La inteligencia artificial ha pasado de ayudar a preparar ciberataques a ejecutar tareas dentro de intrusiones reales, según el AI Security Report 2026 de Check Point Research. El informe documenta agentes que exploran redes, generan órdenes, analizan información robada y encadenan acciones con una supervisión humana limitada, mientras las propias aplicaciones de IA abren nuevas vías para el robo de datos y credenciales.
Las claves de los ciberataques operados por IA en 30 segundos
- Check Point recoge intrusiones donde agentes de IA ejecutaron miles de comandos y coordinaron distintas fases del ataque.
- Un operador utilizó Claude Code y GPT-4.1 durante el acceso a nueve organismos mexicanos.
- Las detecciones de inyecciones indirectas de instrucciones largas se multiplicaron por cinco entre marzo y mayo.
- Los prompts empresariales con datos sensibles pasaron del 2 % al 4 %, mientras cada organización utilizó una media de diez aplicaciones de IA al mes.
El cambio no implica que los sistemas de IA hayan empezado a elegir víctimas y lanzar campañas por iniciativa propia. En los incidentes analizados sigue existiendo una persona que define objetivos, obtiene el acceso inicial o proporciona instrucciones. La diferencia está en la cantidad de trabajo que el modelo puede completar entre dos intervenciones humanas.
Un atacante ya no necesita ejecutar personalmente cada comando, revisar todas las respuestas o escribir desde cero sus herramientas. Puede delegar parte del reconocimiento, la explotación, el movimiento por la red y el análisis de los datos a un agente con acceso a terminales, archivos y otras aplicaciones. Ese salto reduce el tiempo y los conocimientos necesarios para mantener una operación activa.
De copiloto para hackers a operador dentro de la red
Check Point distingue entre utilizar un modelo para redactar un correo de phishing y permitir que un agente trabaje directamente dentro de un entorno comprometido. El primer escenario acelera una tarea concreta; el segundo conecta la IA con herramientas capaces de ejecutar acciones.
| Uso anterior de la IA | Uso documentado en 2026 |
|---|---|
| Traducir mensajes de phishing | Explorar sistemas comprometidos |
| Explicar una vulnerabilidad | Generar y ejecutar comandos |
| Ayudar a escribir código | Construir herramientas ofensivas completas |
| Resumir datos robados | Clasificarlos y decidir qué analizar después |
| Sugerir los pasos de un ataque | Encadenar acciones entre varias sesiones |
| Asistir al operador | Realizar trabajo entre sus intervenciones |
El ejemplo más destacado afecta a nueve organismos públicos de México entre finales de diciembre de 2025 y mediados de febrero de 2026. Según el informe, un único operador escribió 1.088 instrucciones que dieron lugar a 5.317 comandos ejecutados por IA durante 34 sesiones. Check Point atribuye a la intrusión la exposición de unos 400 millones de registros relacionados con datos fiscales, civiles, sanitarios, electorales y de vehículos.
El atacante habría combinado dos herramientas comerciales. Claude Code se utilizó para acceder y desplazarse por las redes, mientras GPT-4.1 analizaba la información obtenida y generaba nuevas tareas. El informe señala que una configuración almacenada en un archivo CLAUDE.md permitió mantener instrucciones manipuladas entre sesiones.
No fue un ataque completamente autónomo. El responsable siguió enviando más de un millar de indicaciones y tomó decisiones sobre los objetivos. La escala del trabajo delegado muestra, sin embargo, que una sola persona puede mantener una actividad que anteriormente habría requerido más intervención manual o un equipo con perfiles diferentes.
Otro caso analizado es VoidLink, un entorno de mando y control de unas 88.000 líneas de código. Su calidad llevó inicialmente a los investigadores a pensar que había requerido varios desarrolladores y meses de trabajo. La exposición accidental del proceso de creación mostró que una sola persona lo había producido en menos de una semana con TRAE SOLO, una herramienta comercial de programación asistida por IA.
| Caso recogido por el informe | Datos comunicados |
|---|---|
| Organismos mexicanos comprometidos | 9 |
| Instrucciones humanas | 1.088 |
| Comandos ejecutados por IA | 5.317 |
| Sesiones de ataque | 34 |
| Registros presuntamente expuestos | Unos 400 millones |
| Código de VoidLink | Unas 88.000 líneas |
| Tiempo de desarrollo atribuido | Menos de una semana |
Estos casos no demuestran que cualquier usuario sin conocimientos pueda completar una intrusión avanzada. La IA todavía comete errores y necesita objetivos, permisos y validación. Sí reduce la barrera para automatizar procedimientos que antes exigían escribir scripts, revisar manualmente resultados y adaptar cada paso.
