El escenario de la ciberseguridad ha cambiado de forma radical en los últimos años. Ya no se trata de individuos aislados con conocimientos técnicos avanzados, sino de un entramado perfectamente organizado que opera como un mercado global.
Las amenazas actuales se articulan como una industria, con especialización de funciones, canales de distribución y modelos de negocio propios. Esta evolución explica por qué los ataques son cada vez más frecuentes, más eficaces y más difíciles de frenar.
España no es ajena a esta realidad. Los datos de 2025 confirman un crecimiento sostenido de los incidentes, con un peso creciente del fraude digital y del phishing como principales vectores de entrada.
A ello se suman casos recientes que han puesto en evidencia el impacto real de estas amenazas, desde ataques que paralizan servicios públicos hasta brechas que comprometen datos personales en grandes organizaciones. El mensaje es claro: el riesgo ya no es hipotético, es estructural.
Un mercado criminal perfectamente organizado en ciberseguridad
El actual ecosistema de amenazas se comporta como una industria en toda regla. Existen actores especializados en cada fase del ataque, desde quienes obtienen accesos iniciales hasta quienes desarrollan herramientas, venden credenciales o negocian rescates.
Así lo advierte Factum, compañía española especializada en ciberseguridad, que sitúa la identidad digital como el nuevo epicentro del riesgo. “El perímetro ya no es la red, es el login”, afirma Julián Delgado, responsable de seguridad ofensiva y SOC de la firma.
Este modelo ha permitido escalar los ataques con una eficiencia inédita. Ya no se depende de grandes conocimientos técnicos, sino de la capacidad para explotar fallos humanos, automatizar procesos y reutilizar técnicas probadas. El resultado es un entorno en el que los ataques se industrializan y se ejecutan con una lógica puramente económica.
La identidad como principal superficie de ataque
Uno de los grandes cambios detectados en los últimos años es el desplazamiento del foco hacia la identidad digital. Las credenciales, los tokens y los sistemas de autenticación se han convertido en el objetivo prioritario.
“El atacante ya no necesita romper un sistema, le basta con hacerse pasar por el usuario legítimo”, explica Delgado.
Esta tendencia se ha visto reforzada por el auge del trabajo en la nube y de los servicios remotos. En 2025, Microsoft alertó del incremento de campañas basadas en técnicas de engaño que inducen al usuario a autorizar accesos de forma voluntaria, capturando tokens válidos sin necesidad de robar contraseñas.
Este tipo de ataques supera los mecanismos tradicionales de defensa y pone en evidencia la necesidad de revisar los modelos de autenticación actuales.
De la intrusión a la extorsión organizada
El patrón que siguen muchos ataques actuales responde a una secuencia muy definida en ciberseguridad. Primero se obtiene acceso mediante suplantación o abuso de credenciales. Después se amplía la presencia dentro del sistema aprovechando permisos excesivos o configuraciones laxas. Finalmente, llega la fase de explotación, que puede materializarse en robo de información, cifrado de sistemas o extorsión directa.
“Nos ataca un mercado, no un cibercriminal”, subraya Delgado. “Ese mercado ha perfeccionado un proceso que empieza con la identidad y termina con la presión económica o reputacional”. La sofisticación ya no está en el malware, sino en la forma de combinar ingeniería social, automatización y conocimiento del entorno de la víctima.
Un entorno cada vez más difícil de delimitar
Otro de los elementos en ciberdelincuencia que agrava el escenario es la difuminación de fronteras entre cibercrimen, hacktivismo y espionaje. Las motivaciones se solapan y los actores reutilizan infraestructuras y técnicas. El CCN-CERT lleva tiempo alertando del papel creciente de grupos vinculados a intereses estatales y del impacto que estas operaciones pueden tener sobre administraciones públicas y sectores estratégicos.
Este contexto hace que la atribución sea cada vez más compleja y que la respuesta deba centrarse menos en identificar al atacante y más en reducir el impacto del ataque. La prevención, la detección temprana y la capacidad de reacción se convierten así en los pilares fundamentales de la defensa.
La necesidad de un enfoque integral y continuo
Ante este panorama, la acumulación de herramientas ya no es suficiente. Factum defiende un modelo basado en la integración de capacidades, donde identidad, monitorización y respuesta funcionen como un único sistema. Reducir la superficie de exposición, reforzar los controles de acceso y detectar comportamientos anómalos en tiempo real se vuelve imprescindible.
La automatización juega un papel clave en ciberseguridad, pero no sustituye al factor humano. “La seguridad hoy no consiste en generar más alertas, sino en actuar mejor y más rápido”, señala Delgado. La combinación de inteligencia artificial con analistas especializados permite ganar velocidad sin perder criterio, algo esencial en un entorno donde cada minuto cuenta.
CiberIDiA 2026 y la visión de la ciberseguridad
Este enfoque fue uno de los ejes centrales del encuentro CiberIDiA 2026, que reunió a responsables de tecnología, seguridad y dirección para analizar el estado actual de las amenazas. En el evento se puso de manifiesto la necesidad de alinear la ciberseguridad con la estrategia de negocio y de asumir que el riesgo digital es ya un riesgo corporativo.
Durante la mesa redonda, en la que participó Factum, se destacó la importancia de anticiparse, entender el contexto real de cada organización y priorizar acciones que aporten resiliencia. La conclusión fue clara: la ciberseguridad ya no va de proteger sistemas, sino de proteger decisiones, identidades y confianza.
