En 2025, dos tercios de los incidentes de seguridad tuvieron su origen en ataques relacionados con la identidad
Credenciales comprometidas, ausencia o fallo de autenticación multifactor y sistemas de identidad débiles son las principales brechas explotadas, según el informe Sophos Active Adversary Report 2026
Sophos, líder mundial en soluciones de seguridad innovadoras para combatir los ciberataques, ha publicado hoy el informe Active Adversary Report 2026, que desvela que el 67% de todos los incidentes investigados por los equipos de Respuesta a Incidentes (IR) y Detección y Respuesta Gestionada (MDR) de Sophos el año pasado tuvieron su origen en ataques relacionados con la identidad.
Las conclusiones destacan cómo los atacantes siguen explotando credenciales comprometidas, la ausencia o debilidad de la autenticación multifactor (MFA) y sistemas de identidad poco protegidos, a menudo sin necesidad de emplear nuevas herramientas o técnicas:
• Cambio de vulnerabilidades explotadas hacia credenciales comprometidas, con la actividad de fuerza bruta (15,6%) casi igualando a la explotación de vulnerabilidades (16%) como método de acceso inicial.
• El tiempo medio de permanencia del atacante descendió a tres días, impulsado tanto por movimientos más rápidos de los atacantes como por una reacción más ágil de los defensores, especialmente en entornos MDR.Los atacantes llegan más rápido a ActiveDirectory(AD): una vez dentro de la organización, sólo tardan 3,4 horas en alcanzar el servidor AD.
• El ransomware sigue siendo una actividad que se produce predominantemente fuera del horario laboral: el 88% de los ataques de ransomwarey el 79% de las acciones de exfiltración de datos ocurren fuera de este horario.
• La falta de telemetría debilita la defensa: los registros ausentes por problemas de retención de datos se duplicaronfrenteal año anterior, especialmente en firewalls con retención por defecto de sólo siete días, y en algunos casos, 24 horas.
Persisten las brechas en MFA
El informe muestra un aumento continuo de los ataques basados en la identidad, incluyendo credenciales robadas, fuerza bruta y phishing. Aunque las vulnerabilidades explotadas siguen presentes, los atacantes dependen cada vez más de cuentas válidas para obtener acceso inicial, lo que les permite eludir las defensas perimetrales tradicionales. Además, en el 59% de los casos faltaba MFA, facilitando el abuso de credenciales comprometidas para entrar en la organización.
“El hallazgo más preocupante del informe lleva años gestándose: la prevalencia de las causas raíz relacionadas con la identidad para el acceso inicial exitoso. Credenciales comprometidas, ataques de fuerza bruta, phishing y otras tácticas aprovechan debilidades que no pueden resolverse sólo con parches. Las organizaciones deben adoptar un enfoque proactivo en la seguridad de la identidad”, afirma John Shier, Field CISO de Sophos y autor principal del informe.
Más grupos de amenazas, mayor riesgo
Los investigadores de Sophos han observado también un incremento en el número de grupos de amenazas activos desde que se realiza el informe, ampliando el panorama de amenazas y dificultando su atribución:
• Akira (GOLD SAHARA) y Qilin (GOLD FEATHER) fueron los grupos de ransomware más activos, con Akira presente en el 22% de los incidentes.
• Se identificaron 51 ‘marcas’ de ransomware, incluyendo 27 recurrentes y 24 nuevas.
• Sólo cuatro marcas o técnicas -LockBit, MedusaLocker, Phobos y el abuso de BitLocker- han persistido de forma continua desde 2020, primer año en el que se realizó el informe.
“La acción policial sigue causando disrupciones en el ecosistema del ransomware. Aunque LockBit sigue activo, su dominio y reputación se han visto claramente afectados. Sin embargo, esto ha dado paso a la aparición de muchos otros grupos que compiten por el liderazgo. Para los defensores, es fundamental conocer los grupos y sus TTPs para proteger mejor su organización”, continúa Shier.
La IA, expectativas frente a realidad
A pesar de las predicciones, Sophos no ha vislumbrado una transformación significativa impulsada por IA en el comportamiento de los atacantes. Si bien la IA generativa ha aumentado la velocidad y el nivel de sofisticación del phishing y la ingeniería social, aún no ha dado lugar a técnicas de ataque fundamentalmente nuevas.
“La IA añade escala y ruido, pero todavía no reemplaza a los atacantes. Aunque en el futuro la IA podría ser un acelerador, por ahora lo fundamental sigue siendo: protección sólida de la identidad, telemetría fiable y capacidad rápida de respuesta frente a incidentes”, concluye Shier.
Recomendaciones
Sophos recomienda a las organizaciones:
• Implementar MFA resistente al phishing y validar su correcta configuración.
• Reducir la exposición de la infraestructura de identidad y servicios en Internet.
• Corregir vulnerabilidades conocidas de forma rápida, especialmente en dispositivos perimetrales.
• Garantizar la monitorización 24/7 mediante MDR o capacidades equivalentes.
• Preservar y retener los registros de seguridad para facilitar la detección e investigación rápida.
El informe Active Adversary Report 2026 de Sophos analizó 661 casos de IR y MDR gestionados entre el 1 de noviembre de 2024 y el 31 de octubre de 2025, abarcando organizaciones de 70 países y 34 sectores. Puedes leer el informe completo aquí.
Acerca de Sophos
Sophos es una empresa líder en ciberseguridad que protege a más de 600.000 organizaciones en todo el mundo mediante una plataforma impulsada por inteligencia artificial y servicios especializados. Sophos acompaña a las organizaciones, estén donde estén, en su camino hacia la madurez en ciberseguridad y evoluciona con ellas para hacer frente a los ciberataques. Sus soluciones combinan aprendizaje automático, automatización e inteligencia de amenazas en tiempo real con la experiencia humana del equipo Sophos X-Ops, ofreciendo una vigilancia, detección y respuesta ante amenazas avanzada y 24/7.
Sophos proporciona un servicio líder de detección y respuesta gestionada (MDR), junto con un completo portafolio de tecnologías de ciberseguridad que abarca protección de endpoints, redes, correo electrónico y entornos en la nube, así como detección y respuesta extendida (XDR), detección y respuesta ante amenazas de identidad (ITDR) y soluciones SIEM de nueva generación. Además, Sophos ofrece servicios de asesoría expertos que ayudan a las organizaciones a reducir proactivamente el riesgo y a responder con mayor rapidez, contando con la visibilidad y escalabilidad necesarias para adelantarse a las amenazas en constante evolución.
Sophos opera a través de un ecosistema global de partners, que incluye proveedores de servicios gestionados (MSP), proveedores de servicios de seguridad gestionada (MSSP), distribuidores, resellers, integraciones en marketplaces y socios especializados en gestión de riesgos cibernéticos, ofreciendo a las organizaciones la flexibilidad de elegir relaciones de confianza para proteger su negocio. La sede central de Sophos se encuentra en Oxford, Reino Unido. Más información en www.sophos.com/es-es.