El informe también sostiene que los atacantes prefieren los modelos comerciales frente a las alternativas instaladas en su propia infraestructura. Los servicios conocidos suelen ofrecer mejores capacidades, aunque aplican medidas de seguridad y registran actividad. Las herramientas criminales promocionadas como versiones de “DarkGPT” habrían perdido atractivo por su baja calidad.
Los agentes de IA también se convierten en una nueva superficie de ataque
La inteligencia artificial no solo acelera las ofensivas. Los agentes, sus conectores y los datos que procesan crean puntos de entrada adicionales.
El principal problema es que un modelo no siempre distingue correctamente entre información e instrucciones. Un agente encargado de leer una web, resumir un correo o consultar un documento puede encontrar órdenes ocultas dentro de ese contenido y tratarlas como si procedieran de su usuario.
Esta técnica se conoce como inyección indirecta de prompts. El atacante no necesita escribir directamente en el chat: coloca instrucciones dentro de una página, un archivo, un comentario HTML o el resultado devuelto por otra herramienta.
Check Point señala que las detecciones de cargas maliciosas largas se multiplicaron aproximadamente por cinco entre marzo y mayo de 2026 y se acercaron al 1 % de los prompts observados durante el último mes. Las instrucciones extensas son más habituales en ataques que esconden contenido dentro de páginas y documentos procesados por agentes.
Una investigación citada en el informe localizó alrededor de 15.300 posibles cargas de inyección indirecta después de analizar 1.200 millones de direcciones web. Cerca del 70 % aparecía en partes no visibles de las páginas, como comentarios, cabeceras o metadatos.
| Superficie vinculada a la IA | Riesgo |
|---|---|
| Páginas consultadas por un agente | Instrucciones ocultas en el contenido |
| Documentos y correos | Manipulación del comportamiento del modelo |
| Servidores MCP | Permisos excesivos, errores y conectores vulnerables |
| Archivos de configuración | Órdenes persistentes entre sesiones |
| Claves para modelos y API | Robo, reventa y uso a cargo de la víctima |
| Extensiones para desarrolladores | Ataques a la cadena de suministro |
| Herramientas conectadas | Ejecución de acciones fuera del chat |
El protocolo Model Context Protocol (MCP), utilizado para conectar modelos con herramientas y datos externos, ocupa otro apartado del estudio. Check Point afirma haber identificado problemas de seguridad en el 40 % de 10.000 servidores MCP revisados. La compañía no equipara todos estos problemas con vulnerabilidades explotables de gravedad alta, por lo que la cifra no significa que cuatro de cada diez servidores puedan comprometerse inmediatamente.
Los investigadores también analizaron unos 46.500 paquetes de código publicados y encontraron archivos locales de configuración de Claude Code en 428. Aproximadamente uno de cada trece contenía credenciales todavía válidas, entre ellas tokens de NPM y claves para GitHub o Hugging Face.
El problema nace de la confianza concedida al agente. Un asistente limitado a generar texto tiene un alcance reducido. Un sistema capaz de consultar repositorios, ejecutar comandos, instalar paquetes y escribir en bases de datos puede causar daños mayores cuando procesa una instrucción manipulada.
La identidad visual ya no basta para verificar a una persona
El informe dedica otro capítulo a las identidades sintéticas. Voz, rostro, documentos y vídeo en directo pueden combinarse en campañas de fraude, suplantación o acceso a procesos corporativos.
Check Point recoge un estudio controlado en el que personas entrenadas para reconocer rostros falsos identificaron correctamente alrededor del 41 % de las imágenes generadas mediante IA. Los participantes sin esa formación acertaron cerca del 30 %. El dato procede de una investigación citada por el informe, no de las redes de Check Point.
Esto limita la utilidad de pedir a un empleado que compruebe visualmente una videollamada o que reconozca una voz. Las empresas necesitan combinar varios elementos: autenticación multifactor, credenciales digitales, aprobaciones, límites de transacción y confirmaciones mediante un canal independiente.
El mayor riesgo empresarial puede estar en el uso cotidiano
Los ataques autónomos ocupan los titulares, pero la exposición más frecuente aparece cuando empleados legítimos comparten demasiada información con herramientas de IA autorizadas o utilizadas sin aprobación.
