Las intrusiones siguen centrándose en el acceso a credenciales y la ejecución programada fuera del horario laboral habitual. El Informe de Adversarios Activos de Sophos 2026 analiza 661 casos de respuesta a incidentes y detección y respuesta gestionadas, gestionados entre el 1 de noviembre de 2024 y el 31 de octubre de 2025, en organizaciones de 70 países.
El conjunto de datos examina cómo los atacantes obtienen acceso, con qué rapidez llegan a los sistemas clave y cuándo se producen el ransomware y el robo de datos.
La vulneración de la identidad conduce al acceso inicial
Las técnicas relacionadas con la identidad representaron el 67 % de las causas raíz en los casos analizados. Esta categoría incluye credenciales comprometidas, ataques de fuerza bruta, phishing y otras formas de abuso de identidad.
El cambio más preocupante, por otro lado, también se ha gestado durante años: el predominio de las causas raíz relacionadas con la identidad (ataques de fuerza bruta, phishing y otras tácticas de vulneración de credenciales) para el acceso inicial exitoso. Esta constelación de tácticas aprovecha debilidades que no se pueden abordar con una simple higiene de parches y, en ocasiones, actúa como un factor multiplicador de los ataques en curso, explicaron los investigadores de Sophos.
Esta proporción sitúa el uso indebido de credenciales como el principal motivo de la actividad de intrusión observada durante el período del informe. El acceso basado en la identidad fue el punto de partida identificado con mayor frecuencia en los incidentes analizados.
La persistencia de la vulnerabilidad de identidad en las industrias refleja la continua exposición de los sistemas de autenticación y las cuentas de usuario. Los métodos de acceso relacionados con credenciales aparecieron con mayor frecuencia que la explotación de vulnerabilidades u otros puntos de entrada técnicos en el conjunto de datos.
El traslado a los servicios de directorio se produce rápidamente
Tras el acceso inicial, los atacantes suelen recurrir a una infraestructura de identidad centralizada. El tiempo medio para acceder a Active Directory fue de 3,4 horas desde el inicio de la intrusión. Esta ventana inicial representa el período en el que la contención tiene el mayor potencial para limitar el impacto posterior.
AD sigue siendo un objetivo de gran valor porque gestiona la autenticación, la autorización y la aplicación de políticas en gran parte de los entornos empresariales. Su presencia allí amplía la visibilidad de las cuentas de usuario, las membresías de grupos y las rutas administrativas.
La velocidad reflejada en la mediana de 3,4 horas subraya la contracción de los plazos de los ataques tempranos. El intervalo entre el uso indebido de credenciales y el acceso a nivel de directorio puede ajustarse en un solo turno de trabajo.
En todo el conjunto de datos, la mediana del tiempo de permanencia fue de tres días. Esta cifra mide el tiempo transcurrido entre el inicio de la actividad maliciosa y su detección por parte de los defensores.
Un período de tres días ofrece margen para el reconocimiento, la recolección de credenciales, la escalada de privilegios y la preparación para el ransomware o el robo de datos. Refleja el lapso entre la vulneración inicial y el momento en que se detecta un comportamiento sospechoso mediante herramientas de monitoreo o una respuesta investigativa.
La implementación del ransomware se concentra fuera del horario comercial
Los patrones de tiempo muestran que las etapas más disruptivas de los incidentes de ransomware suelen ocurrir cuando las organizaciones operan con personal reducido. En el 88 % de los casos de ransomware, el cifrado se implementó fuera del horario laboral.
La exfiltración de datos siguió un patrón similar: el 79 % de la actividad de robo también ocurrió fuera de la jornada laboral típica.
La implementación fuera del horario laboral aumenta la probabilidad de que el cifrado o las transferencias de datos a gran escala se realicen sin interrupción inmediata. Se prioriza la cobertura de monitoreo que se extiende más allá de los horarios estándar.
La IA muestra un impacto incremental
Las expectativas de un cambio drástico impulsado por la IA generativa no se materializaron en los casos analizados.
Los hallazgos describen la IA generativa como una herramienta que añade velocidad, volumen y ruido al panorama de amenazas. Las mejoras en el lenguaje, la gramática y la personalización del phishing reflejan esta influencia. Los atacantes pueden producir mensajes más refinados e iterar rápidamente a lo largo de las campañas, aumentando la escala de alcance sin cambiar los métodos de acceso subyacentes.
Las herramientas generativas también reducen la barrera técnica para crear señuelos, guiones y comunicaciones fraudulentas convincentes. Este efecto amplía la participación en actividades de ingeniería social y favorece un mayor rendimiento de las campañas. La tecnología actúa como un multiplicador de fuerza para las técnicas existentes.
Si bien parece inevitable que GenAI algún día supere el umbral de los ataques totalmente autónomos y posiblemente genere nuevos vectores de ataque y malware en el proceso, aún no hemos llegado a ese punto. A corto plazo, las ganancias para los atacantes serán, una vez más, velocidad, volumen y democratización, afirmaron los investigadores.
El conjunto de datos no identifica campañas autónomas impulsadas por IA que reemplacen las tácticas establecidas. La vulneración de la identidad, la segmentación de directorios, la implementación de ransomware y el robo de datos siguieron siendo elementos centrales en los casos examinados.
Fuente y redacción: helpnetsecurity.com
