Sophos publica el Active Adversary Report, el informe que detalla el comportamiento y las técnicas de los atacantes en más de 400 casos de servicios gestionados de detección y respuesta (MDR) y de respuesta a incidentes (IR) durante 2024. El informe revela que el porcentaje de empresas atacadas que no tenían activada la autenticación multifactor (MFA) casi se triplicó de 2022 a 2024, del 22% al 63%. Esto coincide con el hecho de que las credenciales comprometidas fueron la causa principal de los ataques (en el 41 % de los casos) por segundo año consecutivo.
El abuso por parte de los ciberdelincuentes de las credenciales comprometidas es más evidente en el punto de acceso inicial más frecuentemente utilizado: los servicios remotos externos. En el 71% de los casos, los agresores penetraron en las redes a través de servicios remotos externos, incluidos dispositivos periféricos como firewalls y VPN. En el 79% de esos casos, los atacantes pudieron explotar servicios remotos externos como resultado de credenciales comprometidas.
Comprender la velocidad de los ataques
Al analizar las investigaciones de servicios gestionados de detección y respuesta (MDR) y de respuesta a incidentes (IR), el equipo de Sophos X-Ops se fijó específicamente en los casos de ransomware, exfiltración y extorsión de datos para identificar la rapidez con la que los atacantes avanzaban por las fases de un ataque dentro de una empresa. En estos tres tipos de casos, el tiempo medio transcurrido entre el inicio del ataque y la filtración fue de solo 72,98 horas (3,04 días). Además, solo hubo una media de 2,7 horas desde la exfiltración hasta la detección del ataque.
“La seguridad pasiva ya no es suficiente. Aunque la prevención es esencial, la respuesta rápida es fundamental. Las empresas deben vigilar activamente las redes y actuar con rapidez ante la telemetría observada. Los ataques coordinados de adversarios motivados exigen una defensa coordinada. Para muchas empresas, esto significa combinar el conocimiento específico del negocio con la detección y la respuesta dirigidas por expertos. Nuestro informe confirma que las empresas con una supervisión proactiva detectan los ataques más rápidamente y obtienen mejores resultados”, afirma John Shier, field CISO
Otras conclusiones principales del Sophos Active Adversary Report 2025:
- Los cibercriminales pueden hacerse con el control de un sistema en solo 11 horas. El tiempo medio transcurrido entre la acción inicial de los atacantes y su primer intento (a menudo exitoso) de quebrantar el Directorio Activo (AD) (posiblemente uno de los activos más importantes de cualquier red Windows) fue de solo 11 horas. Si tienen éxito, los atacantes pueden tomar el control de la empresa con mucha más facilidad.
- Principales grupos de ransomware en los casos de Sophos. Akira fue el grupo de ransomware más frecuentemente encontrado en 2024, seguido de Fog y LockBit (a pesar del desmantelamiento de LockBit por parte del gobierno a principios de año).
- El tiempo de permanencia bajó a solo 2 días, debido en gran parte a servicios gestionados de detección y respuesta (MDR). En general, el tiempo de permanencia (el tiempo que transcurre desde el inicio de un ataque hasta que se detecta) disminuyó de 4 días a solo 2 en 2024, debido en gran parte a la incorporación de casos de MDR al conjunto de datos.
- Tiempo de permanencia en casos de respuesta a incidentes (IR). El tiempo de permanencia se mantuvo estable en 4 días para los ataques de ransomware y en 11,5 días para los casos en los que no se había detectado dicho ciberataque.
- Tiempo de permanencia en casos de servicios gestionados de detección y respuesta (MDR). En las investigaciones de MDR, el tiempo de permanencia fue de solo 3 días para los casos de ransomware y de solo 1 día para los casos en los que no existía actividad de ransomware, lo que sugiere que los equipos de MDR son capaces de detectar y responder más rápidamente a los ataques.
- Los grupos de ransomware trabajan durante la noche. En 2024, el 84% de los archivos binarios de ransomware se lanzaron fuera del horario laboral local de los objetivos.
- El protocolo de escritorio remoto sigue dominando. El protocolo de escritorio remoto (RDP) estuvo implicado en el 84% de los casos de servicios gestionados de detección y respuesta (MDR)/respuesta a incidentes (IR), lo que lo convierte en la herramienta de Microsoft de la que más se abusa.
Lee el informe completo It Takes Two: The 2025 Sophos Active Adversary Report en Sophos.com.
