La ciberseguridad dejó de ser un seguro: ahora es un costo de producción en una Internet armada
Cloudflare acaba de ponerle números a una sensación que muchos equipos técnicos ven a diario, pero que en la sala de directorio todavía se trata como contingencia: los ataques se volvieron industriales. No es solo que haya más incidentes; es que cambió la unidad económica del delito digital. Según su Threat Report 2026, la compañía bloquea 230 mil millones de amenazas por día, observa un “piso” de 31.4 Tbps en ataques DDoS, y registra que 94% de los intentos de inicio de sesión provienen de bots. En paralelo, 63% de los logins en los últimos tres meses involucraron credenciales comprometidas en otro lugar.
Esta combinación explica por qué la conversación correcta ya no es “cómo prevenimos el próximo gran ataque”, sino cómo diseñamos una operación digital que funcione bajo asedio permanente. La Internet, en términos prácticos, se está “armando”: se usa su escala, su automatización y su velocidad como un arma. Y cuando el costo marginal de intentar un ataque se acerca a cero, el defensor deja de competir con talento individual y empieza a competir con ingeniería de procesos.
La industrialización del ataque cambia la economía del riesgo
En el mundo corporativo, una amenaza manejable suele ser episódica: aparece, se atiende, se cierra. Lo que muestra Cloudflare es otra cosa: un sistema de producción. 230 mil millones de amenazas bloqueadas al día no describen una ola; describen una línea de ensamblaje donde el volumen hace el trabajo.
Este salto de escala se ve en el DDoS. Un “baseline” de 31.4 Tbps normaliza un tipo de agresión que antes se consideraba extrema. La consecuencia de negocio es directa: el tiempo de caída y la degradación del servicio dejan de ser una rareza y se vuelven una variable operativa que hay que modelar como se modela la demanda o el fraude.
También se industrializa el acceso. Si 94% de los intentos de login son bots, el login deja de ser un gesto de confianza y pasa a ser una zona de fricción inevitable. Y si 63% de los logins se apoyan en credenciales ya filtradas, la identidad del cliente se convierte en un dato “reutilizado” por terceros a escala. La lectura relevante para un CFO no es técnica; es contable: los costos asociados a fraude, soporte, contracargos, reputación y cumplimiento tienden a crecer si el negocio insiste en tratar la autenticación como una pantalla y no como un sistema.
El detalle más revelador del reporte es el tiempo. Cloudflare documenta un caso en el que una vulnerabilidad fue explotada 22 minutos después de publicarse su prueba de concepto. Ese dato destruye un supuesto común en organizaciones medianas: la idea de que “tenemos margen” para enterarnos, priorizar y recién después parchear. Con ventanas de minutos, la ventaja ya no es la intención, sino la automatización defensiva y la preparación previa.
La IA no solo acelera: abarata la delincuencia digital
El reporte sostiene que actores maliciosos usan IA generativa para tareas como mapeo de redes, desarrollo de exploits y deepfakes, habilitando operaciones de alta velocidad con menos habilidad requerida. La implicancia de mercado es incómoda: al bajar la barrera de entrada, sube el número de atacantes potenciales y se multiplican los “intentos”, aunque la tasa de éxito individual sea baja.
Cloudflare además afirma haber registrado el “primer ataque basado en IA” observado por la compañía, donde un actor utilizó IA para ubicar datos de alto valor y comprometió cientos de “tenants” corporativos, caracterizándolo como un ataque de cadena de suministro de gran impacto. Más allá del caso puntual, el patrón es el que importa para la estrategia: la IA funciona como compresor de costos. Reduce el costo de exploración, reduce el costo de personalización y reduce el costo de iteración.
En negocios digitales, casi toda mejora de conversión viene de reducir fricción. La IA aplicada al delito hace lo mismo, pero del otro lado: reduce fricción para intentar y repetir. Esa asimetría obliga a las empresas a abandonar defensas artesanales y moverse hacia defensas por defecto.
Aquí aparece un error típico de gestión: tratar la seguridad como “tecnología a comprar” en lugar de “comportamiento a rediseñar”. Con bots dominando el acceso, cualquier KPI de crecimiento basado en registros, inicios de sesión o tráfico se contamina. Si el negocio monetiza publicidad, sus métricas de audiencia se degradan; si monetiza suscripción, su pipeline se llena de ruido; si monetiza transacciones, sube el costo de verificación y el costo de fraude. La IA no solo crea un nuevo atacante; crea un nuevo entorno donde los indicadores tradicionales dejan de ser confiables si no están instrumentados contra automatización maliciosa.
Cuando el login es el producto: el consumidor contrata continuidad y control
Mi obsesión profesional es entender qué “avance” compra el usuario cuando paga por un servicio. Y en esta noticia el avance es claro: el cliente no está comprando “seguridad” como atributo abstracto, está contratando continuidad, control y ausencia de fricción.
