Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionera y líder mundial en soluciones de ciberseguridad, publicó hoy su Informe de Seguridad en la Nube 2026: La Era de la IA, que revela una creciente desconexión entre la rápida adopción de la IA y la preparación en materia de seguridad.

El informe revela un cambio crucial: de los "puntos ciegos" de la nube de 2025 a un desafío aún mayor en 2026: las organizaciones ya no solo tienen dificultades con la visibilidad, sino también con la gobernanza, el control y la aplicación de medidas de seguridad en tiempo real. La IA está transformando el comportamiento de los usuarios, la comunicación entre aplicaciones y los puntos de entrada de amenazas al entorno. Este año, el 77 % de las organizaciones han actualizado su estrategia de seguridad en la nube en respuesta a la IA, pero solo el 26 % afirma contar con la arquitectura necesaria para implementarla. Esto revela una brecha de 51 puntos entre la intención y la capacidad.

Mientras tanto, los atacantes están utilizando herramientas de IA para acelerar el phishing, generar malware y lanzar ataques maliciosos con mayor rapidez de la que pueden responder los modelos de seguridad tradicionales. El impacto ya es cuantificable: el 78 % de las organizaciones reportaron incidentes de seguridad confirmados o sospechosos relacionados con la IA, durante el último año.

“El Informe de Seguridad en la Nube de 2026 confirma lo que muchos profesionales de la seguridad ya intuían”, afirmó Ángel Salazar, Gerente de Ingeniería de Seguridad de Canales en América Latina de Check Point Software Technologies. “La adopción de la IA ha superado la arquitectura diseñada para gestionarla. Los agentes operan dentro de sistemas en tiempo real; los datos se mueven a través de servicios de IA externos, y la mayoría de las empresas aún carecen de la visibilidad y la supervisión necesarias para mantenerse al día. En Check Point, creemos que la seguridad debe integrarse en la arquitectura desde el principio, comenzando en la capa de infraestructura, pasando por la nube y, especialmente, en el tiempo de ejecución. La visibilidad, el control y la seguridad deben estar presentes en todas las capas en la que operarán las cargas de trabajo de IA”.

Los principales hallazgos para entornos nativos de la nube incluyen:
• Desajuste de la infraestructura: el 52 % de las cargas de trabajo de IA tienen entornos híbridos, pero el 64 % afirma que su arquitectura necesita un rediseño.
• Brechas en el perímetro: el 76 % considera que la seguridad del centro de datos es fundamental para la IA, pero solo el 35 % afirma que puede satisfacer las necesidades actuales.
• Desafíos de rendimiento: solo el 24 % puede inspeccionar completamente el tráfico de IA sin afectar el rendimiento; el 71 % informa de un aumento de falsos positivos del WAF.
• Complejidad operativa: el 88 % afirma que la IA ha aumentado la complejidad de la seguridad. El 67 % reporta políticas fragmentadas.
• Visibilidad limitada: El 54 % de las organizaciones ha experimentado un incidente de seguridad relacionado con la IA, mientras que otro 24 % no puede confirmarlo por falta de visibilidad. Esto significa que más de tres cuartas partes han sufrido un incidente o no pueden determinar si lo han sufrido.
• Riesgos de identidad: El 48 % cita las identidades no humanas (agentes de IA, API) como una de sus principales preocupaciones.
• Modelo de acceso inconsistente: Las organizaciones aún no han convergido en un único modelo de acceso. El 24 % afirma no tener controles de acceso específicos para la IA, y solo el 16 % aplica controles de forma consistente en todo el entorno.
Cerrando la brecha de seguridad de la IA

Para abordar estos desafíos, el informe destaca la necesidad de una arquitectura unificada, centrada en la prevención, que abarque la nube, el centro de datos, el SaaS y los endpoints.

