Ahora los hackers usan credenciales reales: 5 recomendaciones de Sophos para proteger a las organizaciones

Las empresas están enfrentando una nueva realidad en ciberseguridad: los atacantes ya
no necesitan vulnerar sistemas complejos para ingresar a una organización. En muchos
casos, simplemente inician sesión.
Así lo revela Sophos, líder global en soluciones de seguridad innovadoras para combatir
ciberataques, en su más reciente estudio Active Adversary Report 2026, que analizó 661
incidentes reales investigados en organizaciones de 70 países. El informe encontró que el
67% de los ataques tuvo origen en compromisos de identidad, principalmente mediante
contraseñas robadas, configuraciones débiles de autenticación multifactor (MFA) o
controles insuficientes sobre accesos corporativos.
El cambio es relevante para las áreas de tecnología y negocio porque demuestra que el
riesgo ya no se concentra únicamente en fallas técnicas, sino en la gestión del acceso
digital dentro de las compañías.
Según el estudio, una vez dentro de una red corporativa, un atacante puede alcanzar
sistemas críticos como Active Directory en apenas 3,4 horas, reduciendo
significativamente la ventana de reacción de los equipos de seguridad.
Para John Shier, autor principal del informe, el problema lleva años desarrollándose
silenciosamente. “El hallazgo más preocupante del informe en realidad lleva años
gestándose: el predominio de causas raíz relacionadas con la identidad para lograr un
acceso inicial exitoso. Contraseñas comprometidas, ataques de fuerza bruta, phishing y
otras tácticas aprovechan debilidades que no pueden resolverse con simple disciplina en
poner parches. Las organizaciones deben adoptar un enfoque proactivo hacia la seguridad
de la identidad”, explicó.
De la prevención a la resiliencia operativa
Más allá del crecimiento de grupos criminales y del ransomware, que continúa
ejecutándose mayoritariamente fuera del horario laboral, el informe destaca que muchas
organizaciones siguen teniendo brechas básicas que facilitan los ataques.

Uno de los hallazgos más críticos fue el aumento en la falta de registros de seguridad
disponibles para investigación, en parte debido a configuraciones de retención demasiado
cortas en dispositivos clave como firewalls.
En este contexto, Sophos plantea que la defensa empresarial debe evolucionar hacia un
modelo de monitoreo continuo y protección de identidad.
Cinco acciones clave para reducir el riesgo empresarial
Con base en los incidentes analizados, el informe identifica cinco medidas prioritarias que
las organizaciones deberían implementar de manera inmediata:
1. Implementar MFA resistente al phishing
No basta con activar autenticación multifactor; las empresas deben validar que sus
configuraciones no puedan ser fácilmente evadidas mediante ingeniería social.
2. Reducir la exposición de sistemas de identidad
Limitar accesos innecesarios desde internet y proteger servicios críticos disminuye
significativamente las oportunidades de intrusión.
3. Aplicar parches con mayor velocidad
Especialmente en infraestructura perimetral, donde los atacantes suelen buscar puntos de
entrada inicial.
4. Mantener monitoreo de seguridad 24/7
El reporte muestra que una respuesta temprana reduce el tiempo de permanencia de los
atacantes dentro de las redes corporativas.
5. Conservar registros de seguridad suficientes
La telemetría adecuada permite detectar comportamientos anómalos y acelerar
investigaciones cuando ocurre un incidente.
La IA aún no cambia las reglas del juego
Aunque existe alta expectativa sobre el uso de inteligencia artificial por parte de los
ciberdelincuentes, Sophos concluye que, por ahora, la IA está aumentando la escala del
phishing y la ingeniería social, pero no ha transformado de forma radical las técnicas de
ataque.
El mensaje para las empresas es claro: la protección de identidad y la visibilidad operativa
siguen siendo las defensas más efectivas frente al cibercrimen actual.

El Sophos Active Adversary Report 2026 analizó 661 casos de IR y MDR atendidos entre el
1 de noviembre de 2024 y el 31 de octubre de 2025, abarcando organizaciones en 70
países y 34 industrias.
Puedes leer el informe completo aquí.

Acerca de Sophos
Sophos es líder en ciberseguridad y protege a 600,000 organizaciones en todo el mundo mediante una plataforma impulsada por
inteligencia artificial y servicios liderados por expertos. Sophos acompaña a las organizaciones en cualquier etapa de madurez en
ciberseguridad y evoluciona con ellas para enfrentar ciberataques. Sus soluciones combinan aprendizaje automático, automatización e
inteligencia de amenazas en tiempo real con la experiencia del equipo Sophos X-Ops, para ofrecer monitoreo, detección y respuesta
avanzadas 24/7. Sophos ofrece servicios líderes en Managed Detection and Response (MDR), junto con un portafolio integral de
tecnologías de ciberseguridad que incluyen seguridad en endpoints, redes, correo electrónico y nube, detección y respuesta extendida
(XDR), detección y respuesta ante amenazas a identidades (ITDR) y SIEM de nueva generación. En conjunto con servicios de asesoría
especializados, estas capacidades ayudan a las organizaciones a reducir riesgos de forma proactiva y responder con mayor rapidez, con
la visibilidad y escalabilidad necesarias para anticiparse a amenazas emergentes. Sophos comercializa sus soluciones a través de un
ecosistema global de socios, incluyendo Managed Service Providers (MSPs), Managed Security Service Providers (MSSPs),
revendedores, integraciones de marketplace y aliados en gestión de riesgos, lo que permite a las organizaciones elegir relaciones de
confianza para proteger su negocio. Sophos tiene su sede en Oxford, Reino Unido. Más información en: www.sophos.com.