Sophos publicó el 2 de marzo de 2026 su informe anual Active Adversary Report 2026, en el que advierte que los ataques informáticos están cada vez más vinculados al compromiso de identidades digitales y al uso de credenciales válidas para acceder a las redes corporativas.
El estudio señala que el 67% de los incidentes investigados durante el último año por los equipos de Respuesta a Incidentes (IR) y Detección y Respuesta Administrada (MDR) de la compañía se originaron en ataques relacionados con la identidad. Entre los factores más frecuentes figuran contraseñas comprometidas, actividad de fuerza bruta, phishing y sistemas de autenticación multifactor (MFA) débiles o inexistentes.
Cambio en los métodos de acceso inicial
El informe identifica un desplazamiento desde la explotación directa de vulnerabilidades hacia el uso de credenciales robadas como principal vía de acceso. La actividad de fuerza bruta representó el 15,6% de los casos, una proporción cercana al 16% asociado a la explotación de fallas de seguridad como método inicial.
Asimismo, el 59 % de los incidentes analizados presentaba ausencia de MFA, lo que facilitó el uso indebido de contraseñas comprometidas para ingresar a las organizaciones.
El tiempo medio de permanencia de los atacantes dentro de las redes se redujo a tres días. Según el reporte, esta disminución responde tanto a la rapidez de los movimientos de los atacantes como a una respuesta más ágil de los defensores, especialmente en entornos con servicios MDR.
Una vez dentro de una red, los atacantes tardaron en promedio 3,4 horas en alcanzar servidores de Active Directory (AD), un componente central en la gestión de identidades corporativas.
Ransomware y actividad fuera del horario laboral
El ransomware continúa desplegándose mayoritariamente fuera del horario laboral. El 88 % de las cargas útiles se activó en horas no laborables, mientras que el 79% de las acciones de exfiltración de datos también ocurrió en ese período.
El informe advierte además sobre debilidades en la telemetría de seguridad. Los registros faltantes por problemas de retención de datos se duplicaron respecto al año anterior, en gran medida debido a configuraciones predeterminadas en dispositivos de firewall que almacenan información por solo siete días, y en algunos casos 24 horas.
Más grupos de amenazas y fragmentación del ecosistema
Los investigadores registraron el mayor número de grupos de amenazas activos desde que comenzó el informe en 2020, lo que amplía el panorama de riesgo y complica la atribución.
Entre las variantes de ransomware más activas se identificaron Akira (GOLD SAHARA) y Qilin (GOLD FEATHER), con Akira presente en el 22% de los incidentes analizados. En total, se detectaron 51 marcas de ransomware: 27 recurrentes y 24 nuevas.
Desde 2020, solo cuatro marcas o técnicas han mostrado persistencia continua: LockBit, MedusaLocker, Phobos y el abuso de BitLocker.
Impacto de la inteligencia artificial
Pese a las previsiones sobre una transformación acelerada por inteligencia artificial, el informe no encontró evidencia de cambios estructurales significativos en las técnicas de ataque. Según el análisis, la IA generativa ha incrementado la velocidad y el nivel de sofisticación del phishing y la ingeniería social, pero no ha generado métodos de intrusión fundamentalmente nuevos.
Recomendaciones
A partir de los hallazgos, el reporte recomienda implementar MFA resistente al phishing, reducir la exposición de infraestructuras de identidad y servicios accesibles desde internet, aplicar parches de seguridad con rapidez —especialmente en dispositivos perimetrales—, asegurar monitoreo continuo y reforzar la retención de registros para facilitar la detección e investigación de incidentes.
El Sophos Active Adversary Report 2026 analizó 661 casos de IR y MDR atendidos entre el 1 de noviembre de 2024 y el 31 de octubre de 2025, correspondientes a organizaciones en 70 países y 34 industrias.