Entre octubre de 2025 y mayo de 2026, las organizaciones observadas por Check Point emplearon una media de diez aplicaciones diferentes de IA cada mes. El número medio de prompts por usuario pasó de 56 en diciembre a 70 en mayo, un incremento del 25 %. Entre el 87 % y el 93 % de las organizaciones registraron al menos una interacción de alto riesgo cada mes.
La proporción de prompts que contenían datos empresariales, personales o regulados aumentó del 2 % al 4 %. Esto equivale a pasar de aproximadamente una interacción de riesgo por cada 50 a una por cada 25.
| Indicador empresarial | Resultado del informe |
|---|---|
| Aplicaciones de IA utilizadas al mes | 10 de media |
| Prompts mensuales por usuario en diciembre de 2025 | 56 |
| Prompts mensuales por usuario en mayo de 2026 | 70 |
| Organizaciones con algún uso de alto riesgo mensual | Entre el 87 % y el 93 % |
| Prompts de alto riesgo al inicio del periodo | 2 % |
| Prompts de alto riesgo al final | 4 % |
Europa registró el porcentaje regional más alto entre enero y mayo, con un 3,95 % de prompts de riesgo, frente al 3,76 % de Latinoamérica, el 3,33 % de Norteamérica y el 2,88 % de Asia-Pacífico. Check Point interpreta que las normas de privacidad, por sí solas, no evitan que un trabajador copie información sensible en un servicio externo.
Por sectores, los servicios empresariales alcanzaron un 5,91 %, alrededor de una de cada 17 interacciones. Distribución mayorista llegó al 5,47 %, telecomunicaciones al 4,06 % y software al 3,52 %. En servicios empresariales, el porcentaje subió del 5,50 % en enero al 6,98 % en mayo.
| Sector | Prompts clasificados como alto riesgo |
|---|---|
| Servicios empresariales | 5,91 % |
| Distribución mayorista | 5,47 % |
| Telecomunicaciones | 4,06 % |
| Software | 3,52 % |
| Media global | 3,45 % |
Los porcentajes proceden de la telemetría de Check Point y deben interpretarse dentro de ese ámbito. El informe detalla los periodos analizados, pero no presenta una ficha metodológica completa con el número total de organizaciones, usuarios e interacciones que sustenta cada gráfico. Tampoco permite saber hasta qué punto la cartera de clientes del fabricante representa al conjunto del mercado.
El documento concluye con tres líneas que coinciden con la oferta comercial de Check Point: proteger los sistemas de IA, emplear IA para responder a ataques y controlar cómo utiliza la plantilla estas herramientas. Esa relación no invalida los incidentes y datos expuestos, pero obliga a separar las observaciones técnicas de las recomendaciones del proveedor.
Para las empresas, la respuesta pasa por inventariar aplicaciones y agentes, limitar sus permisos, supervisar los conectores MCP, inspeccionar los datos enviados a modelos externos y considerar cualquier web o documento como contenido potencialmente hostil. La gestión de vulnerabilidades también tendrá que reducir sus plazos. Una recomendación oficial de CERT-In publicada en abril aconseja tratar las vulnerabilidades críticas como explotables en horas y aspirar a corregir las que afectan a sistemas expuestos a internet en 24 horas.
La IA no ha eliminado al atacante humano. Ha aumentado el número de acciones que puede delegar y la velocidad con la que puede mantener una intrusión. Al mismo tiempo, las empresas están conectando modelos a datos y herramientas antes de desplegar controles equivalentes. El riesgo está en ambos lados: una ofensiva más automatizada y unos sistemas internos con capacidad para actuar.
Preguntas frecuentes
¿La IA puede lanzar un ciberataque sin intervención humana?
Los casos recogidos muestran un grado elevado de automatización, pero todavía existe una persona que fija objetivos y proporciona instrucciones. La IA ejecuta más trabajo entre esas intervenciones.
¿Qué es una inyección indirecta de prompts?
Es una instrucción maliciosa escondida en una web, documento, correo u otro contenido que procesa un agente. El sistema puede confundirla con una orden legítima y ejecutar acciones no previstas.
¿Por qué los servidores MCP pueden representar un riesgo?
MCP conecta los modelos con archivos, aplicaciones y herramientas. Un servidor vulnerable o configurado con demasiados permisos puede ampliar el alcance de un ataque contra el agente.
¿Dónde se produce la mayor exposición de datos empresariales?
El informe indica que gran parte aparece durante el uso cotidiano, cuando empleados comparten información sensible para obtener respuestas más útiles. Los prompts clasificados como alto riesgo pasaron del 2 % al 4 %.

