Ciberataques: El 67% tiene su origen en debilidades de identidad según Sophos
De acuerdo con este nuevo reporte de la empresa de ciberseguridad, los atacantes se mueven más rápido, donde el ransomware es cada vez más acertivo y están atacando fuera del horario laboral. | Créditos: Sophos

Ciberataques: El 67% tiene su origen en debilidades de identidad según Sophos

Francisco Carrasco M. Lectura de 5 minutos

Sophos publicó el Sophos Active Adversary Report 2026. El informe revela que 67% de todos los incidentes investigados el año pasado por los equipos de Respuesta a Incidentes (IR) y Detección y Respuesta Administrada (MDR) de Sophos tuvieron su origen en ataques relacionados con la identidad.

Ransomware en empresas: Caen los montos exigidos y ataques son más sofisticados
Vulnerabilidades explotadas, phishing y robo de credenciales lideran las causas del Ransomware en grandes empresas, presentes en hasta 3 de cada 10 ataques, de acuerdo con un estudio de Sophos.
TabuladoFrancisco Carrasco M.

Los hallazgos también destacan cómo los atacantes continúan explotando contraseñas comprometidas, autenticación multifactor (MFA) débil o inexistente, y sistemas de identidad insuficientemente protegidos, a menudo sin necesidad de desplegar nuevas herramientas o técnicas.

Los hallazgos principales incluyen: 

  • Un cambio de vulnerabilidades explotadas hacia contraseñas comprometidas, con actividad de fuerza bruta (15,6%) casi al nivel de la explotación (16%) como método de acceso inicial.
  • El tiempo medio de permanencia disminuyó a tres días. Esto fue impulsado por los movimientos de los atacantes, pero también por una reacción más rápida de los defensores. Esto fue particularmente notable en entornos MDR.
Internet Seguro ¿Es posible?, por María Claudia Ardila, Directora de Ventas de Sophos para el Sur de Latinoamérica
En este Día Mundial del Internet Seguro esta fecha debe ser una fiesta de la protección, y la proactividad y anticipación son fundamentales para evitar el robo de datos.
TabuladoColumnas al director
  • Los atacantes están llegando más rápido a Active Directory (AD). Una vez que un atacante está dentro de una organización, le toma solo 3,4 horas llegar al servidor de AD.
  • El Ransomware se mantiene firmemente como una actividad fuera del horario laboral. El 88% de las cargas útiles de Ransomware se despliegan durante horas no laborales. De manera similar, el 79% de las acciones de exfiltración de datos ocurren fuera del horario laboral.
Sophos acelera su crecimiento y liderazgo en América Latina con fuerte momentum regional
La empresa ha crecido el doble de rápido que el mercado de ciberseguridad en América Latina, y se expande para proteger a más de 12.000 organizaciones en la región.
TabuladoFrancisco Carrasco M.
  • La falta de telemetría debilita los esfuerzos de defensa. Los registros faltantes debido a problemas de retención de datos se duplicaron frente al año pasado. Este aumento fue impulsado en gran medida por dispositivos de firewall cuyo valor predeterminado era de solo siete días y, en algunos casos, 24 horas.

Ataques a la identidad se aceleran mientras persisten brechas en MFA

El informe muestra un aumento continuo en ataques originados en el compromiso de identidad, incluyendo contraseñas robadas, actividad de fuerza bruta y phishing.

Si bien la explotación de vulnerabilidades sigue siendo un factor, los atacantes dependen cada vez más de cuentas válidas para obtener acceso inicial, lo que les permite evadir las defensas perimetrales tradicionales. También se observó falta de MFA en 59% de los casos, lo que facilitó el abuso de contraseñas robadas y comprometidas para penetrar una organización.

Ciberataques por email: Un riesgo que persiste pese a nuevas tecnologías
Los ataques basados en correo electrónico siguen muy vigentes y se han convertido en un método muy utilizado por los atacantes para lucrar.
TabuladoFrancisco Carrasco M.

