El cambio de paradigma: del script kiddie al agente autónomo

Durante años, los ataques automatizados fueron sinónimo de fuerza bruta: escáneres de puertos, intentos masivos de contraseñas, phishing genérico enviado a millones de direcciones. Ruido. Ruido que un buen firewall y un equipo atento podían filtrar.

Eso se ha acabado. Los informes de 2026 coinciden en un cambio estructural: los atacantes ya no usan la IA solo para generar volumen, la usan para ganar precisión. Microsoft observó en su informe de abril de 2026 un aumento del 450% en las tasas de clic en campañas de phishing generadas con IA, porque los señuelos están adaptados al rol, al idioma y al contexto específico de cada víctima. PwC va más lejos en su Annual Threat Dynamics 2026 y advierte que los atacantes ya no tratan la IA como una mejora, sino como parte central de su oficio.

La diferencia es cualitativa. Una IA ofensiva moderna no lanza 10.000 ataques esperando que uno cuele. Estudia a una organización concreta, identifica al empleado con acceso al sistema que le interesa, redacta un correo que suena exactamente como su jefa y, si obtiene una credencial, se mueve lateralmente por la red sin parpadear.

El caso FortiGate: cuando la teoría se vuelve titular

La campaña CyberStrikeAI documentada en 2026 comprometió más de 600 firewalls FortiGate en 55 países mediante un motor de ataque autónomo que encadenó reconocimiento, robo de credenciales y movimiento lateral sin intervención humana. Y el CrowdStrike Global Threat Report 2026 detalla que el 40% de las vulnerabilidades explotadas por actores vinculados a China se concentran en dispositivos de borde: VPN, firewalls y gateways. Exactamente la infraestructura que muchas empresas y administraciones públicas consideran su última línea de defensa.

El tiempo medio de propagación de una intrusión bajó a 29 minutos en 2025, con un récord observado de 27 segundos. Para muchas organizaciones, el compromiso ocurre antes de que su proceso de parcheo apruebe la primera reunión.

Por qué la VPN tradicional ya no aguanta

El problema no es que las VPN estén mal diseñadas. El problema es que fueron diseñadas para un mundo que ya no existe: oficinas fijas, empleados sedentarios, perímetros claros. Ese mundo se rompió con el trabajo híbrido, y la IA ha terminado de destrozarlo.

Tres debilidades estructurales que la IA explota

1. Puertos expuestos = invitación abierta

Toda VPN corporativa publica al menos un puerto al internet público. Ese puerto es escaneado, catalogado y atacado continuamente. Un agente de IA no necesita dormir: puede probar exploits contra cada CVE publicado pocas horas después de su divulgación. El ThreatLabz de Zscaler analizó 411 CVE de VPN en cinco años y detectó un crecimiento anual del 82,5%, con el 60% de los más recientes clasificados como altos o críticos.

2. Confianza implícita = zona cero del desastre

Una vez dentro de la VPN, el usuario es tratado como de confianza. Ve toda la red, o al menos una parte amplia de ella. Si un atacante roba una credencial mediante phishing potenciado por IA, hereda esa confianza. Una empresa financiera en Dallas perdió 2,3 millones de dólares en 47 minutos a principios de 2026 por exactamente este escenario: credencial comprometida, red plana, movimiento lateral sin alertas.

3. Parcheo más lento que el atacante

Solo el 6% de las organizaciones puede desplegar un parche crítico de VPN en menos de 24 horas. El 54% necesita una semana o más. Cuando el atacante es un agente autónomo que itera payloads en minutos, esa ventana es un abismo.

Zero Trust: la respuesta al ataque con bisturí

El modelo Zero Trust no es una moda de marketing. Es la única arquitectura coherente con el tipo de adversario al que nos enfrentamos. Su premisa es sencilla y radical: nunca confíes, siempre verifica. Ningún usuario, ningún dispositivo, ninguna conexión se considera de confianza por defecto, ni siquiera si viene de dentro de la red.

