Sophos revela que la mayoría de los ciberataques no implican hackeos, sino inicios de sesión con credenciales reales.
La amenaza de los ciberataques sigue evolucionando, y ya no se limita a los estereotipos clásicos de piratas informáticos forzando puertas digitales desde la oscuridad. Según el nuevo informe Sophos Active Adversary Report 2025, el 56% de los ataques a redes empresariales en 2024 no comenzaron con intrusiones técnicas complejas, sino con inicios de sesión aparentemente legítimos utilizando credenciales robadas. Esto convierte a las contraseñas comprometidas en la principal vía de entrada para los ciberdelincuentes por segundo año consecutivo.
El estudio, basado en más de 400 casos de servicios de detección y respuesta administrada (MDR) e intervención ante incidentes (IR), destaca que el uso de servicios remotos expuestos como firewalls, VPNs y RDP, combinado con cuentas válidas, permite a los atacantes infiltrarse silenciosamente en los sistemas empresariales. Una vez dentro, se requiere menos de tres días (72.98 horas) para que extraigan datos críticos.
Pero los números son aún más alarmantes. Los ciberatacantes solo necesitan 11 horas para comprometer el Active Directory (AD), lo que les da control casi total sobre las redes Windows de las organizaciones. Y una vez que han robado datos, el tiempo promedio para detectar la intrusión es de apenas 2.7 horas, dejando a las empresas con un margen de maniobra extremadamente limitado.
Contraseñas, el eslabón más débil
El informe sitúa el robo de contraseñas como la causa raíz número uno (41% de los casos), seguido de vulnerabilidades explotadas (21.79%) y ataques de fuerza bruta (21.07%). Esto demuestra que, en muchos casos, no se trata de brechas tecnológicas, sino de errores humanos y malas prácticas de seguridad.
Mira también: GoDaddy lanza herramienta para convertir redes sociales en catálogos de venta
“El tiempo de respuesta lo es todo. Ya no basta con prevenir: las empresas deben monitorear activamente y contar con equipos expertos que respondan en tiempo real. De lo contrario, los atacantes avanzarán más rápido que cualquier protocolo interno”, advirtió John Shier, CISO de campo de Sophos.
Ransomware nocturno y ataques silenciosos
El informe también reveló que el 83% de los despliegues de ransomware ocurren fuera del horario laboral, aprovechando la menor vigilancia. Akira fue el grupo de ransomware más activo en 2024, seguido por Fog y LockBit, a pesar de los esfuerzos gubernamentales por desmantelar este último.
En cuanto a herramientas, el Remote Desktop Protocol (RDP) fue utilizado en el 84% de los ciberataques, consolidándose como una de las puertas traseras favoritas de los delincuentes.
Recomendaciones para las empresas
Sophos recomienda acciones inmediatas como:
- Cerrar puertos RDP expuestos.
- Implementar autenticación multifactor resistente al phishing.
- Aplicar parches de seguridad de forma proactiva.
- Contar con soluciones EDR o MDR para detección y monitoreo 24/7.
- Diseñar y probar planes de respuesta ante incidentes de forma periódica.
El informe completo de Sophos puede consultarse en su sitio oficial bajo el título “It Takes Two: The 2025 Sophos Active Adversary Report”, una lectura obligatoria para cualquier organización que desee prevenir ciberataques y mantenerse un paso adelante de las amenazas digitales.
