Hitachi Vantara potencia el almacenamiento híbrido en Azure
Para Fortinet este será el año donde la IA, la geopolítica y los deepfakes redefinirán el rol del CISO. Un análisis de fondo sobre las amenazas que ya no son hipotéticas.
El informe CISO Predictions for 2026, publicado por Carl Windsor, CISO de Fortinet, no es un ejercicio de prospectiva especulativa. Es un mapa de amenazas que ya están materializándose, algunas desde 2024, y que en 2026 alcanzarán una escala y sofisticación sin precedentes. El documento merece una lectura detallada porque, a diferencia de los habituales rankings de tendencias, cada predicción está respaldada por incidentes documentados, datos de campo y referencias a investigaciones académicas e institucionales.
La tesis central es clara: el perímetro de amenaza del CISO se ha expandido hasta abarcar la geopolítica global, la órbita satelital y la arquitectura de identidad de los agentes de inteligencia artificial. El profesional de seguridad que siga operando con un modelo reactivo y perimetral quedará sistemáticamente expuesto.
“En una gran empresa puedes estar defendiéndote de cientos de miles de ataques al día. Pero un atacante solo necesita tener éxito una vez.” — Carl Windsor, CISO Collective, Fortinet
La IA como vector de ataque y como talón de Aquiles corporativo
Fortinet identifica la inteligencia artificial como el factor de cambio más disruptivo —tanto para los defensores como para los atacantes. El análisis parte de una distinción importante: el riesgo no proviene únicamente de actores externos que weaponizan la IA, sino también del uso interno no gobernado por parte de los propios equipos de la organización.
El informe señala vulnerabilidades específicas que los marcos de ciberseguridad tradicionales no contemplan: ataques adversariales que manipulan los datos de entrada para inducir predicciones erróneas en los modelos, inyecciones de prompt que eluden los mecanismos de seguridad de los LLM, envenenamiento de datos de entrenamiento, y lo que Fortinet denomina identidades no humanas (NHI) —los agentes de IA autónomos que interactúan entre sí sin supervisión humana y cuya cadena de autenticación puede convertirse en un vector de acceso lateral a sistemas críticos.
La predicción es concreta: 2026 verá un incremento tanto en volumen como en gravedad de las brechas en sistemas de IA, a medida que los casos de uso corporativo se multipliquen y los agentes accedan a datos cada vez más sensibles.
El vector que Fortinet considera más infraestimado son los deepfakes aplicados al fraude empresarial. El Business Email Compromise (BEC) —que según el FBI ya genera pérdidas de miles de millones de dólares anuales— está a punto de escalar en severidad cuando el vector deje de ser un correo electrónico convincente y pase a ser una videollamada generada por IA en la que el “CEO” instruye a un directivo financiero a ejecutar una transferencia. Fortinet anticipa múltiples incidentes de alto perfil en 2026 derivados de este vector.
Geopolítica, cables submarinos y el espacio como campo de batalla
La segunda parte del informe es, si cabe, más inquietante. Fortinet documenta cómo la guerra cibernética ha dejado de ser una operación de inteligencia encubierta para convertirse en un componente estructural de los conflictos armados contemporáneos.
El caso más ilustrativo es el de Predatory Sparrow, el grupo vinculado a Israel que destruyó 90 millones de dólares en criptoactivos del exchange iraní Nobitex y comprometió datos del Banco Sepah estatal. Pero más allá de Oriente Medio, el informe señala una tendencia que afecta directamente a organizaciones multinacionales: cualquier empresa que suministre equipamiento o servicios a partes en conflicto puede convertirse en objetivo, independientemente de su ubicación geográfica.
La amenaza a infraestructuras físicas de internet es otro capítulo que Fortinet trata con rigor. Los cortes de cables submarinos en el Báltico —atribuidos a actores vinculados al Estado ruso—, en el Mar Rojo y entre Francia y el Reino Unido no son incidentes aislados: configuran un patrón de presión sobre la infraestructura global de comunicaciones. El Centro de Estudios Estratégicos e Internacionales (CSIS) ha documentado el desarrollo por parte de China de un buque capaz de cortar cables a 4.000 metros de profundidad.
A esto se suma el problema del jamming y spoofing de GPS —ya registrado alrededor de Ucrania y en otras zonas de conflicto activo, incluyendo el incidente con el avión de Ursula von der Leyen sobre Bulgaria, documentado por The New York Times— y las vulnerabilidades en comunicaciones satelitales, donde investigadores de UC San Diego y la Universidad de Maryland demostraron que un receptor de 800 dólares es suficiente para interceptar datos no cifrados transmitidos vía satélite, incluyendo comunicaciones militares y gubernamentales.
La predicción de Fortinet para 2026 es que los CISOs de sectores como logística, aerolíneas, defensa y manufactura deberán incorporar estos vectores geopolíticos a su modelado de amenazas, algo para lo que la mayoría de los marcos de gestión de riesgos actuales no están preparados.
El CISO como Chief Resilience Officer: asumir que la brecha ocurrirá
La recomendación más relevante del informe —y la que más incomoda a quienes todavía operan en modo preventivo— es que el objetivo del CISO en 2026 no puede ser evitar todos los ataques, sino garantizar que la organización siga operativa cuando uno de ellos tenga éxito.
Fortinet introduce el concepto de Minimum Viable Business (MVB): el conjunto mínimo de capacidades operativas que deben mantenerse bajo cualquier escenario de disrupción. Diseñar, documentar y probar regularmente ese umbral es, según el informe, la responsabilidad más crítica —y más descuidada— del CISO moderno.
El análisis también aborda la presión regulatoria creciente (NIS2, DORA, CMMC, entre otros marcos), la brecha de talento en ciberseguridad —donde el informe de habilidades de Fortinet 2025 indica que el 56% de los líderes TI atribuye las brechas a falta de conciencia de seguridad— y la amenaza cuántica, para la que el consejo es pragmático: incorporar criterios de quantum-readiness en los procesos de compra tecnológica desde ahora, sin esperar a que el riesgo sea inmediato.