Aplicado al acceso remoto, esto significa tres cambios fundamentales:

• El usuario no entra a la red, entra al recurso concreto que necesita. Si su cuenta es comprometida, el atacante hereda el acceso a esa aplicación, no a toda la infraestructura.

• No hay puertos expuestos al internet público. Las conexiones son salientes desde los recursos hacia un broker intermedio, por lo que no hay nada que escanear desde fuera.

• Cada acceso se verifica de forma continua, no solo en el login inicial. Identidad, postura del dispositivo, comportamiento y contexto se evalúan en cada petición.

Por qué Zero Trust neutraliza a los atacantes con IA

Un agente autónomo necesita tres cosas para completar su ataque: un punto de entrada, libertad de movimiento lateral y tiempo. Zero Trust las elimina las tres.

Sin puertos públicos expuestos, la IA no tiene superficie sobre la que iterar exploits. Sin red plana, una credencial robada solo da acceso a la aplicación específica para la que se emitió. Y con verificación continua, el comportamiento anómalo de un agente moviéndose por la infraestructura levanta alertas antes de que complete su objetivo. No es casualidad que Mandiant, CrowdStrike, Microsoft, PwC y CISA converjan en el mismo mensaje: la única arquitectura viable frente a ataques a velocidad de máquina es la que no expone nada al exterior y verifica todo desde dentro.

Qué significa esto para una administración pública

Los ayuntamientos, diputaciones y entes públicos son objetivos preferentes. Manejan datos sensibles de ciudadanos, operan sistemas críticos (padrón, recaudación, servicios sociales, seguridad) y suelen tener presupuestos de ciberseguridad muy inferiores a los del sector privado equivalente. Un ataque exitoso no solo paraliza el servicio al ciudadano: expone datos protegidos por normativa y genera responsabilidades legales directas.

El dilema hasta ahora era conocido: o se mantenía una infraestructura VPN cara y compleja con firewalls en cada sede, o se asumía el riesgo. ConnectaSec rompe ese dilema. Una plataforma Zero Trust 100% software, desplegable en minutos, sin hardware adicional, sin puertos expuestos, con control granular por usuario y servicio, y con logs auditables durante 365 días para cumplimiento normativo y análisis forense.

Lo que cambia cuando la arquitectura cambia

• El técnico que hoy dedica horas a gestionar reglas de firewall y certificados SSL VPN puede centrarse en proyectos de valor.

• El empleado que teletrabaja se conecta con un clic, sin clientes VPN lentos ni reconexiones constantes.

• El responsable de seguridad tiene visibilidad real de quién accede a qué y desde dónde, en tiempo real.

• El presupuesto deja de crecer con cada sede nueva, cada renovación de hardware, cada ampliación de licencias.

Conclusión: la pregunta no es si, es cuándo

La IA ofensiva no es una previsión para 2028, ni un escenario de simulación. Ya está operando, ya está cerrando la ventana de respuesta a segundos, y ya está atacando específicamente la infraestructura de acceso remoto tradicional. Mantener una VPN en 2026 no es conservadurismo: es una decisión activa de asumir un riesgo que crece cada mes.

Zero Trust no es el futuro de la ciberseguridad. Es el presente. Y cada semana que una organización retrasa la transición es una semana de ventaja regalada a quien tiene un agente autónomo apuntando a su red.

ConnectaSec pone esa arquitectura al alcance de cualquier organización, sin hardware, sin complejidad, sin VPN. Empieza hoy con una prueba piloto gratuita en www.connectasec.com.

Fuentes: Microsoft Security Blog (abril 2026), PwC Annual Threat Dynamics 2026, CrowdStrike Global Threat Report 2026, Zscaler ThreatLabz 2026 VPN Risk Report, Mandiant M-Trends 2026, Foresiet AI Inversion Report 2026.