Seguridad de identidad, el reto pendiente que está costando millones a las empresas

Photo of Staff Boletín Staff Boletín Follow on X Send an email Hace 3 minutosLast Updated: 26 de febrero de 2026
0 4 minutos de lectura
Dos tercios de los incidentes de identidad se atribuyen a debilidades relacionadas con la identidad, mientras los atacantes se mueven más rápido y atacan fuera del horario laboral

 Los ataques relacionados con la identidad se consolidaron como la principal puerta de entrada para los ciberdelincuentes en 2025, al estar detrás del 67% de los incidentes investigados a nivel global, de acuerdo con el Reporte de Adversarios Activos 2026, elaborado por Sophos.

El informe señala que los atacantes continúan aprovechando contraseñas comprometidas, esquemas de autenticación multifactor (MFA) débiles o inexistentes y sistemas de identidad insuficientemente protegidos, muchas veces sin necesidad de implementar nuevas herramientas o técnicas avanzadas.

Entre los principales hallazgos del informe destacan:

  • Se observa un cambio en los vectores de acceso inicial: el uso de contraseñas comprometidas gana terreno frente a la explotación directa de vulnerabilidades. La actividad de fuerza bruta representa ya el 15.6% de los accesos iniciales, prácticamente al nivel de la explotación de fallas técnicas (16%), lo que refleja un mayor aprovechamiento de credenciales válidas por parte de los atacantes.
  • El tiempo medio de permanencia —es decir, el lapso entre la intrusión y su detección— se redujo a tres días. Esta disminución responde tanto a una mayor velocidad operativa de los atacantes como a una capacidad de respuesta más ágil por parte de los equipos de ciberdefensa, particularmente en organizaciones que cuentan con servicios de Detección y Respuesta Administrada (MDR).
  • Una vez que logran acceso, los atacantes tardan en promedio solo 3.4 horas en alcanzar el servidor de Active Directory (AD), el sistema que centraliza la autenticación y gestión de identidades dentro de la red corporativa. Este movimiento rápido facilita la escalación de privilegios y el control de la infraestructura.
  • El ransomware mantiene un patrón operativo fuera del horario laboral: el 88% de las cargas maliciosas se despliega en horas no laborales y el 79% de las acciones de robo de datos ocurre en ese mismo periodo, lo que evidencia una estrategia orientada a evadir la supervisión directa de los equipos de TI.
  • La falta de telemetría —registros y datos de monitoreo necesarios para investigar incidentes— continúa siendo un punto crítico. Los casos con registros faltantes por problemas de retención de datos se duplicaron frente al año anterior, en gran medida debido a configuraciones predeterminadas en dispositivos firewall que almacenan información solo por siete días y, en algunos casos, apenas 24 horas, limitando la capacidad de análisis forense.

Los ataques a la identidad se aceleran mientras persisten brechas en MFA

El informe muestra un aumento continuo en ataques originados en el compromiso de identidad, incluyendo contraseñas robadas, actividad de fuerza bruta y phishing. Si bien la explotación de vulnerabilidades sigue siendo un factor, los atacantes dependen cada vez más de cuentas válidas para obtener acceso inicial, lo que les permite evadir las defensas perimetrales tradicionales. También se observó falta de MFA en 59% de los casos, lo que facilitó el abuso de contraseñas robadas y comprometidas para penetrar una organización.

“El hallazgo más preocupante del informe en realidad lleva años gestándose: el predominio de causas raíz relacionadas con la identidad para lograr un acceso inicial exitoso. Contraseñas comprometidas, ataques de fuerza bruta, phishing y otras tácticas aprovechan debilidades que no pueden resolverse con simple disciplina en poner parches. Las organizaciones deben adoptar un enfoque proactivo hacia la seguridad de la identidad”, dijo John Shier, Field CISO y autor principal del informe.

Más grupos de amenazas, riesgo más amplio

Los investigadores de Sophos observaron el mayor número de grupos de amenazas activos registrado en la historia del informe, lo que amplía el panorama general de amenazas e incrementa el desafío de atribución.

  • Akira (GOLD SAHARA) y Qilin (GOLD FEATHER) fueron las marcas de ransomware más activas observadas, con Akira dominando en 22% de los incidentes
  • 51 marcas de ransomware aparecieron en los casos, incluyendo 27 marcas recurrentes y 24 nuevas
  • Solo cuatro marcas o técnicas —LockBit, MedusaLocker, Phobos y el abuso de BitLocker— han persistido de manera continua desde 2020, el primer año de datos del Active Adversary Report

“La acción de las fuerzas del orden continúa causando disrupción en el ecosistema de ransomware. Aunque todavía vemos actividad de LockBit, el dominio y la reputación que alguna vez tuvo claramente se han visto impactados. Sin embargo, esto significa que estamos viendo una oleada de otros grupos compitiendo por el dominio y muchos más grupos emergentes. Para los defensores, es importante comprender a los grupos y sus TTPs para proteger mejor a su organización”, continuó Shier.

El hype de la IA se enfrenta con la realidad

A pesar de las predicciones generalizadas, Sophos no encontró evidencia de una transformación significativa impulsada por IA en el comportamiento de los atacantes. Si bien la IA generativa ha incrementado la velocidad y el “pulido” del phishing y la ingeniería social, todavía no ha producido técnicas de ataque fundamentalmente nuevas.

“La IA está añadiendo escala y ruido, pero todavía no está reemplazando a los atacantes. Si bien en el futuro la GenAI podría ser el siguiente acelerador, por ahora lo fundamental sigue importando: una sólida protección de identidad, telemetría confiable y la capacidad de responder rápidamente cuando algo sale mal”, agregó Shier.

Principales recomendaciones de ciberdefensa

Con base en los hallazgos del Reporte de Adversarios Activos 2026, los expertos en ciberseguridad de Sophos recomiendan que las organizaciones:

  • Desplieguen MFA resistente al phishing y validen su configuración
  • Reduzcan la exposición de la infraestructura de identidad y de servicios expuestos a internet
  • Apliquen parches de vulnerabilidades conocidas con rapidez, especialmente en dispositivos perimetrales
  • Aseguren monitoreo 24/7 a través de MDR o capacidades equivalentes
  • Preserven y retengan registros de seguridad para respaldar detección e investigación rápidas

El Sophos Active Adversary Report 2026 analizó 661 casos de IR y MDR atendidos entre el 1 de noviembre de 2024 y el 31 de octubre de 2025, abarcando organizaciones en 70 países y 34 industrias. Consulta el informe completo aquí.

Etiquetas
Photo of Staff Boletín Staff Boletín Follow on X Send an email Hace 3 minutosLast Updated: 26 de febrero de 2026
0 4 minutos de lectura
Photo of Staff Boletín

Staff Boletín

Artículos de interés sobre las últimas tendencias y avances en el campo de la Industria TI

Publicaciones relacionadas

Sophos adquiere Arco Cyber y acerca capacidades de gobernanza cibernética

Hace 1 semana

Editor de PDF falso y anuncios en Google los encargados de robar tu información

21 de enero de 2026

Modernización del sector público impulsará la ciberseguridad en México este 2026

19 de enero de 2026

Sophos lanza nuevo programa de socios

1 de agosto de 2025
Botón volver arriba