El enfoque de seguridad de red de malla híbrida de Check Point ofrece:
1. Gestión unificada: El 86 % de los líderes considera que la gestión de seguridad unificada en la nube, el centro de datos y el borde es fundamental para las cargas de trabajo de IA. Una arquitectura de malla híbrida mantiene la coherencia de las políticas y protecciones en todas partes, independientemente de dónde se ejecuten los datos o las cargas de trabajo.
2. Seguridad con enfoque preventivo: Bloqueo en tiempo real de ransomware, amenazas de día cero y fugas de datos mediante análisis basados en IA, validado por una puntuación de eficacia de seguridad del 99,8 % en el informe Miercom de 2026.
3. Conectividad segura y prevención de amenazas: La protección basada en la identidad garantiza que cada usuario, dispositivo y aplicación se verifique y proteja en tiempo real, con seguridad coherente en todos los puntos de acceso y sin afectar el rendimiento.
4. Plano de defensa de IA: Un plano de control unificado que rige cómo se conecta, implementa y opera la IA, con protección en tiempo de ejecución para el uso de IA por parte de los empleados, las aplicaciones y los sistemas de agentes.
5. Orquestación de seguridad de red de agentes: La brecha de cumplimiento de 51 puntos es más que un problema de visibilidad; también es un problema operativo. La plataforma Agentic Network Security Orchestration de Check Point, recientemente lanzada, sitúa a los equipos de seguridad al nivel de las necesidades del negocio, permitiendo que los agentes de IA gestionen de forma autónoma la creación de políticas, el refuerzo de Zero Trust y el cumplimiento normativo en entornos híbridos.

El phishing sigue siendo una herramienta importante del panorama de las ciberamenazas debido a su sencillez, eficacia y adaptabilidad. Las tácticas de este tipo de ataque han evolucionado, con variaciones como spear-phishing, whaling o smishing. exploran el elemento más vulnerable de los sistemas de seguridad: la psicología humana. El phishing es tan abundante que el 94% de las empresas reconoció sufrirlo en 2023.
El año pasado, Check Point Software presentó una tecnología innovadora llamada ‘Brand Spoofing Prevention’, un motor preventivo dentro de ThreatCloud AI diseñado para prevenir ataques de suplantación de identidad de marca tanto globales como locales. Esta tecnología utiliza tecnologías avanzadas, como IA, Procesamiento del Lenguaje Natural (PLN), procesamiento de imágenes y heurística, para detectar y prevenir intentos de suplantación de marca mediante la comparación de URL y páginas web con marcas establecidas.
El reto de la marca digital
Identificar e indexar todas las páginas web de las distintas marcas en Internet es como encontrar una aguja en un pajar en constante expansión. El volumen de páginas web dificulta la detección de suplantación de identidad, lo que hace que muchos intentos pasen desapercibidos y expone a consumidores y empresas a fraudes y ciberataques. Por tanto, son necesarios los sistemas automatizados e inteligentes que puedan adaptarse y escalar con el creciente ecosistema digital de marcas.

Uno de los principales retos a la hora de detectar estafas de suplantación de identidad es el etiquetado de los datos necesarios para entrenar los modelos de IA pertinentes. Esto requiere identificar diversos elementos de la firma y comprender las diferencias de matiz entre ellos. Es un proceso laborioso y complejo, complicado por la naturaleza dinámica de las marcas.

La ciberseguridad y la resiliencia operativa van de la mano. Las organizaciones han invertido considerablemente en la protección contra brechas de seguridad, ransomware e interrupciones del servicio, creando defensas multicapa diseñadas para mantener a los atacantes fuera y los sistemas en funcionamiento. Sin embargo, los recientes acontecimientos geopolíticos están generando una reflexión más amplia e inquietante: la próxima gran interrupción podría originarse en el mundo físico, en lugar de en el código.
A medida que la infraestructura en la nube se integra cada vez más en el tejido de las economías globales y los sistemas nacionales, deja de ser simplemente una plataforma para las operaciones y se convierte en una extensión de la superficie de ataque. Y es este cambio el que introduce una categoría de riesgo completamente nueva. En lugar de que los servicios fallen mientras la infraestructura permanece intacta, las organizaciones ahora deben considerar escenarios en los que la propia infraestructura se degrada o se destruye.
Infraestructura en la nube como objetivo físico
Este cambio se hizo patente en marzo de 2026. Durante un periodo de intensa tensión geopolítica entre Irán, Estados Unidos, Israel y varios estados del Golfo, la infraestructura en la nube a hiperescala se vio directamente afectada por acciones militares. Ataques con drones iraníes tuvieron como objetivo centros de datos en los Emiratos Árabes Unidos y Baréin, dañando múltiples instalaciones que dan soporte a importantes proveedores de servicios en la nube. El impacto no se limitó a interrupciones localizadas. Daños estructurales, cortes de energía e incluso daños por agua causados por los sistemas de extinción de incendios provocaron graves problemas en múltiples zonas de disponibilidad dentro de una misma región.

