Dos tercios de los incidentes de seguridad en 2025 se originaron en ataques relacionados con la identidad

Sophos ha publicado su informe Active Adversary Report 2026, en el que confirma un cambio estructural en el origen de los ciberataques. El 67% de los incidentes analizados en 2025 comenzaron con ataques relacionados con la identidad, ya sea mediante credenciales robadas, fuerza bruta o phishing. Los atacantes ya no necesitan técnicas novedosas para comprometer organizaciones, sino que aprovechan debilidades persistentes en autenticación y gestión de identidades.

El estudio también muestra que la actividad de fuerza bruta (15,6%) prácticamente igualó a la explotación de vulnerabilidades (16%) como método de acceso inicial, consolidando la tendencia hacia el abuso de cuentas válidas. Una vez dentro, los atacantes tardan solo 3,4 horas en llegar a Active Directory, acelerando su capacidad de movimiento lateral.

 

Ransomware fuera de horario y defensas debilitadas por falta de registros

El ransomware continúa concentrándose fuera del horario laboral. El 88% de los ataques y el 79% de las exfiltraciones de datos se producen en momentos en los que las organizaciones cuentan con menos vigilancia activa. A ello se suma un deterioro en la telemetría: los registros ausentes por problemas de retención se duplicaron respecto al año anterior, especialmente en firewalls con retenciones por defecto de siete días o incluso 24 horas. Esta falta de visibilidad dificulta la detección temprana y la investigación posterior.

El informe subraya que el 59% de los incidentes carecía de MFA, lo que facilitó el uso de credenciales comprometidas para acceder a los sistemas. John Shier, Field CISO de Sophos, advierte de que la causa raíz más preocupante “lleva años gestándose: la dependencia de identidades mal protegidas y la ausencia de controles robustos que no pueden resolverse únicamente con parches”.

El panorama de amenazas también se ha diversificado. Sophos identificó 51 marcas de ransomware, con 27 recurrentes y 24 nuevas. Akira (GOLD SAHARA) y Qilin (GOLD FEATHER) fueron los grupos más activos, con Akira presente en el 22% de los incidentes. Solo cuatro técnicas —LockBit, MedusaLocker, Phobos y el abuso de BitLocker— han persistido desde 2020.

 

La IA acelera el phishing, pero no transforma los ataques

Pese a las expectativas, Sophos no detecta aún un cambio radical impulsado por IA en las tácticas de los atacantes. La IA generativa ha aumentado la velocidad y sofisticación del phishing, pero no ha introducido técnicas de ataque fundamentalmente nuevas.

Según Shier, “la IA añade escala y ruido, pero todavía no reemplaza a los atacantes, y la prioridad sigue siendo reforzar la identidad, mejorar la telemetría y acelerar la respuesta”.

Sophos insta a las organizaciones a adoptar medidas inmediatas para reducir su exposición, entre ellas implementar MFA resistente al phishing y verificar su correcta configuración; minimizar la exposición de la infraestructura de identidad en Internet; corregir vulnerabilidades conocidas con rapidez, especialmente en dispositivos perimetrales; garantizar monitorización 24/7 mediante MDR o capacidades equivalentes; y mejorar la retención y preservación de registros para facilitar la detección y la investigación.