John Shier, Field CISO y autor principal del informe, dijo que:

“El hallazgo más preocupante del informe en realidad lleva años gestándose: el predominio de causas raíz relacionadas con la identidad para lograr un acceso inicial exitoso. Contraseñas comprometidas, ataques de fuerza bruta, phishing y otras tácticas aprovechan debilidades que no pueden resolverse con simple disciplina en poner parches. Las organizaciones deben adoptar un enfoque proactivo hacia la seguridad de la identidad”.

Más grupos de amenazas, riesgo más amplio

Los investigadores de Sophos observaron el mayor número de grupos de amenazas activos registrado en la historia del informe, lo que amplía el panorama general de amenazas e incrementa el desafío de atribución.

  • Akira (GOLD SAHARA) y Qilin (GOLD FEATHER) fueron las marcas de Ransomware más activas observadas, con Akira dominando en 22% de los incidentes
  • 51 marcas de Ransomware aparecieron en los casos, incluyendo 27 marcas recurrentes y 24 nuevas
Cuatro medidas para proteger sistemas críticos ante ataques de Ransomware
Con buenas prácticas, el Ransomware podría ver reducidas sus posibilidades de éxito, liberando a las organizaciones de las grandes pérdidas producto de la extorsión de los atacantes.
TabuladoFrancisco Carrasco M.
  • Solo cuatro marcas o técnicas —LockBit, MedusaLocker, Phobos y el abuso de BitLocker— han persistido de manera continua desde 2020, el primer año de datos del Active Adversary Report.
“La acción de las fuerzas del orden continúa causando disrupción en el ecosistema de Ransomware. Aunque todavía vemos actividad de LockBit, el dominio y la reputación que alguna vez tuvo claramente se han visto impactados. Sin embargo, esto significa que estamos viendo una oleada de otros grupos compitiendo por el dominio y muchos más grupos emergentes. Para los defensores, es importante comprender a los grupos y sus TTPs para proteger mejor a su organización”.
Infraestructura, IA y soberanía de datos: El giro del cloud en 2025 y el escenario para 2026, por José Miguel Guzmán, co-founder Whitestack
De cara a 2026, América Latina enfrenta una oportunidad histórica para construir un cloud más cercano, más eficiente y alineado con sus realidades productivas. El desafío ya no es tecnológico; es estratégico, dice el vocero.
TabuladoColumnas al director

El hype de la IA se enfrenta con la realidad

A pesar de las predicciones generalizadas, Sophos no encontró evidencia de una transformación significativa impulsada por IA en el comportamiento de los atacantes. Si bien la IA generativa ha incrementado la velocidad y el “pulido” del phishing y la ingeniería social, todavía no ha producido técnicas de ataque fundamentalmente nuevas.

“La IA está añadiendo escala y ruido, pero todavía no está reemplazando a los atacantes. Si bien en el futuro la GenAI podría ser el siguiente acelerador, por ahora lo fundamental sigue importando: una sólida protección de identidad, telemetría confiable y la capacidad de responder rápidamente cuando algo sale mal”.
Ciberseguridad en crisis: El 76% de los especialistas lamentablemente sufre Burnout
El burnout, o agotamiento, según un reporte de Sophos, que detalla que 3 de cada 4 trabajadores lo ha experimentado. Los costos no son solo humanos, ya que el impacto puede promediar entre USD 4.000 y $21.000 por trabajador al año.
TabuladoFrancisco Carrasco M.
Sophos Inteligencia Artificial Ciberseguridad identidad digital John Shier Ransomware
Francisco Carrasco M.

Francisco Carrasco M.

Francisco Carrasco, editor general y periodista azul especializado en TI con más de 24 años en el mercado local e internacional, quien trabajo por 15 años con la destacada editorial IDG International.

You might also like

Publicaciones destacadas

Etiquetas

10 Mhz 100 Años 100+ Labs Chile 14a Generación 1touch

Últimas publicaciones

Boletín

Recibe las últimas publicaciones directamente en tu bandeja de entrada.
¡Genial! Revise su bandeja de entrada y haga clic en el enlace para confirmar su suscripción.
¡Error! ¡Por favor, introduzca una dirección de correo electrónico válida!

Síguenos