Lo que hizo significativo este momento no fue solo la magnitud de los daños, sino lo que reveló sobre la resiliencia. Las arquitecturas en la nube se han basado tradicionalmente en modelos de redundancia que parten de la premisa de que los fallos se aislarían y se contendrían. Las zonas de disponibilidad se diseñaron para operar de forma independiente, de modo que si una fallaba, las demás podían asumir el control sin problemas. En este caso, varias zonas se vieron afectadas simultáneamente y, afortunadamente, el modelo de redundancia funcionó.
Si bien es alarmante, este incidente no es un caso aislado. Se enmarca en un patrón más amplio y en aumento. En 2025, las interrupciones en los cables submarinos del Mar Rojo afectaron aproximadamente al 17 % del tráfico global de internet, demostrando la fragilidad de la conectividad global cuando la infraestructura física se ve comprometida. Ese mismo año, importantes fallos en la infraestructura web de grandes proveedores provocaron interrupciones generalizadas, lo que subraya la gran dependencia de internet en un número relativamente pequeño de sistemas centralizados.
El fracaso de los supuestos tradicionales de resiliencia
En conjunto, estos eventos apuntan a un cambio fundamental. Los puntos de presencia, la conectividad troncal y la infraestructura en la nube ya no son solo facilitadores de las operaciones digitales, sino que se han convertido en objetivos. Y, independientemente de cómo se produzca la interrupción, el resultado es el mismo. Los modelos tradicionales de resiliencia en la nube se están poniendo a prueba de maneras para las que nunca fueron diseñados.

Durante décadas, la arquitectura en la nube se ha basado en una serie de principios implícitos. Se esperaba que los fallos se contuvieran y localizaran. Se asumía que la infraestructura en sí misma permanecería intacta, incluso cuando fallaran los servicios que se ejecutaban sobre ella. Se esperaba que la redundancia cuidadosamente diseñada entre zonas y regiones absorbiera las interrupciones y mantuviera la continuidad. Estas suposiciones permitieron la escalabilidad y la fiabilidad que definen la computación en la nube moderna.
Sin embargo, las suposiciones del pasado están cada vez más desalineadas con la realidad. Los escenarios de fallo actuales son más amplios y complejos. Regiones enteras pueden quedar inaccesibles. Las rutas de red pueden desaparecer sin previo aviso. Múltiples zonas de disponibilidad pueden fallar simultáneamente, no por errores de software o configuraciones incorrectas, sino porque la infraestructura subyacente se ve comprometida físicamente.
En este entorno, la alta disponibilidad ya no es suficiente. La resiliencia debe contemplar la posibilidad de perder segmentos completos de la infraestructura. Cuando esto ocurre, la arquitectura se convierte en el factor determinante entre la continuidad y el colapso.

Repensando la resiliencia a la luz de los escenarios de riesgo modernos
Lo que la resiliencia exige ahora es un cambio de mentalidad. En lugar de optimizar la eficiencia en condiciones estables, las organizaciones deben diseñar para la supervivencia en entornos inestables.

Una arquitectura distribuida globalmente se vuelve fundamental. La resiliencia ya no se trata de la densidad dentro de una sola región, sino de la capacidad de operar en varias regiones cuando una o más dejan de estar disponibles. Esto exige una distribución global real de los puntos de presencia, combinada con la capacidad de redirigir el tráfico de forma instantánea e inteligente en función de la capacidad y disponibilidad en tiempo real. En tales escenarios, la proximidad pasa a un segundo plano. Lo que importa es si la infraestructura de la que dependes sigue estando accesible.
Igualmente importante es el concepto de política unificada y portátil. Durante una interrupción, los usuarios pueden ser redirigidos a través de diferentes regiones, las rutas de tráfico pueden cambiar dinámicamente y los puntos de aplicación pueden modificarse en tiempo real. La seguridad no puede depender de configuraciones específicas de la ubicación. Las políticas deben seguir al usuario y a los datos, aplicándose de forma consistente independientemente de dónde entre el tráfico en la red. Cualquier discrepancia entre la definición y la aplicación de la política introduce riesgos precisamente cuando la estabilidad es más frágil.
La aplicación distribuida es otro componente esencial. Las arquitecturas que dependen de puntos de inspección centralizados crean vulnerabilidades inherentes. Si esos puntos dejan de estar disponibles, la aplicación se desmorona con ellos. Un modelo resiliente distribuye la aplicación a través de la infraestructura de red, asegurando que la inspección y la protección continúen independientemente de por dónde fluya el tráfico. Esto elimina los puntos únicos de fallo y permite que el sistema se adapte dinámicamente bajo presión.
Al mismo tiempo, las organizaciones deben afrontar las limitaciones de los modelos puramente basados en la nube. Las arquitecturas SASE que dependen completamente de una conectividad en la nube consistente y de alta calidad presuponen condiciones ideales que no siempre existen. En realidad, la conectividad puede degradarse. La latencia puede dispararse. Regiones enteras pueden volverse inaccesibles. En estas condiciones, la resiliencia depende de la capacidad de seguir operando incluso cuando la nube no está completamente accesible.
Aquí es donde los enfoques híbridos se vuelven esenciales. Al extender la aplicación de políticas a los puntos finales y sucursales, las organizaciones pueden mantener la continuidad de las políticas incluso durante interrupciones parciales. En lugar de fallar por completo, el sistema se degrada gradualmente, preservando las funciones de seguridad esenciales hasta que se restablece la conectividad total.

