Ante el aumento global del ransomware, SonicWall anunció la publicación de su Informe Cyber Protect 2026, que incorpora un enfoque centrado en los resultados de protección que más importan a los líderes empresariales. El informe arroja una conclusión preocupante: la mayoría de las pymes no fracasan como consecuencia de ataques sofisticados, sino por siete brechas predecibles y prevenibles que SonicWall ha denominado los siete errores críticos de la ciberseguridad.

El informe de 2026 sigue basándose en datos de la red global de SonicWall compuesta por más de un millón de sensores de seguridad para revelar un panorama de las amenazas cada vez más preciso e implacable. Estas son algunas de las conclusiones estadísticas clave:

• Los ataques de gravedad alta y media se han disparado un 20.8 % hasta alcanzar los 13.150 millones de incidencias. Los cibercriminales no están atacando con mayor frecuencia, sino de manera más inteligente.
• Ahora, los bots automatizados generan más de 36.000 escaneos de vulnerabilidades por segundo, lo que equivale a más de la mitad de todo el tráfico de internet. Tan solo el tráfico de bots maliciosos ha aumentado al 37 % de todo el tráfico global de internet.
• Los ataques de IoT aumentaron un 11 % hasta alcanzar la cifra de 609.9 millones; tan solo Log4j generó 824.9 millones de incidencias de IPS en 2025, cuatro años después de hacerse pública su vulnerabilidad.
• El compromiso de identidad, nube y credenciales representa el 85 % de las alertas de seguridad accionables. El robo de contraseñas, no las amenazas de día cero, es el arma preferida por los atacantes.
• Las pymes soportan una carga desproporcionada de ransomware: el 88 % de sus filtraciones en 2025 estuvieron relacionadas con ataques de ransomware, más del doble del porcentaje registrado en empresas grandes.

“Los datos de SonicWall revelan que los ataques se están volviendo más rápidos y, en algunos casos, un poco más sofisticados,” afirma Michael Crean, Vicepresidente Senior y Director General de Servicios de seguridad gestionados de SonicWall. “Sin embargo, la gran mayoría de los ataques que estamos observando e investigando se basan en aspectos básicos que siguen pasándose por alto. El peligro no es que la IA no esté funcionando, sino que la estamos utilizando como excusa para no hacer las cosas que sabemos que deberíamos hacer.”

México bajo ataque

México es el único mercado latinoamericano donde el malware está proliferando, y la magnitud es alarmante. Mientras que en todos los demás países de la región se observó una disminución del malware, las detecciones de GAV en México se dispararon un 139.2%, pasando de 19.7 millones a 47.2 millones de impactos, en una base de firewalls que creció solo un 7.8%. Casi todo este volumen está impulsado por troyanos, y la consolidación hacia un menor número de familias de malware sugiere campañas concentradas y de alto volumen dirigidas activamente a las redes mexicanas, convirtiéndose en la anomalía más urgente dentro del conjunto de datos de Latinoamérica.

La infraestructura de bases de datos y web está bajo un ataque sostenido y dirigido, con 7.6 millones de impactos por inyección SQL concentrados en entornos expuestos, mientras que los ataques web representan más de la mitad de la actividad de IPS de nivel alto/medio en casi el 60% de la base de firewalls. A esto se suma la adaptación de herramientas por parte de los atacantes a stacks específicos como Laravel, así como la persistencia de vulnerabilidades legacy sin parchear, como Heartbleed y Log4Shell, que siguen afectando a una proporción significativa de implementaciones.

En paralelo, México concentra el mayor volumen absoluto de ransomware en la región con 169,635 detecciones, lo que refuerza su papel como epicentro del problema en Latinoamérica.

“Los datos de amenazas en México para 2025 se destacan frente al resto de los mercados de América Latina, y no de manera positiva. Mientras que países como Brasil y Colombia registraron descensos significativos en casi todas las categorías de amenazas, México experimentó un aumento del 139% en las detecciones de malware, impulsado por un pequeño número de campañas de troyanos altamente activas que casi triplicaron la intensidad por dispositivo en un solo año.

