Los ataques relacionados con la identidad se consolidaron como la principal puerta de entrada para los ciberdelincuentes en 2025, al estar detrás del 67% de los incidentes investigados a nivel global, de acuerdo con el Reporte de Adversarios Activos 2026, elaborado por Sophos.
El informe señala que los atacantes continúan aprovechando contraseñas comprometidas, esquemas de autenticación multifactor (MFA) débiles o inexistentes y sistemas de identidad insuficientemente protegidos, muchas veces sin necesidad de implementar nuevas herramientas o técnicas avanzadas.
Se observa un cambio en los vectores de acceso inicial: el uso de contraseñas comprometidas gana terreno frente a la explotación directa de vulnerabilidades. La actividad de fuerza bruta representa ya el 15.6% de los accesos iniciales, prácticamente al nivel de la explotación de fallas técnicas (16%), lo que refleja un mayor aprovechamiento de credenciales válidas por parte de los atacantes.
El tiempo medio de permanencia se redujo a tres días. Esta disminución responde tanto a una mayor velocidad operativa de los atacantes como a una capacidad de respuesta más ágil por parte de los equipos de ciberdefensa, particularmente en organizaciones que cuentan con servicios de Detección y Respuesta Administrada (MDR).
Una vez que logran acceso, los atacantes tardan en promedio solo 3.4 horas en alcanzar el servidor de Active Directory (AD), el sistema que centraliza la autenticación y gestión de identidades dentro de la red corporativa. Este movimiento rápido facilita la escalación de privilegios y el control de la infraestructura.
El ransomware mantiene un patrón operativo fuera del horario laboral: el 88% de las cargas maliciosas se despliega en horas no laborales y el 79% de las acciones de robo de datos ocurre en ese mismo periodo, lo que evidencia una estrategia orientada a evadir la supervisión directa de los equipos de TI.
El informe muestra un aumento continuo en ataques originados en el compromiso de identidad, incluyendo contraseñas robadas, actividad de fuerza bruta y phishing. Si bien la explotación de vulnerabilidades sigue siendo un factor, los atacantes dependen cada vez más de cuentas válidas para obtener acceso inicial, lo que les permite evadir las defensas perimetrales tradicionales.
“El hallazgo más preocupante del informe en realidad lleva años gestándose: el predominio de causas raíz relacionadas con la identidad para lograr un acceso inicial exitoso. Contraseñas comprometidas, ataques de fuerza bruta, phishing y otras tácticas aprovechan debilidades que no pueden resolverse con simple disciplina en poner parches. Las organizaciones deben adoptar un enfoque proactivo hacia la seguridad de la identidad”, señaló John Shier, Field CISO y autor principal del informe.
Los investigadores de Sophos observaron el mayor número de grupos de amenazas activos registrado en la historia del informe, lo que amplía el panorama general de amenazas e incrementa el desafío de atribución.
Akira (GOLD SAHARA) y Qilin (GOLD FEATHER) fueron las marcas de ransomware más activas observadas, con Akira dominando en 22% de los incidentes, 51 marcas de ransomware aparecieron en los casos, incluyendo 27 marcas recurrentes y 24 nuevas
A pesar de las predicciones generalizadas, Sophos no encontró evidencia de una transformación significativa impulsada por IA en el comportamiento de los atacantes. Si bien la IA generativa ha incrementado la velocidad y el “pulido” del phishing y la ingeniería social, todavía no ha producido técnicas de ataque fundamentalmente nuevas.
Fuente: Sophos
