Búsqueda de Ciberamenazas

Presentamos el Informe Sophos Active Adversary 2025

El 63% de las empresas no utiliza la autenticación multifactor: un aumento de casi el triple con respecto a 2022, según el Informe Sophos Active Adversary.
Escrito por
4 abril 2025
Security Operations Threat Research Active Adversary Report featured

Acabamos de publicar el 2025 Sophos Active Adversary Report que analiza en detalle los comportamientos y técnicas de los autores de ciberataques, tal y como se desprenden de más de 400 casos MDR (Managed Detection Response) e IR (Incident Response) abordados a lo largo de 2024. El informe revela que el porcentaje de empresas afectadas por ciberataques que no disponían de autenticación multifactor (MFA) casi se triplicó entre 2022 y 2024, pasando del 22% al 63%. Este dato se acompaña, por segundo año consecutivo, de la preponderancia (41%) de los casos de credenciales comprometidas como causa principal de los ciberataques.

El abuso de credenciales comprometidas parece más evidente en el punto de acceso inicial más frecuentemente explotado: los servicios remotos externos. En el 71% de los casos, los ciberdelincuentes lograron violar las redes de sus víctimas a través de servicios externos remotos, incluidos dispositivos perimetrales, como firewalls y VPN. En el 79% de estos casos, los autores de los ataques pudieron acceder a los servicios externos remotos gracias al uso de credenciales comprometidas.

Comprender la velocidad de los ataques

En el análisis de las investigaciones MDR e IR, el equipo de Sophos X-Ops examinó en particular los casos de ransomware, exfiltración de datos y extorsión para medir la velocidad con la que los ciberdelincuentes se movieron a través de las diversas fases de los ataques. En estos tres tipos de casos, el tiempo medio transcurrido entre el inicio del ataque y la exfiltración fue de solo 72,98 horas (3,04 días), con un intervalo medio de 2,7 horas entre la exfiltración y la detección del ataque.

«La seguridad pasiva ya no es suficiente. Aunque la prevención es esencial, una respuesta rápida es fundamental. Las empresas deben supervisar activamente sus redes y actuar rápidamente en función de los datos telemétricos observados. Los ataques coordinados lanzados por adversarios motivados requieren una defensa igualmente coordinada. Para muchas empresas, esto significa combinar conocimientos internos específicos con capacidades de detección y respuesta guiadas por expertos. Nuestro estudio confirma que las empresas que cuentan con una supervisión proactiva logran detectar los ataques en menos tiempo y obtener mejores resultados», afirma John Shier, field CISO.

Otros datos que se desprenden del estudio 2025 Sophos Active Adversary Report:

  • Los ciberdelincuentes consiguen hacerse con el control de un sistema en solo 11 horas: el intervalo medio entre la acción de ataque inicial y el primer intento (a menudo exitoso) de violación de Active Directory (AD), sin duda uno de los activos más importantes de cualquier red Windows, es de solo 11 horas. En caso de éxito, los atacantes pueden hacerse con el control de toda la empresa con mucha más facilidad.

  • Los principales grupos de ransomware presentes en los casos de Sophos: Akira es el grupo dedicado al ransomware más frecuente en 2024, seguido de Fog y LockBit (a pesar de la eliminación de LockBit llevada a cabo por las fuerzas del orden a lo largo del año).

  • El tiempo de permanencia se ha reducido a solo 2 días, sobre todo gracias a las actividades de MDR: en 2024, el tiempo de permanencia o dwell time, es decir, el tiempo que transcurre entre el inicio de un ataque y su detección, se ha reducido de 4 a 2 días, sobre todo por la incorporación de los casos de MDR al conjunto de datos examinados por el estudio.

  • Tiempo de permanencia en los casos de IR: estable en 4 días para los ataques de ransomware y 11,5 días para todos los demás casos.

  • Tiempo de permanencia en los casos de MDR: solo 3 días para los casos de ransomware y solo 1 día para los demás, lo que indica que los equipos de MDR son capaces de detectar y hacer frente a los ataques más rápidamente.

  • Los grupos de ransomware hacen horas extras: en 2024, el 84% del código binario de ransomware se lanzó fuera del horario laboral habitual de las víctimas.

  • Continúa el predominio de RDP: se ha detectado un uso indebido del protocolo de escritorio remoto en el 84 % de los casos de MDR/IR, lo que lo convierte en la herramienta de Microsoft más utilizada para ciberataques.

Puedes consultar It Takes Two: The 2025 Sophos Active Adversary Report aquí.

Acerca del autor

Leer artículos similares