El 56% de los ciberataques no provienen de hackeos, sino de inicios de sesión como si fueran usuarios legítimos

 

 Investigaciones recientes de Sophos determinaron que los atacantes tardan apenas tres días,
en promedio, para extraer datos críticos.
 Otra vez el robo de contraseñas está en el primer lugar: es la forma más común en que los
atacantes entran a las redes.

Bogotá, 4 de abril de 2025.- Sophos, líder global en soluciones innovadoras de seguridad para
combatir ciberataques, publicó hoy el informe Sophos Active Adversary Report 2025, que detalla el
comportamiento y las técnicas de los atacantes en más de 400 casos de Managed Detection and
Response (MDR) y de Incident Response (IR) durante 2024.
El informe reveló que la principal forma en que los atacantes obtuvieron acceso inicial a las redes
(56% de todos los casos entre MDR e IR) fue mediante la explotación de servicios remotos
externos, lo que incluye dispositivos perimetrales como firewalls y VPNs, utilizando cuentas
válidas.
La combinación de servicios remotos externos y cuentas válidas coincide con las principales causas
de los ataques. Por segundo año consecutivo, las contraseñas comprometidas fueron la causa raíz
número uno (41% de los casos), seguidas de vulnerabilidades explotadas (21.79%) y ataques de
fuerza bruta (21.07%).
Comprendiendo la velocidad de los ataques
Al analizar las investigaciones de MDR e IR, el equipo Sophos X-Ops se centró específicamente en
casos de ransomware, extracción de datos y extorsión de datos para identificar qué tan rápido
avanzan los atacantes a través de las etapas de un ataque dentro de una organización.
En estos tres tipos de casos, el tiempo promedio entre el inicio del ataque y la extracción de datos
fue de solo 72.98 horas (3.04 días). Además, desde el robo de estos hasta la detección del ataque
transcurrió un tiempo promedio de apenas 2.7 horas.
“La seguridad pasiva ya no es suficiente. Si bien la prevención es fundamental, la respuesta rápida
es crítica. Las organizaciones deben monitorear activamente sus redes y actuar con rapidez ante la
telemetría observada. Los ataques coordinados por adversarios motivados requieren una defensa
coordinada. Para muchas organizaciones, esto significa combinar el conocimiento específico del
negocio con la detección y respuesta lideradas por expertos. Nuestro informe confirma que las
organizaciones con monitoreo proactivo detectan ataques más rápido y obtienen mejores
resultados”, afirmó John Shier, CISO de campo.

Otros hallazgos clave del informe Sophos Active Adversary 2025:
 Los atacantes pueden tomar el control de un sistema en solo 11 horas: El tiempo
promedio entre la primera acción de los atacantes y su primer intento (a menudo exitoso)
de comprometer el Active Directory (AD), uno de los activos más críticos en cualquier red
Windows, fue de solo 11 horas. Si tienen éxito, los atacantes pueden tomar el control de la
organización con mayor facilidad.
 Principales grupos de ransomware en los casos de Sophos: Akira fue el grupo de
ransomware más frecuente en 2024, seguido de Fog y LockBit (a pesar de una
intervención gubernamental contra LockBit a principios de año).
 El tiempo de permanencia se ha reducido a solo 2 días: En general, el tiempo de
permanencia —tiempo desde el inicio de un ataque hasta su detección—disminuyó de 4
días a solo 2 en 2024, en gran parte debido a la inclusión de los casos de MDR en el
análisis.
 Tiempo de permanencia en casos de IR: Se mantuvo estable en 4 días para ataques de
ransomware y 11.5 días para casos sin ransomware.
 Tiempo de permanencia en casos de MDR: En investigaciones de MDR, el tiempo de
permanencia fue de solo 3 días para casos de ransomware y apenas 1 día para casos sin
ransomware, lo que sugiere que los equipos de MDR pueden detectar y responder a los
ataques con mayor rapidez.
 Los grupos de ransomware trabajan de noche: En 2024, el 83% de los binarios de
ransomware se desplegaron fuera del horario laboral de las víctimas.
 El Remote Desktop Protocol (RDP) sigue dominando: el RDP estuvo involucrado en el 84%
de los casos de MDR/IR, convirtiéndose en la herramienta de Microsoft más utilizada por
los atacantes.
Para reforzar su seguridad, Sophos recomienda que las empresas:
 Cierren los puertos RDP expuestos.
 Utilicen autenticación multifactor (MFA) resistente a phishing siempre que sea posible.
 Apliquen parches a los sistemas vulnerables de manera oportuna, con especial atención a
los dispositivos y servicios expuestos a Internet.
 Implementen EDR o MDR y aseguren un monitoreo proactivo 24/7.
 Establezcan un plan integral de respuesta a incidentes y lo prueben regularmente
mediante simulaciones o ejercicios.
Lee el informe complete en It Takes Two: The 2025 Sophos Active Adversary Report en
Sophos.com.

###

Obtén más información sobre:
 Las ventajas y desventajas de los diferentes métodos MFA.
 La creciente explotación de RDP.
 Las técnicas, tácticas y procedimientos (TTPs) de los ciberatacantes en informes previos de
Active Adversary.
 Sophos X-Ops y sus investigaciones innovadoras sobre ciberamenazas suscribiéndose a los
blogs de Sophos X-Ops.

Acerca de Sophos
Sophos es un líder global e innovador en soluciones avanzadas de seguridad para combatir ciberataques. La
compañía adquirió Secureworks en febrero de 2025, uniendo a dos pioneros que han redefinido la industria
de la ciberseguridad con servicios, tecnologías y productos innovadores optimizados con IA nativa. Sophos
es ahora el mayor proveedor independiente de Managed Detection and Response (MDR), brindando soporte
a más de 28 mil organizaciones.
Además de MDR y otros servicios, el portafolio completo de Sophos incluye seguridad líder en la industria
para endpoints, redes, correo electrónico y entornos en la nube, integradas y adaptativas a través de la
plataforma Sophos Central. Secureworks aporta su innovador Taegis XDR/MDR, detección y respuesta ante
amenazas de identidad (ITDR), capacidades de SIEM de próxima generación, gestión de riesgos y un
conjunto completo de servicios de asesoría.
Sophos vende todas estas soluciones a través de socios revendedores, Managed Service Providers (MSPs) y
Managed Security Service Providers (MSSPs) en todo el mundo, protegiendo a más de 600 mil
organizaciones contra el phishing, el ransomware, el robo de datos y otros delitos cibernéticos cotidianos o
patrocinados. Sus soluciones están impulsadas por inteligencia de amenazas en tiempo real e histórica de
Sophos X-Ops y la recién añadida Counter Threat Unit (CTU).
Sophos tiene su sede en Oxford, Reino Unido. Para más información, visite www.sophos.com.