mayor valor de reventa o mayor potencial de extorsión, automatizando incluso las negociaciones de rescate mediante modelos de lenguaje que imitan el tono legal o corporativo para presionar a las juntas directivas.

Además, el concepto de “Shadow AI” dentro de las empresas está creando nuevos vectores de ataque. Empleados que utilizan agentes de IA no autorizados para automatizar sus tareas diarias están exponiendo inadvertidamente credenciales de sesión y datos sensibles, creando “tuberías invisibles” que los atacantes aprovechan para eludir el perímetro de seguridad tradicional.

Sectores bajo fuego y el costo de la inacción

El reporte desglosa que los ataques de ransomware en 2026 han golpeado con mayor dureza a los sectores de manufactura, servicios empresariales y retail. Solo en Estados Unidos se confirmaron 3,381 víctimas, seguido por Canadá y Alemania. Estos sectores son particularmente vulnerables debido a la interconexión de sus cadenas de suministro y la dependencia crítica de los sistemas de tecnología operativa (OT).

La ciberdelincuencia ya no se ve como un conjunto de eventos fortuitos, sino como una interrupción sistémica de la economía global. El costo promedio de una brecha en 2026 ha escalado, no solo por el rescate exigido, sino por el tiempo de inactividad operativa causado por variantes destructivas como VECT 2.0 que obligan a las empresas a reconstruir sus infraestructuras desde cero, en lugar de simplemente restaurar archivos.

Hacia una defensa industrializada: IA contra IA

Ante un enemigo que ataca a la velocidad de la máquina, la defensa humana ya no es suficiente. Fortinet advierte que las operaciones de seguridad (SecOps) deben evolucionar hacia una “defensa industrializada”. Esto implica:

1. SOC Autónomos: Transicionar de alertas gestionadas por humanos a flujos de trabajo donde agentes de IA defensiva realicen el triaje, la investigación y la contención inicial en segundos.
2. Arquitectura de Confianza Continua: Implementar modelos de Zero Trust que verifiquen cada acceso no solo por identidad, sino por el comportamiento biométrico y el contexto del dispositivo en tiempo real.
3. Gestión de Exposición Basada en Riesgo (CTEM): Priorizar la remediación de vulnerabilidades basándose en la telemetría de amenazas activas, cerrando el ciclo de parcheo en cuestión de horas para igualar el TTE de los atacantes.

La conclusión del Informe de Paisaje de Amenazas de Fortinet es clara: el 2026 marca el fin de la ciberseguridad reactiva. Los ataques de ransomware impulsados por IA agéntica han redefinido las reglas del juego. Las organizaciones que no adopten tecnologías de respuesta autónoma y estrategias de resiliencia proactiva se encontrarán indefensas ante un sistema cibercriminal que ahora posee la capacidad de aprender, adaptarse y destruir a una escala nunca antes vista.

La soberanía digital y la continuidad del negocio dependen hoy de la capacidad de las empresas para superar en velocidad y aprendizaje a sus adversarios. En un mundo donde el “breakout time” de una intrusión se mide en minutos y el tiempo para explotar una falla se cuenta en horas, la única defensa viable es aquella que puede operar, sin descanso, a la velocidad de la luz.