13 de abril de 2025

¿Y si los hackers ya han conseguido tu contraseña? El 56% de los ataques cibernéticos no requieren de una intrusión forzada

Nicolás Schiller 8 de abril de 2025
26239
Escucha este Artículo

Sophos, líder global en soluciones innovadoras de seguridad para combatir ciberataques, publicó hoy el informe Sophos Active Adversary Report 2025, que detalla el comportamiento y las técnicas de los atacantes en más de 400 casos de Managed Detection and Response (MDR) y de Incident Response (IR) durante 2024.

El informe reveló que la principal forma en que los atacantes obtuvieron acceso inicial a las redes (56% de todos los casos entre MDR e IR) fue mediante la explotación de servicios remotos externos, lo que incluye dispositivos perimetrales como firewalls y VPNs, utilizando cuentas válidas.

La mezcla de servicios externos remotos y credenciales válidas se alinea con las principales razones de los ciberataques. Por segundo año consecutivo, las contraseñas comprometidas se posicionaron como la causa principal (41% de los incidentes), seguidas por vulnerabilidades explotadas (21.79%) y ataques de fuerza bruta (21.07%).

Comprendiendo la velocidad de los ataques

Al examinar las investigaciones de MDR e IR, el equipo de Sophos X-Ops se enfocó en particular en incidentes de ransomware, robo de datos y extorsión de datos para evaluar la velocidad con la que los atacantes progresan a través de las etapas de un ataque en una organización.

En estos tres tipos de incidentes, el tiempo promedio desde el inicio del ataque hasta la extracción de datos fue de tan solo 72.98 horas (3.04 días). Además, desde el momento del robo hasta la detección del ataque, el tiempo promedio fue de apenas 2.7 horas.

“La seguridad pasiva ya no es suficiente. Si bien la prevención es fundamental, la respuesta rápida es crítica. Las organizaciones deben monitorear activamente sus redes y actuar con rapidez ante la telemetría observada. Los ataques coordinados por adversarios motivados requieren una defensa coordinada. Para muchas organizaciones, esto significa combinar el conocimiento específico del negocio con la detección y respuesta lideradas por expertos. Nuestro informe confirma que las organizaciones con monitoreo proactivo detectan ataques más rápido y obtienen mejores resultados”,

afirmó John Shier, CISO de campo.

Otros hallazgos clave del informe Sophos Active Adversary 2025:

  • Los atacantes pueden tomar el control de un sistema en solo 11 horas: El tiempo promedio entre la primera acción de los atacantes y su primer intento  (a menudo exitoso) de comprometer el Active Directory (AD), uno de los activos más críticos en cualquier red Windows, fue de solo 11 horas. Si tienen éxito, los atacantes pueden tomar el control de la organización con mayor facilidad.
  • Principales grupos de ransomware en los casos de Sophos: Akira fue el grupo de ransomware más frecuente en 2024, seguido de Fog y LockBit (a pesar de una intervención gubernamental contra LockBit a principios de año).
  • El tiempo de permanencia se ha reducido a solo 2 días: En general, el tiempo de permanencia —tiempo desde el inicio de un ataque hasta su detección—disminuyó de 4 días a solo 2 en 2024, en gran parte debido a la inclusión de los casos de MDR en el análisis.
  • Tiempo de permanencia en casos de IR: Se mantuvo estable en 4 días para ataques de ransomware y 11.5 días para casos sin ransomware.
  • Tiempo de permanencia en casos de MDR: En investigaciones de MDR, el tiempo de permanencia fue de solo 3 días para casos de ransomware y apenas 1 día para casos sin ransomware, lo que sugiere que los equipos de MDR pueden detectar y responder a los ataques con mayor rapidez.
  • Los grupos de ransomware trabajan de noche: En 2024, el 83% de los binarios de ransomware se desplegaron fuera del horario laboral de las víctimas.
  • El Remote Desktop Protocol (RDP) sigue dominando: el RDP estuvo involucrado en el 84% de los casos de MDR/IR, convirtiéndose en la herramienta de Microsoft más utilizada por los atacantes.

Para reforzar su seguridad, Sophos recomienda que las empresas:

  • Cierren los puertos RDP expuestos.
  • Utilicen autenticación multifactor (MFA) resistente a phishing siempre que sea posible.
  • Apliquen parches a los sistemas vulnerables de manera oportuna, con especial atención a los dispositivos y servicios expuestos a Internet.
  • Implementen EDR o MDR y aseguren un monitoreo proactivo 24/7.
  • Establezcan un plan integral de respuesta a incidentes y lo prueben regularmente mediante simulaciones o ejercicios.

Lee el informe complete en It Takes Two: The 2025 Sophos Active Adversary Report en Sophos.com.

Más historias

ghibli meme

Riesgos para la privacidad al diseñar tu imagen al estilo de Studio Ghibli

Nicolás Schiller 8 de abril de 2025
Cuentas Correos Corporativos

El 7% de las cuentas expuestas de Netflix, Roblox y Discord emplean direcciones de correo corporativo

Nicolás Schiller 29 de marzo de 2025
Gaming

Llega una alianza entre World y Razer que busca derrotar a los bots en la industria del gaming 

Nicolás Schiller 17 de marzo de 2025
PortalGeek YT
TikTok
Instagram
Lo llamamos Twitter
Facebook