Reportaje

Las brechas por identidad comprometida aumentaron en 2025

Las debilidades relacionadas con la identidad son la causa de dos tercios de los incidentes de seguridad, señala Sophos en su más reciente reporte, el cual indica que, aunque la IA se usa para afinar el phishing, todavía no ha producido técnicas de ataque nuevas.

Melisa Osores
por
Publicado: 26 feb 2026

En 2025, la principal puerta de entrada para los ciberdelincuentes fueron los ataques relacionados con la identidad, al estar detrás del 67 % de los incidentes investigados a nivel global, de acuerdo con el “Reporte de Adversarios Activos 2026” elaborado por Sophos.

El informe explica que los atacantes continúan aprovechando contraseñas comprometidas, esquemas de autenticación multifactor (MFA) débiles o inexistentes y sistemas de identidad insuficientemente protegidos, muchas veces sin necesidad de implementar nuevas herramientas o técnicas avanzadas.

Además, observa que, entre los vectores de acceso inicial, las contraseñas comprometidas han ganado terreno frente a la explotación directa de vulnerabilidades. La actividad de fuerza bruta representa el 15,6 % de los accesos iniciales, prácticamente al nivel de la explotación de fallas técnicas (16 %), lo que refleja un mayor aprovechamiento de credenciales válidas por parte de los atacantes.

“El hallazgo más preocupante del informe, en realidad, lleva años gestándose: el predominio de causas raíz relacionadas con la identidad para lograr un acceso inicial exitoso. Contraseñas comprometidas, ataques de fuerza bruta, phishing y otras tácticas aprovechan debilidades que no pueden resolverse con simple disciplina en poner parches. Las organizaciones deben adoptar un enfoque proactivo hacia la seguridad de la identidad”, dijo John Shier, Field CISO de Sophos y autor principal del informe.

Un hallazgo interesante es que, pesar de las predicciones generalizadas, Sophos no encontró evidencia de que haya una transformación significativa impulsada por IA en el comportamiento de los atacantes. Aunque la IA generativa ha incrementado la velocidad y el “pulido” del phishing y la ingeniería social, todavía no ha producido técnicas de ataque fundamentalmente nuevas.

“La IA está añadiendo escala y ruido, pero todavía no está reemplazando a los atacantes. Si bien en el futuro la GenAI podría ser el siguiente acelerador, por ahora lo fundamental sigue importando: una sólida protección de identidad, telemetría confiable y la capacidad de responder rápidamente cuando algo sale mal”, comentó Shier.

Los ataques a la identidad se aceleran y persisten brechas en MFA

El informe de Sophos muestra un aumento continuo en ataques originados en el compromiso de identidad, incluyendo contraseñas robadas, actividad de fuerza bruta y phishing. Si bien la explotación de vulnerabilidades sigue siendo un factor, los atacantes dependen cada vez más de cuentas válidas para obtener acceso inicial, lo que les permite evadir las defensas perimetrales tradicionales.

También se observó falta de MFA en 59 % de los casos, lo que facilitó el abuso de contraseñas robadas y comprometidas para penetrar una organización.

Otro hallazgo encontrado es que el tiempo medio de permanencia –el lapso entre la intrusión y su detección– se redujo a tres días, lo que responde tanto a una mayor velocidad operativa de los atacantes, como a una capacidad de respuesta más ágil por parte de los equipos de ciberdefensa, particularmente en organizaciones que cuentan con servicios de detección y respuesta administrada (MDR).

De hecho, el reporte indica que, una vez que logran acceso, los atacantes tardan en promedio solo 3,4 horas en alcanzar el servidor de Active Directory (AD), sistema que centraliza la autenticación y gestión de identidades dentro de la red corporativa, lo que les facilita escalar privilegios y controlar la infraestructura.

La falta de telemetría –registros y datos de monitoreo necesarios para investigar incidentes– continúa siendo un punto crítico, refiere el informe. Los casos con registros faltantes por problemas de retención de datos se duplicaron frente al año anterior, en gran medida debido a configuraciones predeterminadas en dispositivos firewall que almacenan información solo por siete días y, en algunos casos, apenas 24 horas, limitando la capacidad de análisis forense.

El ransomware continúa rampante

Los investigadores de Sophos observaron el mayor número de grupos de amenazas activos registrado en la historia del informe, lo que amplía el panorama general de amenazas e incrementa el desafío de atribución:

  • Akira (GOLD SAHARA) y Qilin (GOLD FEATHER) fueron las familias de ransomware más activas observadas, con Akira dominando en 22 % de los incidentes
  • 51 marcas de ransomware aparecieron en los casos, incluyendo 27 marcas recurrentes y 24 nuevas
  • Solo cuatro marcas o técnicas –LockBit, MedusaLocker, Phobos y el abuso de BitLocker– han persistido de manera continua desde 2020 (el primer año de datos del Active Adversary Report).

Un detalle adicional es que el ransomware mantiene un patrón operativo fuera del horario laboral: el 88 % de las cargas maliciosas se despliega en horas no laborales y el 79 % de las acciones de robo de datos ocurre en ese mismo periodo, lo que evidencia una estrategia orientada a evadir la supervisión directa de los equipos de TI.

“La acción de las fuerzas del orden continúa causando disrupción en el ecosistema de ransomware. Aunque todavía vemos actividad de LockBit, el dominio y la reputación que alguna vez tuvo claramente se han visto impactados. Sin embargo, esto significa que estamos viendo una oleada de otros grupos compitiendo por el dominio y muchos más grupos emergentes. Para los defensores, es importante comprender a los grupos y sus TTP para proteger mejor a su organización”, subrayó Shier.

Investigue más sobre Gestión de la seguridad