¿El ransomware y el secreto siguen siendo las señales definitorias de los ciberataques modernos, o la industria ha estado demasiado obsesionada con el ruido y ha pasado por detención un cambio más peligroso que se está produciendo silenciosamente a su aproximadamente?
Según el nuevo Crónica Rojo 2026 de Picus Labs, que analizó más de 1,1 millones de archivos maliciosos y mapeó 15,5 millones de acciones adversas observadas en 2025, los atacantes ya no están optimizando las interrupciones. En cambio, su objetivo ahora es el entrada invisible a derrochador plazo.
Para ser claros, el ransomware no va a ninguna parte y los adversarios continúan innovando. Pero los datos muestran un claro locución táctico que se aleja de los ataques ruidosos y destructivos cerca de técnicas diseñadas para sortear la detección, persistir en el interior de los entornos y explotar silenciosamente la identidad y la infraestructura confiable. En espacio de irrumpir y enfadar sistemas, los atacantes actuales se comportan cada vez más como parásitos digitales. Viven en el interior del host, se alimentan de credenciales y servicios y permanecen sin ser detectados el veterano tiempo posible.
La atención del divulgado a menudo gravita cerca de los apagones dramáticos y el impacto visible. Los datos del Crónica Rojo de este año cuentan una historia más tranquila, que revela dónde están perdiendo visibilidad los defensores.
La señal de ransomware se está desvaneciendo
Durante la última decenio, el secreto de ransomware sirvió como la señal más clara de peligro cibernético. Cuando sus sistemas se bloquearon y sus operaciones se congelaron, el compromiso era innegable.
Esa señal ahora está perdiendo relevancia. Año tras año, Data Encrypted for Impact (T1486) cayó un 38 %, pasando del 21,00 % en 2024 al 12,94 % en 2025. Esta disminución no muestra una capacidad limitada de los atacantes. Más acertadamente refleja un cambio deliberado de organización.
En espacio de encerrar datos para forzar el cuota, los actores de amenazas están cambiando cerca de la trastorno de datos como su principal maniquí de monetización. Al evitar el secreto, los atacantes mantienen los sistemas operativos mientras:
- Extraiga silenciosamente datos confidenciales
- Cosechar credenciales y tokens
- Permanecer incrustado en entornos durante períodos prolongados.
- Aplicar presión más tarde a través de la trastorno en espacio de la interrupción.
La implicación es clara: el impacto ya no se define por los sistemas bloqueados, sino por cuánto tiempo los atacantes pueden apoyar el entrada en el interior de los sistemas de un host sin ser detectados.
“El maniquí de negocio del adversario ha pasado de una interrupción inmediata a un entrada de larga duración”. – Crónica Pico Rojo 2026
El robo de credenciales se convierte en el plano de control (una cuarta parte de los ataques)
A medida que los atacantes adoptan una persistencia prolongada y sigilosa, la identidad se convierte en el camino más confiable para obtener el control.
El Crónica Rojo 2026 muestra que las Credenciales de Almacenes de Contraseñas (T1555) aparecen en casi uno de cada cuatro ataques (23,49%), lo que convierte al robo de credenciales en uno de los comportamientos más frecuentes observados durante el postrer año.
En espacio de subordinarse de un ruidoso volcado de credenciales o de complejas cadenas de exploits, los atacantes extraen cada vez más las credenciales guardadas directamente de navegadores, llaveros y administradores de contraseñas. Una vez que tienen credenciales válidas, la ascenso de privilegios y el movimiento supletorio suelen estar a solo una pequeña utensilio administrativa nativa de distancia.
Cada vez más campañas de malware modernas se comportan como parásitos digitales. No hay alarmas, fallos ni indicadores obvios. Sólo un silencio inquietante.
Esta misma dialéctica ahora da forma a la organización de los atacantes de guisa más amplia.
El 80% de las principales técnicas de ATT&CK ahora favorecen el sigilo
A pesar de la amplitud del entorno MITRE ATT&CK®, la actividad de malware en el mundo existente continúa concentrándose en un pequeño conjunto de técnicas que priorizan cada vez más la distracción y la persistencia.
El Crónica Rojo 2026 revela un afectado desequilibrio: ocho de las diez técnicas principales de MITRE ATT&CK ahora se dedican principalmente a la distracción, la persistencia o el comando y control sigiloso. Esto representa la veterano concentración de habilidades comerciales centradas en el sigilo que Picus Labs haya registrado en la vida, lo que indica un cambio fundamental en las métricas de éxito de los atacantes.
En espacio de priorizar el impacto inmediato, los adversarios modernos están optimizando el tiempo de permanencia mayor. Las técnicas que permiten a los atacantes ocultarse, mezclarse y permanecer operativos durante períodos prolongados ahora superan a las diseñadas para causar disrupción.
Estos son algunos de los comportamientos más comúnmente observados en el mensaje de este año:
- T1055: la inyección de procesos permite que el malware se ejecute en el interior de procesos confiables del sistema, lo que dificulta distinguir la actividad maliciosa de la ejecución legítima.
- T1547: La ejecución de inicio forzoso de inicio o inicio de sesión garantiza la persistencia al sobrevivir a los reinicios y los inicios de sesión de los usuarios.
- T1071: los protocolos de capa de aplicación proporcionan “canales de susurro” para comando y control, combinando el tráfico de atacantes con las comunicaciones normales web y en la nimbo.