Al mismo tiempo, México sigue cargando con la mayor carga de ransomware de la región, y los atacantes continúan explotando vulnerabilidades, algunas con más de una década, que deberían haber sido corregidas hace tiempo. Para las organizaciones que operan en México, el mensaje es inequívoco: el entorno de amenazas se está intensificando, la superficie de ataque es amplia y el costo de posponer parches y dejar infraestructura sin monitoreo está aumentando rápidamente”, afirmó Juan Alejandro Aguirre, director de ingeniería de soluciones para América Latina en SonicWall.

Durante la preparación del estudio de este año, SonicWall identificó siente patrones recurrentes, que ha denominado los siete errores críticos, y que marcan de manera consistente la diferencia entre la resiliencia y la exposición en investigaciones de filtraciones, evaluaciones de seguridad y revisiones de incidentes en pymes.

Los siete errores críticos de la ciberseguridad

En lugar de atribuir el riesgo de brechas a métodos de ataque exóticos o emergentes, el Informe Cyber Protect 2026 identifica siete fallas operativas que aparecen repetidamente en las investigaciones y que siguen siendo evitables en gran medida. Los siete errores críticos son:

1. Ignorar aspectos básicos — La autenticación débil, los sistemas sin parches y los privilegios de administrador excesivos siguen constituyendo la principal superficie de ataque.
2. Falsa confianza — Creer que su empresa es demasiado pequeña para ser el blanco de un ataque, sobreestimar la efectividad de los controles y dar por sentada la resiliencia sin ponerla a prueba crea peligrosos puntos ciegos.
3. Acceso sobreexpuesto — Reglas demasiado permisivas, las redes planas y la confianza implícita tras la autenticación permiten a los atacantes moverse libremente por la red una vez que han accedido a ella.
4. Enfoque de seguridad reactivo — Sin monitoreo 24/7 ni detección proactiva de amenazas, son los atacantes quienes marcan el ritmo. De promedio, las brechas no se detectan hasta transcurridos 181 días.
5. Decisiones de seguridad motivadas por los costos — Posponer inversiones por presiones presupuestarias a corto plazo genera costos que llegan más adelante — con intereses. Una sola brecha en una pyme puede superar los 4,91 millones de dólares si se incluyen los periodos de inactividad y la recuperación.
6. Dependencia de modelos de acceso legacy — Las VPNs que autentican una vez y conceden un amplio acceso a la red siguen siendo uno de los puntos de entrada más explotados en la seguridad de las empresas. Las CVEs de las VPNs aumentaron un 82,5 % durante el período analizado.
7. Priorizar las modas en lugar de la ejecución — Comprar las últimas herramientas sin implementarlas plenamente y esperar que la tecnología compense las deficiencias en los procesos constituye una forma de vulnerabilidad en sí misma. Las herramientas no generan resultados — la ejecución sí.

“Las organizaciones que más sufren no fracasan por ser el blanco de ataques sofisticados, sino por brechas predecibles y evitables,” continúa Crean. “Las pymes constituyen el pilar fundamental de la economía estadounidense, ya que representan el 99 % de todas las empresas de EE. UU. y casi la mitad del empleo en el sector privado. Protegerlas es proteger a comunidades enteras. Es por ello que este informe está diseñado en torno a los resultados de protección, no solo a estadísticas de amenazas.”

En línea con la misión de SonicWall de dar prioridad a sus partners, el informe Cyber Protect 2026 está diseñado para proporcionar a los MSPs y MSSPs los datos y el lenguaje necesarios para mantener conversaciones estratégicas con los tomadores de decisiones de las pymes, traduciendo la inteligencia técnica sobre las amenazas en riesgos empresariales sobre los que los líderes pueden actuar.

El informe Cyber Protect 2026 de SonicWall deja claro que la brecha entre estar protegido y estar expuesto rara vez depende únicamente de la tecnología. Depende de la ejecución. Este informe está destinado a ayudar a las pymes y a los MSPs y MSSPs que las protegen a cerrar esa brecha con datos, claridad y una hoja de ruta de los siguientes pasos a dar.