El informe anual de Sophos reveló que la mayoría de los accesos maliciosos no se produjeron mediante vulnerabilidades técnicas, sino a través de inicios de sesión con cuentas válidas. La velocidad de los ataques y la reducción del tiempo de permanencia marcaron un cambio clave en el panorama de amenazas.
Imagen: Sophos
Durante 2024, los ciberatacantes modificaron significativamente sus métodos, inclinándose hacia técnicas más silenciosas pero igual de efectivas. Así lo evidenció el más reciente informe Sophos Active Adversary 2025, que analizó más de 400 incidentes de respuesta gestionada (MDR) e investigaciones forenses (IR). El dato más llamativo fue que el 56% de los accesos iniciales se logró mediante la explotación de servicios remotos combinados con el uso de cuentas válidas, sin necesidad de vulnerar sistemas directamente.
Las contraseñas comprometidas volvieron a encabezar el ranking de vectores de entrada, representando el 41% de los incidentes analizados. Le siguieron la explotación de vulnerabilidades (21.79%) y los ataques de fuerza bruta (21.07%). Estos hallazgos pusieron en evidencia que la protección perimetral tradicional no fue suficiente ante métodos que imitan el comportamiento legítimo de los usuarios.
Para los actores de la industria tecnológica —fabricantes, mayoristas y canales— estos resultados resaltaron la necesidad de revisar enfoques de ciberseguridad que prioricen el monitoreo continuo, la autenticación robusta y las respuestas automatizadas ante anomalías.
Velocidad como nuevo factor crítico
Uno de los puntos más alarmantes del informe fue la aceleración del ciclo de ataque. En promedio, los atacantes tardaron apenas 3 días en robar datos sensibles una vez comprometida la red, y solamente 2.7 horas en ejecutar esa acción desde el momento del robo hasta su detección.
Además, el tiempo promedio entre el inicio del ataque y el intento de control del Active Directory, considerado el corazón de las redes Windows, fue de solo 11 horas. Esta rapidez redujo el margen de reacción de las organizaciones afectadas, dejando expuestas estructuras clave con mayor facilidad.
En cuanto a la duración total del ataque sin ser detectado, el estudio indicó que el tiempo de permanencia descendió a 2 días en promedio, frente a los 4 días reportados anteriormente. En los casos gestionados directamente por servicios MDR, este tiempo bajó incluso más: a solo 1 día en escenarios sin ransomware.
Cambios en el comportamiento de los atacantes
El uso del Remote Desktop Protocol (RDP) se mantuvo como el principal mecanismo explotado por los cibercriminales, presente en el 84% de los incidentes analizados. Su persistente popularidad radicó en su disponibilidad en sistemas Windows, combinado con una protección insuficiente en muchas configuraciones empresariales.
Por otra parte, los atacantes continuaron operando mayoritariamente fuera del horario laboral. El 83% de los binarios de ransomware se desplegaron en horarios nocturnos o durante fines de semana, lo que evidenció su estrategia de evitar la detección por personal activo.
En cuanto a los grupos más activos, el ransomware Akira lideró los casos registrados, seguido por Fog y LockBit, este último a pesar de haber enfrentado acciones gubernamentales durante el mismo año.
Desafíos para el ecosistema tecnológico
Para los fabricantes de soluciones de seguridad y los canales que las distribuyen, el informe implicó una serie de recomendaciones que apuntaban a repensar sus catálogos de productos y servicios. La implementación de autenticación multifactor (MFA) resistente al phishing, el cierre de puertos RDP expuestos, la aplicación oportuna de parches y el monitoreo proactivo 24/7 se convirtieron en acciones prioritarias.
Asimismo, la adopción de herramientas de EDR/MDR (detección y respuesta en endpoints o gestionada) se posicionó como una de las pocas estrategias efectivas para enfrentar adversarios organizados que operan con velocidad y precisión. La evolución de las amenazas demandó una mayor oferta de servicios especializados, incluyendo consultoría, simulacros de respuesta y auditorías periódicas, que los canales podrían capitalizar como nuevas fuentes de ingresos.
Por parte de los fabricantes, se resaltó la necesidad de diseñar soluciones de seguridad que integren capacidades nativas de visibilidad y respuesta, con componentes de IA y aprendizaje automático capaces de detectar patrones anómalos sin intervención manual.
Implicaciones tras la adquisición de Secureworks
Durante el mismo período, Sophos consolidó su posición como proveedor independiente líder de servicios MDR, tras adquirir a Secureworks en febrero de 2025. Esta integración fortaleció su portafolio con capacidades avanzadas como XDR, gestión de riesgos, SIEM de nueva generación y servicios de detección de amenazas de identidad (ITDR).
Este movimiento estratégico no solo amplió su base de clientes a más de 600 mil organizaciones, sino que también brindó a sus socios revendedores, MSPs y MSSPs una gama más extensa de soluciones integradas y optimizadas con inteligencia artificial.
Para los mayoristas y distribuidores, esta consolidación significó mayores oportunidades, pero también mayores exigencias de especialización técnica y capacidades de soporte postventa.
El informe Sophos Active Adversary 2025 dejó claro que el panorama de amenazas evolucionó hacia formas más silenciosas, rápidas y difíciles de detectar. Las organizaciones enfrentaron ataques que imitaban el comportamiento legítimo y que explotaron debilidades humanas más que técnicas. Ante esto, el ecosistema tecnológico —desde fabricantes hasta canales— quedó ante el reto de ofrecer respuestas ágiles, integradas y altamente especializadas. La velocidad ya no fue solo un indicador de ataque, sino un requisito para defenderse eficazmente.