Diseñando para la disrupción, no para la estabilidad
Esta realidad en constante evolución es precisamente la que ha moldeado la filosofía de diseño de la arquitectura SASE de Check Point. En lugar de asumir condiciones de infraestructura perfectas, se construye con la expectativa de que se producirán disrupciones. Nuestros puntos de presencia distribuidos globalmente proporcionan resiliencia geográfica, mientras que un plano de políticas unificado garantiza una aplicación coherente en todos los entornos. La aplicación distribuida elimina la dependencia de un único punto de control, y las capacidades híbridas permiten que la protección continúe incluso cuando la conectividad a la nube se ve afectada.

El resultado es una arquitectura diseñada no solo para el rendimiento en condiciones normales, sino también para la continuidad en condiciones adversas. Refleja un cambio más amplio en cómo debe entenderse la resiliencia: no como la capacidad de prevenir fallas por completo, sino como la capacidad de operar a pesar de ellas.
La nube se diseñó originalmente para gestionar fallos dentro de parámetros controlados. Estos parámetros se están ampliando. La infraestructura misma puede quedar inaccesible. Las regiones pueden perder conectividad. Las rutas de red pueden fragmentarse de forma impredecible. Estos ya no son casos excepcionales, sino realidades emergentes.
La resiliencia debe definirse por la capacidad de mantener las operaciones a pesar de la pérdida parcial de la infraestructura. Las organizaciones que siguen confiando en una infraestructura estable y siempre disponible se enfrentan a un riesgo creciente. Aquellas que adoptan la distribución, la adaptabilidad y la coherencia arquitectónica están mejor posicionadas para afrontar las interrupciones.
La cuestión ya no es si la infraestructura fallará, sino si los sistemas construidos sobre ella están preparados para cuando esto ocurra.

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, destaca un panorama de ciberseguridad que no muestra alivio, ante el ransomware que repunta.
En marzo de 2026, la actividad global de ciberataques mostró los primeros indicios de moderación, aunque se mantuvo en niveles históricamente elevados. El número promedio de ciberataques semanales por organización alcanzó los 1995, lo que representa una disminución del 4 % con respecto al mes anterior y un descenso del 5 % en comparación con marzo de 2025.
A pesar de esta disminución, el entorno de amenazas sigue siendo intenso. Casi 2000 ataques semanales por organización reflejan la presión constante de los adversarios, impulsada por la automatización, la amplia expansión de la superficie de ataque y los riesgos de exposición persistentes vinculados a la adopción de la nube y el uso de la IA general.
El sector educativo siguió siendo el más atacado en marzo, con un promedio de 4632 ciberataques por organización por semana lo que representa una disminución del 6 % con respecto al año anterior. El gran número de usuarios, los entornos de acceso altamente distribuidos y los recursos de seguridad limitados continúan haciendo que las instituciones educativas sean objetivos atractivos, incluso a pesar de la ligera disminución en el volumen total de ataques.

