El estudio revela que en los casos de ransomware, exfiltración y extorsión de datos, la filtración se produce en tan solo 3 días

Por segundo año consecutivo, las credenciales comprometidas encabezan las causas principales de los ataques

MADRID, Spain — Abril 2, 2025 —

Sophos, líder mundial en soluciones de seguridad innovadoras para derrotar a los ciberataques, publica el Active Adversary Report, el informe que detalla el comportamiento y las técnicas de los atacantes en más de 400 casos de servicios gestionados de detección y respuesta (MDR) y de respuesta a incidentes (IR) durante 2024. El informe revela que el porcentaje de empresas atacadas que no tenían activada la autenticación multifactor (MFA) casi se triplicó de 2022 a 2024, del 22% al 63%. Esto coincide con el hecho de que las credenciales comprometidas fueron la causa principal de los ataques (en el 41 % de los casos) por segundo año consecutivo.

El abuso por parte de los ciberdelincuentes de las credenciales comprometidas es más evidente en el punto de acceso inicial más frecuentemente utilizado: los servicios remotos externos. En el 71% de los casos, los agresores penetraron en las redes a través de servicios remotos externos, incluidos dispositivos periféricos como firewalls y VPN. En el 79% de esos casos, los atacantes pudieron explotar servicios remotos externos como resultado de credenciales comprometidas.

Comprender la velocidad de los ataques

Al analizar las investigaciones de servicios gestionados de detección y respuesta (MDR) y de respuesta a incidentes (IR), el equipo de Sophos X-Ops se fijó específicamente en los casos de ransomware, exfiltración y extorsión de datos para identificar la rapidez con la que los atacantes avanzaban por las fases de un ataque dentro de una empresa. En estos tres tipos de casos, el tiempo medio transcurrido entre el inicio del ataque y la filtración fue de sólo 72,98 horas (3,04 días). Además, sólo hubo una media de 2,7 horas desde la exfiltración hasta la detección del ataque.

La seguridad pasiva ya no es suficiente. Aunque la prevención es esencial, la respuesta rápida es fundamental. Las empresas deben vigilar activamente las redes y actuar con rapidez ante la telemetría observada. Los ataques coordinados de adversarios motivados exigen una defensa coordinada. Para muchas empresas, esto significa combinar el conocimiento específico del negocio con la detección y la respuesta dirigidas por expertos. Nuestro informe confirma que las empresas con una supervisión proactiva detectan los ataques más rápidamente y obtienen mejores resultados”, afirma John Shier, field CISO

Otras conclusiones principales del Sophos Active Adversary Report 2025:

  • Los cibercriminales pueden hacerse con el control de un sistema en sólo 11 horas. El tiempo medio transcurrido entre la acción inicial de los atacantes y su primer intento (a menudo exitoso) de quebrantar el Directorio Activo (AD) (posiblemente uno de los activos más importantes de cualquier red Windows) fue de sólo 11 horas. Si tienen éxito, los atacantes pueden tomar el control de la empresa con mucha más facilidad.
  • Principales grupos de ransomware en los casos de Sophos. Akira fue el grupo de ransomware más frecuentemente encontrado en 2024, seguido de Fog y LockBit (a pesar del desmantelamiento de LockBit por parte del gobierno a principios de año).
  • El tiempo de permanencia bajó a solo 2 días, debido en gran parte a servicios gestionados de detección y respuesta (MDR). En general, el tiempo de permanencia (el tiempo que transcurre desde el inicio de un ataque hasta que se detecta) disminuyó de 4 días a solo 2 en 2024, debido en gran parte a la incorporación de casos de MDR al conjunto de datos.
  • Tiempo de permanencia en casos de respuesta a incidentes (IR). El tiempo de permanencia se mantuvo estable en 4 días para los ataques de ransomware y en 11,5 días para los casos en los que no se había detectado dicho ciberataque.
  • Tiempo de permanencia en casos de servicios gestionados de detección y respuesta (MDR). En las investigaciones de MDR, el tiempo de permanencia fue de solo 3 días para los casos de ransomware y de solo 1 día para los casos en los no existía actividad de ransomware, lo que sugiere que los equipos de MDR son capaces de detectar y responder más rápidamente a los ataques.
  • Los grupos de ransomware trabajan durante la noche. En 2024, el 84% de los archivos binarios de ransomware se lanzaron fuera del horario laboral local de los objetivos.
  • El protocolo de escritorio remoto sigue dominando. El protocolo de escritorio remoto (RDP) estuvo implicado en el 84% de los casos de servicios gestionados de detección y respuesta (MDR)/respuesta a incidentes (IR), lo que lo convierte en la herramienta de Microsoft de la que más se abusa.

Lee el informe completo It Takes Two: The 2025 Sophos Active Adversary Report en Sophos.com.

###

Más información:

Acerca de Sophos

Sophos es un líder mundial e innovador de soluciones de seguridad avanzadas para derrotar a los ciberataques. La compañía adquirió Secureworks en Febrero 2025, uniendo a dos pioneros que han redefinido la industria de la ciberseguridad con sus innovadores servicios, tecnologías y productos nativos optimizados para IA. Sophos es ahora el mayor proveedor de Detección y Respuesta Gestionados (MDR), dando soporte a más de 28.000 organizaciones. Además de MDR y otros servicios, la cartera completa de Sophos incluye endpoint, red, correo electrónico y seguridad en la nube líderes en la industria que interoperan y se adaptan para defender a través de la plataforma Sophos Central. Secureworks ofrece el innovador Taegis XDR/MDR, líder del mercado, detección y respuesta a amenazas de identidad (ITDR), capacidades SIEM de última generación, riesgo gestionado y un conjunto completo de servicios de asesoramiento. Sophos vende todas estas soluciones a través de su red de partners, proveedores de servicios gestionados (MSP) y proveedores de servicios de seguridad gestionados (MSSP) en todo el mundo, defendiendo a más de 600.000 organizaciones en todo el mundo del phishing, ransomware, robo de datos y otros ciberdelitos state-sponsored cotidianos. Las soluciones se basan en la información sobre amenazas histórica y en tiempo real de Sophos X-Ops y la recién añadida Counter Threat Unit (CTU). Sophos tiene su sede en Oxford, Reino Unido. Más información en es.sophos.com.