Durante años, la narrativa clásica de la ciberseguridad se apoyó en una imagen casi cinematográfica: un atacante “entrando” en un sistema a fuerza de explotar una vulnerabilidad, escalar privilegios y moverse dentro de la red como si fuera un intruso en la oscuridad. Cloudflare sostiene que esa película está cambiando de género. En su primer Threat Intel Report 2026, la compañía describe un giro de fondo en la forma de atacar: cada vez más actores —desde cibercriminales hasta grupos vinculados a estados— dejan de “forzar la puerta” y pasan a “iniciar sesión”.
La diferencia no es solo semántica. “Irrumpir” sugiere un fallo técnico que se corrige con parches y hardening. “Iniciar sesión” apunta a un problema más incómodo: identidades, confianza y permisos. Si el atacante entra con credenciales válidas (robadas, compradas, suplantadas o inducidas con ingeniería social), la defensa deja de ser un muro y se convierte en un sistema continuo de verificación: demostrar, una y otra vez, que quien está dentro es quien dice ser.
Cloudflare enmarca este cambio con un dato que explica por qué la presión no afloja: afirma que su red bloquea una media de 230.000 millones de amenazas al día. El volumen es tan grande que también empuja otra transformación: cuando la escala es masiva —y la velocidad lo es todo— la respuesta humana se queda corta.
La IA no inventa el ataque, pero abarata el “cómo”
Uno de los puntos más repetidos en el informe es que la inteligencia artificial ha reducido la barrera de entrada del cibercrimen sofisticado. Cloudflare apunta a un patrón: el uso de modelos de lenguaje para mapear redes en tiempo real, acelerar el desarrollo de exploits y fabricar deepfakes cada vez más creíbles. Incluso detalla el seguimiento de un atacante que habría utilizado IA para localizar datos de alto valor y, con esa pista, comprometer cientos de entornos corporativos en un ataque de cadena de suministro que afectó a aplicaciones SaaS multi-tenant de alto volumen.
La idea clave no es que la IA “haga magia”, sino que reduce tiempo, coste y fricción. Donde antes hacía falta especialización, ahora basta con guía, iteración y paciencia. Y, en paralelo, el ecosistema criminal se profesionaliza: herramientas mejores, playbooks más claros y un mercado de servicios ilícitos cada vez más accesible.
De “objetivo masivo” a “objetivo quirúrgico”: la evolución del estado-nación
Cloudflare también describe una evolución táctica en grupos vinculados a China: menos ruido, más precisión. Menciona específicamente a Salt Typhoon y Linen Typhoon, que habrían desplazado el foco hacia telecomunicaciones en América del Norte, entidades gubernamentales y servicios de TI, moviéndose del espionaje tradicional al posicionamiento previo persistente: dejar capacidades implantadas en infraestructura crítica para habilitar acciones futuras.
Este matiz es importante para responsables de sistemas: no siempre se trata de “robar algo hoy”, sino de estar dentro mañana, cuando el contexto sea más favorable. Y ese “estar dentro” puede ser tan simple —y tan devastador— como conservar accesos legítimos o difíciles de distinguir de la operación normal.
Corea del Norte y el ataque que entra por Recursos Humanos
Si el inicio de sesión es el nuevo “break-in”, el informe deja una advertencia especialmente incómoda: la identidad corporativa también se secuestra. Cloudflare afirma que operativos vinculados a Corea del Norte estarían usando deepfakes e identificaciones fraudulentas para colarse en procesos de selección, logrando que trabajadores patrocinados por el estado terminen en nóminas de empresas occidentales. Para ocultar su ubicación real, el informe menciona el uso de “granjas de laptops” basadas en Estados Unidos.
Para IT y seguridad esto no es solo un problema de “personas”: es un problema de dispositivos gestionados, accesos a VPN, repositorios, herramientas internas, secretos de CI/CD y, en el peor caso, persistencia desde dentro con apariencia legítima.
DDoS a escala imposible: cuando la respuesta debe ser autónoma
El otro gran bloque del informe vuelve a la infraestructura pura y dura. Cloudflare describe botnets de gran escala —como Aisuru— que habrían evolucionado hasta el nivel de amenaza “de estado”, con ataques capaces de tumbar redes completas y picos récord de 31,4 Tbps. La conclusión es directa: frente a ofensivas de esa velocidad, la defensa manual no llega; hacen falta mecanismos de mitigación plenamente autónomos.
Este punto conecta con una realidad cotidiana para admins y equipos SRE: el DDoS ya no es solo “ruido” contra la web pública. Puede ser un vector de distracción, una palanca para degradar servicios “core”, o un método de presión en momentos críticos.
Qué cambia para defensores: identidad, automatización y visibilidad útil
El informe de Cloudflare, más allá del titular, empuja una lectura práctica: si el atacante “inicia sesión”, la defensa debe priorizar tres cosas.
- Seguridad centrada en identidad: ya no basta con proteger perímetros. Toca reforzar autenticación, reducir privilegios, endurecer el acceso a SaaS y asumir que el control más valioso es el de “quién” y “con qué contexto” accede.
- Respuesta automática a escala: tanto en DDoS como en anomalías de tráfico y comportamiento, la ventana de reacción se estrecha. La automatización deja de ser un “nice to have” para convertirse en requisito operativo.
- Inteligencia accionable, no decorativa: Cloudflare insiste en que los atacantes prosperan en brechas creadas por inteligencia fragmentada y obsoleta, y reivindica su visibilidad global como ventaja para anticipar campañas.
En 2026, la seguridad ya no se parece tanto a poner una cerradura mejor. Se parece más a vigilar continuamente quién tiene llave, cuándo la usa, desde dónde, con qué dispositivo y para hacer qué.
Preguntas frecuentes
¿Qué significa “iniciar sesión” como táctica de ataque en ciberseguridad?
Implica que el atacante logra acceso usando credenciales o identidades (robadas, suplantadas o manipuladas) en lugar de depender únicamente de explotar una vulnerabilidad técnica. El impacto suele ser mayor porque el acceso puede parecer legítimo en los registros.
¿Cómo afectan los deepfakes a los equipos de IT y a la seguridad corporativa?
No solo se usan para engañar a usuarios: también pueden servir para superar filtros de contratación o controles de identidad. Eso puede traducirse en accesos reales a VPN, correo, repositorios, herramientas internas y datos sensibles.
¿Qué nivel de DDoS obliga a usar mitigación automática?
Cuando los ataques alcanzan escalas de varios Tbps, la capacidad humana de reacción y ajuste manual suele ser insuficiente. En esos escenarios, la mitigación automatizada y la preparación previa (runbooks, umbrales, pruebas) se vuelven críticas.
¿Qué es el “posicionamiento previo persistente” en ataques de estado-nación?
Es la estrategia de implantar o mantener acceso en redes objetivo para habilitar operaciones futuras. No siempre busca impacto inmediato; busca estar dentro cuando llegue el momento oportuno (crisis, negociación, conflicto, etc.).