El sector gubernamental ocupó el segundo lugar, con un promedio de 2582 ataques semanales, lo que refleja una disminución del 12 % con respecto al año anterior. Si bien esta caída sugiere cierto alivio a corto plazo, las organizaciones gubernamentales siguen siendo objetivos constantes debido a los servicios críticos y los datos de alto valor que manejan. El sector de las telecomunicaciones le siguió de cerca, con 2554 ataques semanales, un 10 % menos que el año anterior, pero que aún atraen a ciberdelincuentes que buscan interrupciones a gran escala o acceso a la cadena de suministro.
Se observó una anomalía importante en el sector de la hostelería, los viajes y el ocio, que registró un aumento interanual del 30 % en los ataques. A medida que estas organizaciones se preparan para el aumento de la demanda turística durante la primavera y el verano.
El análisis regional subraya el continuo desequilibrio en la presión cibernética global, con reducciones de ataques distribuidas de manera desigual. Latinoamérica registró el mayor volumen de ataques a nivel mundial, con un promedio de 3054 ataques semanales por organización, además de un aumento interanual del 9 %. Cabe destacar que Latinoamérica fue la única región que experimentó un crecimiento en comparación con febrero, lo que refuerza su posición como objetivo cada vez mayor en medio de la rápida digitalización. Colombia registró 3750 por empresa por semana con un +6%.
La región Asia-Pacífico registró 3.026 ataques semanales, lo que refleja un descenso interanual del 4%, mientras que África el promedio fue de 2.722 ataques, experimentando la mayor reducción, del -22% interanual, aunque sigue figurando entre las regiones más atacadas en general.
Tanto Europa como Norteamérica registraron descensos moderados interanuales, pero siguen enfrentándose a volúmenes de ataques de base sustanciales, lo que refuerza la idea de que incluso los mercados maduros no son inmunes a la presión cibernética sostenida.
La adopción de GenAI empresarial se mantuvo generalizada durante todo marzo de 2026, intensificando el riesgo de fuga de datos a pesar de la reducción en el volumen general de ataques. Los principales indicadores de exposición a GenAI en marzo incluyen:
• Una de cada 28 preguntas de GenAI presentaba un alto riesgo de fuga de datos confidenciales.
• El 91% de las organizaciones que utilizan herramientas GenAI de forma regular se vieron afectadas por este riesgo.
• Un 17% adicional de las preguntas contenían información potencialmente sensible.
• Las organizaciones utilizaron un promedio de 9 herramientas diferentes de GenAI, lo que indica una adopción fragmentada.
• El usuario empresarial promedio generó 78 solicitudes de GenAI al mes.
Si bien el uso de la IA genérica se expandió, la proporción de interacciones de alto riesgo aumentó en comparación con febrero, lo que pone de manifiesto las persistentes deficiencias en materia de gobernanza y visibilidad. Sin controles centralizados, las organizaciones siguen siendo vulnerables a la filtración de credenciales, la exposición de la propiedad intelectual, el intercambio indebido de datos internos y la amplificación involuntaria del riesgo por parte de terceros.
En marzo de 2026, se registraron 672 ataques de ransomware a nivel mundial. Esto representa una disminución del 8 % interanual, pero un aumento del 7 % en comparación con febrero lo que indica un renovado impulso por parte de los atacantes tras los descensos a corto plazo registrados a principios del trimestre.
América del Norte siguió siendo la región más afectada, con el 55% de los incidentes reportados, seguida de Europa con el 24% y la región Asia-Pacífico con el 12%. La proporción de Europa aumentó significativamente desde el 17% en febrero, lo que sugiere un reajuste en el enfoque de los atacantes hacia objetivos de alto valor en la UE.
*Estos datos provienen de sitios web de denuncia de ransomware operados por grupos de extorsión. Si bien estas fuentes presentan un sesgo inherente, ofrecen información valiosa sobre las operaciones y tendencias del ransomware.
El sector de servicios empresariales siguió siendo el más atacado, con un 35 % de las víctimas de ransomware, seguido de bienes y servicios de consumo (14 %) y la industria manufacturera (13 %). En conjunto, estos tres sectores representaron el 61 % de todos los incidentes de ransomware reportado, lo que subraya el enfoque de los atacantes en sectores donde el tiempo de inactividad y la exposición de datos se traducen directamente en ventajas financieras.
El grupo de nivel medio, que incluye los servicios financieros, el gobierno y la atención médica, representó en conjunto el 14 % de las víctimas, y cada sector aumentó su participación en comparación con febrero, lo que indica una distribución más amplia más allá de los bastiones tradicionales del ransomware.
Los análisis a nivel de país muestran que la actividad del ransomware sigue estando muy concentrada en Norteamérica, pero continúa extendiéndose por varios continentes. Estados Unidos representó el 51,8% de los ataques reportados, seguido de Alemania (4,8%), Francia (4,5%) y el Reino Unido (3,7%).
Los países más afectados abarcan Norteamérica, Europa, Asia y Latinoamérica, lo que refuerza el alcance global del ransomware a pesar de su concentración regional.
La actividad de ransomware en marzo se mantuvo fragmentada, aunque dominada por un pequeño número de grupos de gran actividad. Qilin lideró la actividad, siendo responsable del 20% de los ataques publicados, seguido de Akira (12%) y DragonForce (8%). Si bien los tres principales representaron el 40% de los incidentes, un total de 47 grupos de ransomware diferentes afectaron públicamente a organizaciones en todo el mundo el mes pasado.
• Qilin: Una de las operaciones de ransomware como servicio (RaaS) más consolidadas, activa desde 2022. Anteriormente conocida como Agenda, Qilin opera un ecosistema de afiliados maduro con cifradores basados en Rust, infraestructura de negociación y servicios de soporte especializados. Desde principios de 2025, el grupo ha ampliado significativamente el reclutamiento de afiliados y la divulgación de información sobre las víctimas.
• Akira: Detectado por primera vez en 2023, Akira ataca sistemas Windows, Linux y ESXi. El grupo se ha centrado cada vez más en los servicios empresariales y la fabricación industrial, implementando un cifrador basado en Rust para ESXi con ataques dirigidos a máquinas virtuales específicas y mecanismos para evadir entornos aislados.
• DragonForce: Un grupo RaaS que opera un modelo de "cártel" de marca blanca, permitiendo a sus afiliados gestionar marcas independientes sobre una infraestructura compartida. La actividad de DragonForce se intensificó en marzo, tras la absorción de los afiliados desplazados de RansomHub y las campañas de ingeniería social de alto perfil dirigidas a importantes minoristas del Reino Unido.

