Dos tercios de los incidentes de seguridad se atribuyen a debilidades relacionadas con la identidad, mientras los atacantes se mueven más rápido y atacan fuera del horario laboral.
Sophos, líder global en soluciones de seguridad innovadoras para combatir ciberataques, publicó hoy el Sophos Active Adversary Report 2026. El informe revela que 67% de todos los incidentes investigados el año pasado por los equipos de Respuesta a Incidentes (IR) y Detección y Respuesta Administrada (MDR) de Sophos tuvieron su origen en ataques relacionados con la identidad. Los hallazgos también destacan cómo los atacantes continúan explotando contraseñas comprometidas, autenticación multifactor (MFA) débil o inexistente, y sistemas de identidad insuficientemente protegidos, a menudo sin necesidad de desplegar nuevas herramientas o técnicas.
Los hallazgos principales incluyen:
- Un cambio de vulnerabilidades explotadas hacia contraseñas comprometidas, con actividad de fuerza bruta (15,6%) casi al nivel de la explotación (16%) como método de acceso inicial.
- El tiempo medio de permanencia disminuyó a tres días. Esto fue impulsado por los movimientos de los atacantes, pero también por una reacción más rápida de los defensores. Esto fue particularmente notable en entornos MDR.
- Los atacantes están llegando más rápido a Active Directory (AD). Una vez que un atacante está dentro de una organización, le toma solo 3,4 horas llegar al servidor de AD.
- El Ransomware se mantiene firmemente como una actividad fuera del horario laboral. El 88% de las cargas útiles de Ransomware se despliegan durante horas no laborales. De manera similar, el 79% de las acciones de exfiltración de datos ocurren fuera del horario laboral.
- La falta de telemetría debilita los esfuerzos de defensa. Los registros faltantes debido a problemas de retención de datos se duplicaron frente al año pasado. Este aumento fue impulsado en gran medida por dispositivos de firewall cuyo valor predeterminado era de solo siete días y, en algunos casos, 24 horas.
Los ataques a la identidad se aceleran mientras persisten brechas en MFA
El informe muestra un aumento continuo en ataques originados en el compromiso de identidad, incluyendo contraseñas robadas, actividad de fuerza bruta y phishing. Si bien la explotación de vulnerabilidades sigue siendo un factor, los atacantes dependen cada vez más de cuentas válidas para obtener acceso inicial, lo que les permite evadir las defensas perimetrales tradicionales. También se observó falta de MFA en 59% de los casos, lo que facilitó el abuso de contraseñas robadas y comprometidas para penetrar una organización.
“El hallazgo más preocupante del informe en realidad lleva años gestándose: el predominio de causas raíz relacionadas con la identidad para lograr un acceso inicial exitoso. Contraseñas comprometidas, ataques de fuerza bruta, phishing y otras tácticas aprovechan debilidades que no pueden resolverse con simple disciplina en poner parches. Las organizaciones deben adoptar un enfoque proactivo hacia la seguridad de la identidad”, dijo John Shier, Field CISO y autor principal del informe.
Más grupos de amenazas, riesgo más amplio
Los investigadores de Sophos observaron el mayor número de grupos de amenazas activos registrado en la historia del informe, lo que amplía el panorama general de amenazas e incrementa el desafío de atribución.
- Akira (GOLD SAHARA) y Qilin (GOLD FEATHER) fueron las marcas de Ransomware más activas observadas, con Akira dominando en 22% de los incidentes
- 51 marcas de Ransomware aparecieron en los casos, incluyendo 27 marcas recurrentes y 24 nuevas
- Solo cuatro marcas o técnicas —LockBit, MedusaLocker, Phobos y el abuso de BitLocker— han persistido de manera continua desde 2020, el primer año de datos del Active Adversary Report.
“La acción de las fuerzas del orden continúa causando disrupción en el ecosistema de Ransomware. Aunque todavía vemos actividad de LockBit, el dominio y la reputación que alguna vez tuvo claramente se han visto impactados. Sin embargo, esto significa que estamos viendo una oleada de otros grupos compitiendo por el dominio y muchos más grupos emergentes. Para los defensores, es importante comprender a los grupos y sus TTPs para proteger mejor a su organización”, continuó Shier.
El hype de la IA se enfrenta con la realidad
A pesar de las predicciones generalizadas, Sophos no encontró evidencia de una transformación significativa impulsada por IA en el comportamiento de los atacantes. Si bien la IA generativa ha incrementado la velocidad y el “pulido” del phishing y la ingeniería social, todavía no ha producido técnicas de ataque fundamentalmente nuevas.
“La IA está añadiendo escala y ruido, pero todavía no está reemplazando a los atacantes. Si bien en el futuro la GenAI podría ser el siguiente acelerador, por ahora lo fundamental sigue importando: una sólida protección de identidad, telemetría confiable y la capacidad de responder rápidamente cuando algo sale mal”, agregó Shier.
Principales recomendaciones defensivas
Con base en los hallazgos del Active Adversary Report 2026, Sophos recomienda que las organizaciones:
- Desplieguen MFA resistente al phishing y validen su configuración
- Reduzcan la exposición de la infraestructura de identidad y de servicios expuestos a internet
- Apliquen parches de vulnerabilidades conocidas con rapidez, especialmente en dispositivos perimetrales
- Aseguren monitoreo 24/7 a través de MDR o capacidades equivalentes
- Preserven y retengan registros de seguridad para respaldar detección e investigación rápidas
El Sophos Active Adversary Report 2026 analizó 661 casos de IR y MDR atendidos entre el 1 de noviembre de 2024 y el 31 de octubre de 2025, abarcando organizaciones en 70 países y 34 industrias.
Puedes leer el informe completo aquí.
