Check Point Research, la división de inteligencia de amenazas de Check Point Software Technologies, presentó su informe Global Threat Intelligence correspondiente a abril de 2026. El relevamiento muestra que las organizaciones a nivel mundial registraron un promedio de 2.201 ciberataques semanales por organización, lo que representa un incremento del 10% respecto de marzo y del 8% en comparación con abril de 2025.
Luego de la moderación observada durante marzo, los datos de abril confirman que la actividad global volvió a intensificarse. El nuevo repunte refleja cómo los actores maliciosos continúan recalibrando sus campañas, aprovechando la automatización, la expansión de las superficies digitales y la exposición persistente vinculada con la adopción de servicios en la nube y herramientas de IA generativa.
“Los números de abril muestran que la desaceleración de marzo fue transitoria. Los atacantes mantienen una operación dinámica y altamente adaptable: modifican objetivos y timing, pero no retroceden. A medida que el ransomware escala y la inteligencia artificial generativa se incorpora a los flujos cotidianos de trabajo, las organizaciones deben asumir que el riesgo cibernético es permanente y reforzar estrategias de prevención, gobierno y seguridad impulsada por IA, capaces de detener amenazas antes de que generen impacto”, señaló Omer Dembinsky, Data Research Manager de Check Point Software Technologies.
Educación, gobierno y telecomunicaciones, entre los sectores más atacados
Durante abril, el sector educativo volvió a posicionarse como el más atacado del mundo, con un promedio de 4.946 ataques semanales por organización, un 8% más interanual. La combinación de comunidades amplias y distribuidas, junto con recursos de seguridad limitados, continúa convirtiendo a estas instituciones en objetivos especialmente atractivos.
En segundo lugar se ubicó el sector de gobierno, con 2.797 ataques semanales, mientras que telecomunicaciones ocupó el tercer puesto con 2.728 ataques por semana.
También se observó mayor presión sobre actividades estacionales. Los sectores de hospitalidad, turismo y recreación mantuvieron niveles elevados de actividad maliciosa a medida que se aproxima la temporada alta de viajes, impulsados por un mayor volumen de transacciones digitales, integraciones con terceros y aceleración operativa.
América Latina se mantiene como la región más atacada
A nivel regional, América Latina volvió a ser la región más afectada del mundo, con un promedio de 3.364 ataques semanales por organización, lo que implica un aumento interanual del 20%.
La acelerada digitalización de las economías latinoamericanas, sumada a niveles de madurez en ciberseguridad todavía desiguales, continúa posicionando a la región como un foco prioritario para los cibercriminales.
En el desglose regional de abril, APAC registró 3.213 ataques semanales (+4%), mientras que África promedió 2.940 (-9%). Por su parte, Europa alcanzó 1.848 ataques semanales (+9%) y América del Norte 1.499 (+0,4%).
Un dato relevante es que todas las regiones mostraron incrementos respecto de marzo, lo que evidencia un repunte generalizado y no episodios aislados.
Argentina: crecimiento interanual y presión sostenida
En el plano local, Argentina registró un promedio de 2.800 ataques semanales por organización durante abril, con una suba interanual del 15%.
Dentro de la región, Brasil lideró con 4.118 ataques semanales, seguido por Colombia con 4.090 y México con 3.548. El dato argentino confirma que el país se mantiene dentro del grupo de mercados latinoamericanos con mayor nivel de exposición, en un contexto de creciente digitalización de operaciones, expansión de servicios conectados y mayor dependencia de entornos cloud.
La adopción de IA generativa amplía el riesgo de exposición de datos
Más allá de las variaciones en el volumen de ataques, durante abril se mantuvo elevada la exposición asociada al uso corporativo de herramientas de inteligencia artificial generativa.
Check Point Research detectó que uno de cada 28 prompts enviados desde entornos empresariales presentaba alto riesgo de fuga de información sensible, afectando al 90% de las organizaciones que utilizan regularmente herramientas de GenAI. Además, el 19% de los prompts contenía datos potencialmente sensibles.
Durante el mes, las organizaciones utilizaron en promedio 10 herramientas diferentes de IA generativa, mientras que cada usuario empresarial generó 77 prompts mensuales. Esto evidencia el grado de integración que estas tecnologías ya alcanzaron en los flujos de trabajo diarios, muchas veces a una velocidad superior a la capacidad de adaptación de las políticas de gobierno y de los controles de seguridad.
En este escenario, el riesgo comienza a desplazarse desde la frecuencia de ataque hacia el impacto de la exposición: datos sensibles que se filtran a través de interacciones cotidianas con herramientas de IA y que, en muchos casos, quedan fuera de la visibilidad tradicional de seguridad.
El ransomware mantiene su expansión
El ransomware siguió siendo una de las amenazas más disruptivas de abril. Durante el mes se reportaron públicamente 707 incidentes, lo que representa un crecimiento del 5% respecto de marzo y del 12% interanual.
El sector de servicios empresariales concentró el 33,8% de los incidentes reportados, seguido por bienes y servicios de consumo (14,4%) y manufactura industrial (9,9%), sectores en los que la interrupción operativa y la exposición de datos se traducen rápidamente en presión financiera.
A nivel geográfico, América del Norte concentró el 46% de los ataques de ransomware reportados, seguida por Europa (27%) y APAC (17%).
Por países, Estados Unidos se mantuvo como el más afectado, con el 41,6% de los incidentes reportados, seguido por Alemania (5%), Canadá (4,8%) e Italia (4%).
Un ecosistema cada vez más amplio y resiliente
La actividad de ransomware durante abril estuvo encabezada por un grupo reducido de operadores de alta productividad. Qilin concentró el 15% de los ataques publicados, seguido por The Gentlemen con 10% y DragonForce con 9%.
Aunque estos tres grupos representaron el 34% de los incidentes reportados, durante abril 56 grupos diferentes de ransomware afectaron públicamente a organizaciones en todo el mundo.
Esta combinación entre concentración en la cima y expansión en la base refleja un ecosistema criminal resiliente, donde plataformas de Ransomware-as-a-Service continúan escalando a través de redes de afiliados, automatización y herramientas cada vez más sofisticadas, mientras nuevos actores mantienen una presión sostenida sobre industrias críticas.