“En Check Point Software, nuestra investigación demuestra que las disminuciones temporales no indican una reducción del riesgo. Los atacantes siguen perfeccionando la precisión, el momento oportuno y la selección de objetivos, aprovechando los ciclos estacionales, las tecnologías emergentes y los puntos ciegos operativos”, afirma Ángel Salazar, Gerente de Ingeniería de Canales en América Latina de Check Point Software.

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha identificado un nuevo riesgo de seguridad relacionado con el uso de asistentes de programación basados en inteligencia artificial, como Claude Code. La compañía ha detectado que estos asistentes pueden publicar de forma accidental credenciales sensibles en el ecosistema npm.
El origen del problema reside en el modelo de permisos de Claude Code. Cuando un desarrollador autoriza la ejecución de comandos, estos se almacenan en el archivo “.claude/settings.local.json” dentro del proyecto. Este archivo puede contener tokens, claves API o credenciales embebidas en los comandos aprobados. Si no se excluye explícitamente antes de publicar el paquete, esa información es pública.
A diferencia de otros archivos sensibles como “.env”, este archivo no cuenta con mecanismos de protección ni alerta durante el proceso de publicación. Además, su apariencia (una simple lista de comandos) dificulta que los desarrolladores identifiquen el riesgo.

Para dimensionar el alcance, Check Point Software cuenta con un sistema automatizado que monitoriza el registro de npm y analiza los paquetes publicados. Durante el periodo de estudio se examinaron cerca de 46.500 paquetes, de los cuales 428 incluían el archivo “.claude/settings.local.json.” En 33 casos, correspondientes a 30 paquetes, se identificaron credenciales sensibles, lo que supone que aproximadamente uno de cada trece archivos expuestos contenía información crítica.

Entre los datos encontrados se incluyen tokens de autenticación de npm (bloque de código reutilizable), credenciales en texto plano (usuario, contraseña y correo electrónico), tokens de acceso personal de GitHub, claves de API de servicios como Telegram o Hugging Face, así como credenciales utilizadas en entornos de prueba. En algunos casos, estos accesos permiten control total sobre servicios o cuentas.

La facilidad con la que se produce esta exposición se explica por el uso cotidiano de herramientas de IA en desarrollo. Durante el flujo de trabajo, los desarrolladores aprueban múltiples comandos, algunos de los cuales incluyen autenticación. Al seleccionar opciones como “allow always”, estos comandos quedan registrados permanentemente sin que exista una revisión posterior antes de la publicación del paquete.