El dato de Cloudflare sobre credenciales comprometidas y bots convierte a la identidad en un campo de batalla cotidiano. La consecuencia para experiencia de cliente es paradójica: para defender, se agrega fricción; pero esa fricción castiga al usuario legítimo. Ese es el dilema que separa a compañías que escalan de compañías que se quedan caras y lentas.
Las mejores respuestas empresariales no se basan en “poner más pasos” de autenticación de forma ciega, sino en diseñar defensas que sean agresivas con el bot y suaves con el humano. Si la empresa no logra esa distinción, el consumidor empieza a vivir el servicio como inestable o hostil. Y cuando la confianza se erosiona, el cliente no analiza arquitectura: migra.
Esta industrialización también cambia el mapa competitivo. Sectores señalados por Cloudflare como especialmente atacados por DDoS —Gaming y Gambling, IT e Internet, Criptomonedas, Software, Marketing y Publicidad— suelen operar con picos de tráfico, alta exposición y sensibilidad a la latencia. Si el ataque se vuelve “normal”, la resiliencia se convierte en diferenciador comercial. No es marketing; es supervivencia. En el borde, la disponibilidad es parte de la propuesta de valor.
Para startups y PyMEs digitales, el riesgo es doble. Primero, porque no pueden absorber la complejidad de un programa de seguridad tradicional. Segundo, porque al crecer atraen automatización maliciosa antes de construir músculo interno. Esto abre espacio para ganadores que empaqueten la defensa como servicio, con implementación simple y costo variable. No por moda, sino porque el mercado está forzando un cambio de arquitectura financiera: pasar de costos fijos de especialistas a costos variables de plataformas y automatización.
El tablero geopolítico entra a la infraestructura: la seguridad como condición de operación
El reporte también menciona actividad de actores estatales chinos, incluyendo grupos como Salt Typhoon y Linen Typhoon, con prioridad en telecomunicaciones norteamericanas, y sectores comerciales, gubernamentales y de servicios IT, con presencia “anclada” para ventaja geopolítica de largo plazo. La forma prudente de leer esto en términos de negocio es que la amenaza ya no es solo criminal y transaccional; también puede ser estratégica y persistente.
Cuando hay “pre-posicionamiento” en infraestructura crítica, el costo de una interrupción no es solo downtime. Es incertidumbre operacional. Para industrias reguladas o con infraestructura esencial, esto fuerza a elevar el estándar mínimo de resiliencia y monitoreo.
Cloudflare describe una transición desde explotación sigilosa hacia intentos de escenarios de apagón, con DDoS como potencial precursor de operaciones más dañinas. En términos de gobierno corporativo, esto empuja a mover la ciberseguridad de un reporte de TI a una capacidad transversal: continuidad de negocio, gestión de proveedores, y preparación de respuesta.
La lección dura es que el eslabón débil suele ser el tercero. El caso citado por Cloudflare sobre un ataque de cadena de suministro que afecta a múltiples “tenants” corporativos ilustra el riesgo sistémico: un proveedor comprometido se convierte en un multiplicador de daño. A nivel contractual, esto empuja a revisar exigencias mínimas, monitoreo compartido y planes de contingencia. A nivel de producto, empuja a reducir dependencia de integraciones frágiles y a diseñar segmentación para que el fallo no se propague.
Lo que el C-level debe asumir: defensa continua, no “proyecto de seguridad”
El patrón que emerge del reporte es operacional: ataques automatizados, intentos masivos, ventanas de explotación comprimidas y tráfico contaminado por bots. En ese contexto, tratar la ciberseguridad como un proyecto con inicio y fin produce el mismo resultado que tratar la contabilidad como un proyecto.
Para un CEO, la decisión relevante es priorizar qué parte del negocio se convierte en “infraestructura de confianza”. Si la empresa vive de cuentas, el login y la sesión son activos. Si vive de transacciones, la verificación es un activo. Si vive de disponibilidad, la mitigación DDoS es un activo. La inversión no se justifica por miedo; se justifica por protección de ingresos, reducción de fraude, menor carga operativa de soporte y preservación de marca.
Para un CFO, el lenguaje útil no es “más herramientas”, sino costos evitados y costos convertidos: automatizar detección y mitigación para reducir horas humanas; estandarizar controles para reducir incidentes repetidos; y, sobre todo, hacer que la seguridad sea un componente del costo de servir a un cliente digital.
El reporte de Cloudflare no describe un futuro hipotético. Describe el presente de una Internet donde el ataque ya tiene procesos, escala y automatización. El negocio que sobreviva será el que convierta esa realidad en diseño.
El éxito de los próximos ganadores va a depender de una verdad simple sobre comportamiento del consumidor: el usuario está contratando continuidad y control de su identidad digital, y castigará a cualquier servicio que le transfiera el costo invisible de una Internet armada.