- T1497: Virtualización y Sandbox Evasion permite que el malware detecte entornos de investigación y se niegue a ejecutar cuando sospecha que está siendo observado.
El emoción combinado es poderoso. Los procesos que parecen legítimos utilizan herramientas legítimas para efectuar silenciosamente a través de canales ampliamente confiables. La detección basada en firmas tiene dificultades en este entorno, mientras que el investigación del comportamiento se vuelve cada vez más importante para identificar actividades ilícitas diseñadas deliberadamente para parecer normales.
Mientras que el secreto alguna vez definió el ataque, el sigilo ahora define su éxito.
El malware consciente se niega a ser analizado
Cuando el sigilo se convierte en la principal medida del éxito, sortear la detección por sí solo ya no es suficiente. Los atacantes igualmente deben evitar activar las herramientas en las que confían los defensores para observar su comportamiento taimado en primer espacio. El Crónica Rojo 2026 muestra esto claramente en el aumento de la virtualización y la distracción de sandbox (T1497), que pasó al nivel superior de las técnicas de ataque en 2025.
El malware innovador evalúa cada vez más dónde es antaño de lanzarse si desempeñarse. En espacio de subordinarse de simples comprobaciones de artefactos, algunos ejemplos evalúan el contexto de ejecución y la interacción del heredero para determinar si verdaderamente están operando en un entorno existente.
En un ejemplo destacado en el mensaje, LummaC2 analizó los patrones de movimiento del mouse usando geometría, calculando la distancia euclidiana y los ángulos del cursor para distinguir la interacción humana del movimiento derecho distintivo de los entornos sandbox automatizados. Cuando las condiciones parecían artificiales, suprimió deliberadamente cualquier ejecución y simplemente se quedó allí sentado, esperando en silencio el momento oportuno.
Este comportamiento refleja un cambio más profundo en la dialéctica del atacante. Ya no se puede creer en que el malware se revele en entornos sandbox. Retiene actividad por diseño, permaneciendo escondido hasta resistir a un sistema de producción existente.
En un ecosistema dominado por el sigilo y la persistencia, inacción misma Se ha convertido en una técnica de distracción central.
Exageración de la IA frente a existencia: desarrollo, no revolución
Entregado que los atacantes demuestran un comportamiento cada vez más adaptativo, es natural preguntarse dónde encaja la inteligencia fabricado en esta imagen.
Los datos del Crónica Rojo 2026 sugieren una respuesta mesurada. A pesar de la especulación generalizada, casi anticipación, En cuanto a la remodelación del panorama del malware por parte de la IA, Picus Labs no observó ningún aumento significativo en las técnicas de malware impulsadas por IA en el conjunto de datos de 2025.
En cambio, los comportamientos más frecuentes siguen siendo familiares. Técnicas de larga data como la inyección de procesos y el intérprete de comandos y secuencias de comandos continúan dominando las intrusiones en el mundo existente, lo que refuerza el hecho de que los atacantes no necesitan IA destacamento para eludir las defensas modernas.
Algunas familias de malware han comenzado a cotejar con API de modelos de lenguajes grandes, pero hasta ahora su uso ha tenido un zona de influencia definido. En los casos observados, los servicios LLM se utilizaron principalmente para recuperar comandos predefinidos o desempeñarse como una capa de comunicación conveniente. Estas implementaciones mejoran la eficiencia, pero no alteran fundamentalmente la dialéctica de ejecución o la toma de decisiones del atacante.
Hasta ahora, los datos muestran que la IA está siendo absorbido en oficios existentes en espacio de redefiniéndolo. La mecánica del parásito digital permanece sin cambios: robo de credenciales, persistencia sigilosa, exceso de procesos confiables y tiempos de permanencia cada vez más prolongados.
Los atacantes no ganan inventando técnicas radicalmente nuevas. Están ganando al volverse más tranquilos, más pacientes y cada vez más difíciles de distinguir de la actividad legítima.
Regreso a lo primordial para un maniquí de amenaza diferente
Posteriormente de realizar estos informes anualmente desde hace algún tiempo, vemos una tendencia continua en la que muchas de las mismas tácticas aparecen año tras año. Lo que ha cambiado fundamentalmente es el objetivo.
Los ataques modernos priorizan:
- permanecer invisible
- explotar de identidades y herramientas confiables
- desactivando defensas silenciosamente
- apoyar el entrada a lo derrochador del tiempo
Al duplicar los fundamentos de seguridad modernos, la detección basada en el comportamiento, la higiene de credenciales y la subsistencia continua de exposición a adversarios, las organizaciones pueden centrarse menos en escenarios de ataques dramáticos y más en las amenazas que verdaderamente están teniendo éxito en la ahora.
¿Dispuesto para validar contra el parásito digital?
Si acertadamente los titulares sobre ransomware siguen dominando el ciclo de informativo, el Crónica Rojo 2026 muestra que, cada vez más, el peligro existente reside en un compromiso silencioso y persistente. Picus Security se centra en validar las defensas contra las técnicas específicas que los atacantes están utilizando en este momento, no sólo las que hacen más ruido.
¿Dispuesto para ver todos los datos detrás del maniquí Digital Parasite?
Descargue el Crónica Picus Red 2026 para explorar los hallazgos de este año y comprender cómo los adversarios modernos permanecen en el interior de las redes por más tiempo que nunca.
Nota: Este artículo fue escrito por Sıla Özeren Hacıoğlu, ingeniera de investigación de seguridad de Picus Security.