Los archivos como “.npmignore” y “.gitignore” existen por una razón principal: no publicar secretos. Lo que demuestra esta investigación es que los asistentes de programación basados en IA están introduciendo nuevas formas de crear, almacenar y exponer accidentalmente esos secretos. Incluso cuando estas salvaguardas son generadas por IA, el sistema aún no entiende cómo protegerse de sí mismo. Para las organizaciones, la conclusión es clara: no se debe asumir que las protecciones generadas por IA son correctas solo porque parecen correctas.

“Cualquier archivo creado con fines defensivos, como reglas de exclusión o configuraciones de seguridad, debe ser validado por una persona para garantizar que cumple realmente su función”, afirma Ángel Salazar, Gerente de Ingeniería de Canales en América Latina de Check Point Software.

Check Point Software recomienda a los equipos de desarrollo revisar sus procesos de publicación y adoptar medidas preventivas sencillas pero efectivas. Entre ellas, incluir el directorio “.claude/” en los archivos “.npmignore” y “.gitignore”, así como verificar el contenido del paquete antes de su publicación mediante comandos como npm pack --dry-run.

Asimismo, la compañía advierte que los paquetes publicados en npm son permanentes. Aunque una versión pueda marcarse como obsoleta, su contenido sigue siendo accesible. Por ello, cualquier credencial expuesta debe considerarse comprometida desde el momento de su publicación y debe ser revocada y reemplazada inmediatamente. Este descubrimiento demuestra la necesidad de adaptar las prácticas de protección a un entorno donde la inteligencia artificial no solo asiste en la creación de código, sino que también introduce nuevos vectores de riesgo.

En el primer trimestre de 2026, Microsoft continuó siendo la marca más imitada en ataques de phishing, representando el 22 % de todos los intentos de suplantación de marca, además entraron Tesla, YouTube y Dropbox, según datos de Check Point Research (CPR). Estos resultados refuerzan una tendencia de larga data: los atacantes explotan sistemáticamente marcas de gran confianza para robar credenciales y obtener acceso inicial a entornos personales y empresariales.

Apple ascendió al segundo puesto con un 11%, lo que refleja el creciente interés de los atacantes en los ecosistemas de consumo relacionados con pagos, identidad y dispositivos personales. Google le siguió de cerca en tercer lugar con un 9%, mientras que Amazon ocupó el cuarto puesto con un 7%. LinkedIn subió al quinto lugar con un 6%, lo que evidencia el interés constante de los atacantes en las identidades profesionales y el acceso corporativo. Cabe destacar que las cuatro marcas principales representaron casi el 50% de todos los intentos de phishing observados, lo que subraya una fuerte concentración en torno a un pequeño número de plataformas reconocidas a nivel mundial.

La tecnología sigue dominando el phishing de marcas.
Por sectores, el tecnológico volvió a ser la categoría más suplantada en las campañas de phishing de marca durante el primer trimestre de 2026. Este predominio refleja el enfoque estratégico de los atacantes en las credenciales que permiten el acceso al correo electrónico corporativo, las plataformas en la nube, las herramientas de colaboración y los servicios de identidad. Al sector tecnológico le siguieron las redes sociales, impulsadas por el abuso continuado de plataformas como LinkedIn y Facebook, y el sector bancario, que sigue siendo un objetivo principal para el fraude financiero directo y el robo de cuentas. A medida que la identidad digital se convierte en la columna vertebral.

Las 10 marcas más imitadas en phishing – Primer trimestre de 2026
1. Microsoft – 22%
2. Apple – 11%
3. Google – 9%
4. Amazon – 7%
5. LinkedIn – 6%
6. Dropbox – 2%
7. Facebook – 2%
8. WhatsApp – 1%
9. Tesla – 1%
10. YouTube – 1%
“La continua prominencia de Microsoft, Apple y Google refleja su papel central en los flujos de trabajo de autenticación, productividad e identidad digital, lo que hace que las credenciales robadas sean particularmente valiosas para los ciberdelincuentes”, afirma Ángel Salazar, gerente de Ingeniería de Canales de Check Point Software.

