Los ciberdelincuentes no descansan y prefieren operar cuando las empresas duermen. Así lo revela el nuevo informe Sophos Active Adversary Report 2025, que indica que el 83% de los ataques de ransomware a organizaciones se ejecutan fuera del horario laboral y que los atacantes pueden tomar el control total de una red en solo 11 horas.
El informe, elaborado por Sophos a partir del análisis de más de 400 casos reales atendidos por sus equipos de Managed Detection and Response (MDR) y Incident Response (IR) durante 2024, ofrece una radiografía de las técnicas y velocidad con la que operan los atacantes hoy en día.
Uno de los hallazgos más sorprendentes: en el 56% de los casos los atacantes no forzaron su entrada en la red, simplemente iniciaron sesión con credenciales válidas, obtenidas en muchos casos gracias a contraseñas comprometidas, que por segundo año consecutivo encabezan las causas raíz de los ataques.
Al analizar las investigaciones de MDR e IR, el equipo Sophos X-Ops se centró específicamente en casos de ransomware, extracción de datos y extorsión de datos para identificar qué tan rápido avanzan los atacantes a través de las etapas de un ataque dentro de una organización.
En este sentido, el informe también revela que los atacantes tardan solo 72.98 horas (poco más de 3 días) en extraer datos una vez iniciado el ataque. Desde que roban la información hasta que son detectados, transcurren en promedio apenas 2.7 horas.
“La seguridad pasiva ya no es suficiente. Si bien la prevención es fundamental, la respuesta rápida es crítica. Las organizaciones deben monitorear activamente sus redes y actuar con rapidez ante la telemetría observada. Los ataques coordinados por adversarios motivados requieren una defensa coordinada. Para muchas empresas, esto significa combinar el conocimiento específico del negocio con la detección y respuesta lideradas por expertos”, afirmó John Shier, CISO de campo.
Los atacantes pueden tomar el control de un sistema en solo 11 horas, el tiempo promedio entre la primera acción de los atacantes y su primer intento (frecuentemente exitoso) de comprometer el Active Directory (AD), uno de los activos más críticos en cualquier red Windows, fue de solo 11 horas. Si tienen éxito, los atacantes pueden tomar el control de la organización con mayor facilidad.
Los grupos de ransomware trabajan de noche, en 2024, el 83% de los binarios de ransomware se desplegaron fuera del horario laboral de las víctimas. Las contraseñas comprometidas causaron el 41% de los ataques, seguidas de vulnerabilidades explotadas (21.79%) y ataques de fuerza bruta (21.07%).
El tiempo de permanencia se ha reducido a solo 2 días, en general, el tiempo de permanencia —tiempo desde el inicio de un ataque hasta su detección—disminuyó de 4 días a solo 2 en 2024, en gran parte debido a la inclusión de los casos de MDR en el análisis.
Fuente: Sophos
