El **Informe de Investigaciones sobre Brechas de Datos (DBIR)** anual de **Verizon** sirve como un punto de referencia vital para la industria de la ciberseguridad, ofreciendo perspectivas derivadas de una multitud de fuentes de datos independientes. Este año, el **DBIR** 2026 señala un cambio estructural significativo en las metodologías de los atacantes, enfatizando la creciente importancia de la visibilidad a nivel del navegador. Como colaborador del **DBIR** 2026, el equipo de **Keep Aware** obtuvo información temprana sobre estas señales convergentes. Su telemetría del navegador se alinea con los datos del **DBIR**, revelando además áreas críticas donde las herramientas tradicionales de red y de punto final fallan. ### Shadow AI: Un Riesgo Empresarial Generalizado **Shadow AI** ha surgido como una preocupación importante, identificada en el **Verizon DBIR** como la tercera acción interna no maliciosa más común observada en conjuntos de datos de Prevención de Pérdida de Datos (DLP). Esto representa un aumento de cuatro veces respecto al año anterior. Los empleados utilizan cada vez más servicios de IA personales como **ChatGPT** para agilizar tareas, a menudo pegando documentos internos o código fuente en sesiones no autorizadas antes de que haya alternativas aprobadas por la corporación disponibles. La escala de este uso no autorizado de IA es asombrosa: el 67% de los usuarios accede a servicios de IA en dispositivos corporativos a través de cuentas personales no corporativas. Además, el 45% de los empleados son ahora usuarios habituales de IA. La telemetría del navegador de **Keep Aware** añade una capa crucial de detalle, mostrando que más de la mitad de las entradas de indicaciones de IA se envían a cuentas personales. Un significativo 23% de las cargas de indicaciones sensibles implican datos que transitan a través de cuentas personales o no verificadas, eludiendo efectivamente las políticas DLP corporativas y la infraestructura de registro.  ### Abuso de Credenciales y la Brecha de Detección del Navegador El **DBIR** 2026 encontró que el 39% de las brechas involucraron abuso de credenciales. Los datos de ataques de 2025 de **Keep Aware** corroboran esto, identificando el robo de credenciales basado en el navegador como el principal ataque basado en el navegador, representando aproximadamente el 41% de la actividad de amenazas observada. Esto sugiere que el robo de credenciales originado en el navegador a menudo precede a las brechas exitosas. Un hallazgo crítico es la invisibilidad de estos ataques para las herramientas de seguridad tradicionales. El análisis de **Keep Aware** reveló que el 63% de los sitios de **phishing** con temática de **Microsoft** no fueron marcados por ningún proveedor de **VirusTotal** en el momento de la exposición del empleado. Más alarmantemente, el 100% de los intentos de robo de credenciales observados eludieron los controles de seguridad no basados en el navegador existentes, incluidos proxies de red, filtros DNS y agentes de punto final. La detección, al parecer, solo es posible de manera confiable dentro del propio navegador, donde se renderiza la página y ocurre la interacción del usuario. ### Extensiones del Navegador: Privilegiadas, Sin Gobernar y Amenaza en Expansión Las extensiones del navegador operan con un alto nivel de privilegio, capaces de leer, modificar y exfiltrar datos desde el contexto del navegador. A pesar de esto, el **DBIR** 2026 señaló que la empresa promedio tiene más del 15% de usuarios con extensiones de IA no autorizadas instaladas. El problema se extiende más allá de las herramientas de IA. La telemetría de **Keep Aware** muestra que el 13% de las extensiones de navegador únicas en su base de clientes fueron clasificadas como de riesgo alto o crítico. Una perspectiva particularmente preocupante es que el 93% de estas extensiones de mala reputación fueron etiquetadas como herramientas de "productividad" por los mercados de navegadores. Esta categorización común hace que las políticas de lista blanca basadas en categorías sean inútiles para esta clase de amenaza. ### ClickFix e Ingeniería Social Nativa del Navegador Tanto el **DBIR** 2026 como el Informe sobre el Estado de la Seguridad del Navegador de **Keep Aware** destacan **ClickFix** como una técnica emergente de ingeniería social. El **Verizon DBIR** señaló que **ClickFix** representó el 2.7% de los ataques detectados por el navegador, un indicador pequeño pero significativo de la evolución de la ingeniería social basada en el navegador.  **ClickFix** es una táctica engañosa diseñada para engañar a los usuarios para que ejecuten involuntariamente código malicioso desde el navegador en su máquina host. Estos ataques a menudo se originan en sitios web comprometidos o incluso en respuestas maliciosas de chat LLM. Si bien el punto final finalmente sufre el impacto, el navegador sirve como el medio inicial de ingeniería social y, crucialmente, como la primera línea de defensa. ### El Elemento Humano: Un Problema Centrado en el Navegador El **DBIR** 2026 encontró que el 62% de las brechas involucraron el elemento humano, con el **phishing** iniciando el 16% de los incidentes. Los datos de **Keep Aware** enfatizan esto aún más, mostrando que el **phishing** y la ingeniería social fueron responsables del 46% de los ataques de navegador en 2025. Si bien a menudo se enmarca como un problema de capacitación y concienciación, los atacantes refinan constantemente la ingeniería social basada en el navegador. Las tácticas incluyen enlaces de **phishing** a sitios intermediarios benignos, cadenas de redireccionamiento complejas, páginas que se renderizan de manera diferente para escáneres automatizados, contenido alojado en sitios web legítimos e inyecciones silenciosas del portapapeles. La visibilidad a nivel del navegador no elimina el elemento humano, sino que traslada la detección al punto de interacción, identificando amenazas antes de que sean explotadas aguas abajo. ### Implicaciones para los Equipos de Seguridad **Shadow AI**, el robo de credenciales, las extensiones maliciosas y las técnicas de ingeniería social nativas del navegador como **ClickFix** comparten un hilo común: todas se ejecutan dentro del navegador y producen artefactos que son más, si no solo, visibles a nivel del navegador. Los programas de seguridad que dependen únicamente de la telemetría de red, de punto final e de identidad continuarán albergando puntos ciegos significativos precisamente donde los atacantes operan cada vez más. El navegador ya no es simplemente una aplicación; para la mayoría de los usuarios empresariales, es el entorno de trabajo principal. Asegurarlo ya no es una opción, sino una necesidad. Comprender esta brecha es crucial antes de que los atacantes la exploten.