Ejemplos reales de phishing observados en el primer trimestre de 2026.
Microsoft: Abuso de subdominios para el robo de credenciales
En el primer trimestre de 2026, Check Point Research identificó un sitio web malicioso diseñado para suplantar el servicio de autenticación legítimo de Microsoft: login[.]microsoftonline[.]com[.]office[.]sibis-office365[.]mtigroup[.]myshn[.]net. Este ataque demuestra una técnica común de phishing en la que el nombre de la marca se inserta en un subdominio de un dominio principal no relacionado, con el objetivo de engañar a los usuarios que no examinan detenidamente la URL completa.

El sitio web mostraba una página de inicio con la marca Microsoft, solicitando a los usuarios ingresar dirección de correo electrónico. El proceso de autenticación era inconsistente: intentaba enviar un código de verificación, redirigía a los usuarios a la página de ingreso de contraseña y, finalmente, mostraba una pantalla de inicio de sesión que no funcionaba.

PlayStation: Tienda online falsa y fraude de pagos
En otra campaña, CPR identificó un sitio web de phishing alojado en playstation-stores[.]com. El sitio suplantaba la identidad de la marca oficial PlayStation y promocionaba descuentos falsos, entregas rápidas y "precios más bajos garantizados", a pesar de no tener ninguna afiliación legítima con Sony. Si bien el sitio permitía a los usuarios explorar productos y agregarlos al carrito de compras, presentaba múltiples señales de alerta, como enlaces rotos y redirecciones al sitio web legítimo playstation.com. Durante el proceso de pago, se solicitaba a los usuarios que completaran el pago mediante transferencia bancaria directa, un claro indicio de fraude.

WhatsApp: Secuestro de código QR mediante inicio de sesión web falso
En el primer trimestre de 2026, CPR también identificó una campaña de phishing que suplantaba la identidad de WhatsApp Web, alojada en web[.]whatsapp[.]app[.]hl[.]cn. Una vez más, los atacantes recurrieron a subdominios de marca bajo dominios no relacionados para aumentar su credibilidad. El sitio replicaba fielmente la interfaz legítima de WhatsApp Web e incitaba a los usuarios a escanear un código QR para vincular su dispositivo. Al escanear el código QR, las víctimas podían conectar sin saberlo su cuenta de WhatsApp a una sesión controlada por el atacante, lo que potencialmente les otorgaba acceso no autorizado a conversaciones privadas y a la actividad de su cuenta, sin que el usuario se percatara de inmediato de que su cuenta había sido comprometida.

Adobe: Distribución de malware mediante descargas de software falsas
Otra campaña observada en el primer trimestre de 2026 involucró un sitio web malicioso que se hacía pasar por Adobe Acrobat, alojado en: adobe[.]donittech[.]com/windows[.]php
El dominio, registrado en noviembre de 2025, incitaba a los usuarios a descargar un instalador MSI malicioso. Tras su ejecución, el instalador desplegaba ConnectWise, que se utilizaba como troyano de acceso remoto (RAT). Esto permitía a los atacantes obtener el control remoto del sistema infectado, transformando el ataque de phishing en una intrusión total en el dispositivo.

Gestión del riesgo de phishing de marca: por qué la prevención debe ser lo primero.
El phishing de marca son dos problemas. La mayoría de las organizaciones solo se protegen contra uno. La primera situación se da cuando tu marca se utiliza como arma contra otra persona. Los atacantes crean dominios que imitan a los de tu empresa, falsifican páginas de inicio de sesión y suplantan su identidad para estafar a los clientes. No se trata de una brecha de seguridad tradicional, es un daño muy real.

No esperar y si analizar continuamente el panorama de amenazas externas en busca de campañas de suplantación de identidad, dominios fraudulentos y operaciones de robo de credenciales que perjudican su marca. Y lo que es más importante, detiene el abuso de marca, eliminando páginas, perfiles y aplicaciones falsas con una tasa de éxito superior al 98 %. El objetivo es detectar e interrumpir estas campañas.

El segundo problema es el inverso: sus empleados pueden ser blanco de ataques a través de otras marcas de confianza. Alguien recibe una solicitud de inicio de sesión que parece ser de Microsoft o DocuSign, ingresa sus credenciales y les da a los atacantes acceso. Estos ataques funcionan precisamente porque las marcas suplantadas son marcas que la gente usa a diario y en las que confía sin reservas. La gestión de riesgos detecta qué proveedores y socios externos muestran indicios de vulnerabilidad