Los ataques relacionados con la identidad se consolidaron como la principal puerta de entrada para los ciberdelincuentes en 2025, al estar detrás del 67% de los incidentes investigados a nivel global, de acuerdo con el Reporte de Adversarios Activos 2026, elaborado por Sophos.
El informe de Adversarios Activos 2026, señala que los atacantes continúan aprovechando contraseñas comprometidas, esquemas de autenticación multifactor (MFA) débiles o inexistentes y sistemas de identidad insuficientemente protegidos, muchas veces sin necesidad de implementar nuevas herramientas o técnicas avanzadas.
Evolución de los Vectores de Acceso y Tiempos de Respuesta
Entre los principales hallazgos del informe destacan un cambio en los vectores de acceso inicial: el uso de contraseñas comprometidas gana terreno frente a la explotación directa de vulnerabilidades. La actividad de fuerza bruta representa ya el 15.6% de los accesos iniciales, prácticamente al nivel de la explotación de fallas técnicas (16%), lo que refleja un mayor aprovechamiento de credenciales válidas por parte de los atacantes.
El tiempo medio de permanencia —es decir, el lapso entre la intrusión y su detección— se redujo a tres días. Esta disminución responde tanto a una mayor velocidad operativa de los atacantes como a una capacidad de respuesta más ágil por parte de los equipos de ciberdefensa, particularmente en organizaciones que cuentan con servicios de Detección y Respuesta Administrada (MDR).
Vulnerabilidad en Active Directory y Estrategias Fuera de Horario
Una vez que logran acceso, los atacantes tardan en promedio solo 3.4 horas en alcanzar el servidor de Active Directory (AD), el sistema que centraliza la autenticación y gestión de identidades dentro de la red corporativa. Este movimiento rápido facilita la escalación de privilegios y el control de la infraestructura.
El ransomware mantiene un patrón operativo fuera del horario laboral: el 88% de las cargas maliciosas se despliega en horas no laborales y el 79% de las acciones de robo de datos ocurre en ese mismo periodo, lo que evidencia una estrategia orientada a evadir la supervisión directa de los equipos de TI.
Deficiencias en Telemetría y el Factor de la Inteligencia Artificial
La falta de telemetría —registros y datos de monitoreo necesarios para investigar incidentes— continúa siendo un punto crítico. Los casos con registros faltantes por problemas de retención de datos se duplicaron frente al año anterior, en gran medida debido a configuraciones predeterminadas en dispositivos firewall que almacenan información solo por periodos muy breves, limitando la capacidad de análisis forense.
A pesar de las predicciones generalizadas, Sophos no encontró evidencia de una transformación significativa impulsada por IA en el comportamiento de los atacantes. Si bien la IA generativa ha incrementado la velocidad y el “pulido” del phishing y la ingeniería social, todavía no ha producido técnicas de ataque fundamentalmente nuevas; lo fundamental sigue siendo una sólida protección de identidad y telemetría confiable.
