El dato forma parte del 2026 Cloudflare Threat Report elaborado por Cloudforce One, un análisis que dibuja un panorama inequívoco: el cibercrimen ha dejado atrás su fase artesanal y opera ya con lógica industrial.
La amenaza no crece solo en volumen, lo hace también en modelo. Automatización, explotación de identidades digitales y uso intensivo de servicios cloud legítimos marcan una nueva etapa en la que el perímetro tradicional pierde relevancia y la sesión activa se convierte en el objetivo prioritario.
En 2025 se registraron 47,1 millones de ataques DDoS, más del doble que el año anterior
En 2025 se registraron 47,1 millones de ataques DDoS, más del doble que el año anterior. El pico de 31,4 Tbps, atribuido al botnet Aisuru, ilustra la capacidad de saturación actual. Además, la mayoría de estos ataques tiene una duración inferior a diez minutos, lo que elimina cualquier margen de respuesta manual.
Este fenómeno obliga a replantear la defensa. La mitigación ya no puede depender de intervención humana, por lo que la automatización en el edge y la capacidad de absorción inmediata se convierten en requisitos operativos básicos.
El informe subraya que la identidad digital sustituye al malware clásico como vector dominante. Herramientas como LummaC2 capturan tokens de sesión activos y permiten a los atacantes operar como usuarios legítimos. En este contexto, la autenticación multifactor tradicional pierde eficacia si el token ya ha sido comprometido.
Asimismo, las integraciones SaaS-to-SaaS se consolidan como superficie crítica. Una única conexión con privilegios excesivos puede desencadenar accesos laterales a múltiples aplicaciones empresariales. La interconexión, diseñada para optimizar procesos, multiplica la exposición.
El informe introduce el concepto de “Measure of Effectiveness” (MOE), que evalúa la eficiencia del ataque en términos de impacto por unidad de esfuerzo. Bajo esta lógica, los actores priorizan técnicas con alta escalabilidad y bajo coste operativo.
La inteligencia artificial desempeña un papel central en esta profesionalización. Los modelos de lenguaje permiten generar campañas de phishing convincentes, automatizar la exploración de vulnerabilidades y optimizar movimientos laterales. El acceso a estas capacidades reduce la barrera de entrada al delito digital.
Cloudflare identificó intentos explícitos de estafa por valor de 123 millones de dólares mediante campañas BEC en 2025
En el ámbito del fraude, Cloudflare identificó intentos explícitos de estafa por valor de 123 millones de dólares mediante campañas BEC (correo electrónico corporativo) en 2025. El importe medio ronda los 49.000 dólares, una cifra calculada para maximizar probabilidad de pago sin activar alertas internas de alto nivel.
El análisis de 450 millones de correos revela que el 25% de las detecciones corresponde a enlaces maliciosos y que el 46% de los mensajes no cumple DMARC. La suplantación de marcas consolidadas mantiene tasas elevadas de efectividad.
Otra tendencia destacada es el “Living-off-the-Cloud” (LotX), que consiste en que los atacantes utilizan servicios legítimos como Google Calendar, Azure Web Apps o GitHub para alojar infraestructura de mando y control. El tráfico malicioso se integra en dominios reputados, lo que dificulta la detección.
El informe ha identificado además una actividad significativa vinculada a actores estatales chinos con estrategias de preposición en infraestructuras críticas y telecomunicaciones en Norteamérica. La convergencia entre ciberactividad y objetivos geopolíticos añade una dimensión estratégica al riesgo.
Asimismo, el ransomware también evoluciona. El 54% de los ataques documentados en 2025 se vincula a credenciales obtenidas mediante infostealers. La exfiltración de datos sustituye al cifrado como herramienta principal de presión y el atacante no necesita bloquear sistemas si puede amenazar con publicar información sensible. Este cambio reduce el tiempo de ejecución del ataque y aumenta la probabilidad de éxito económico.
Cloudforce One concluye que la resiliencia en 2026 debe centrarse en la protección de identidad, sesión e integraciones SaaS. La autenticación resistente a phishing, la segmentación estricta y la automatización defensiva se perfilan como pilares esenciales.
Además, el panorama descrito apunta a un cambio estructural en el que el cibercrimen opera con métricas, procesos y automatización equiparables a los de cualquier organización empresarial avanzada. En este entorno, la competitividad digital dependerá de la capacidad de las organizaciones para defenderse con la misma velocidad y escala que sus adversarios.