De acuerdo con el reporte 2026 de Sophos sobre ciberseguridad, los ciberataques contra la identidad se consolidaron como la principal puerta de entrada para los criminales. Lo cual se debe a que está detrás del 67 % del total de los incidentes, que se investigaron a nivel global.
Esta información se dio a conocer dentro del Reporte de Adversarios Activos 2026, realizado por el proveedor de soluciones de ciberseguridad. Al respecto, el documento señala que los atacantes siguen aprovechando diversas situaciones, como las contraseñas comprometidas.
“Se trata de uno de los hallazgos más preocupantes, sin embargo en realidad tiene muchos años gestándose a través de diversas tendencias. Como los ataques de fuerza bruta, phishing y otras tácticas que aprovechan dichas debilidades”, declaró John Shier, CISO en campo para Sophos y autor principal del informe.
Como parte de los principales hallazgos del reporte 2026 de Sophos, se observa un cambio a nivel de vectores de acceso inicial. Donde el uso de las contraseñas comprometidas cada vez va ganando mayor terreno, esto frente a la explotación directa de diversas vulnerabilidades.
Además, la actividad de fuerza bruta representa ya el 15.6 % de los accesos iniciales, es decir está a la par de la explotación de fallas técnicas (16 %). Algo que refleja un mayor nivel en el aprovechamiento de credenciales válidas, por parte de los atacantes y esto se debe prevenir.
“Es una situación, que no puede resolverse con una simple actualización de parches, por eso las organizaciones deben adoptar un enfoque proactivo. Que esté centrado en la seguridad de la identidad, remediando los esquemas de autenticación multifactor débiles o que en algunos casos son inexistentes”, acotó Shier.
El robo de identidad se destaca dentro del reporte 2026 de Sophos
Otro factor a considerar, en el reporte 2026 de Sophos, es el tiempo medio de permanencia, es decir el lapso entre la intrusión y su detección que se redujo a días. Esto responde a una mayor velocidad de los atacantes y una capacidad de respuesta más ágil, en las empresas.
Dicha situación, ocurre particularmente en las organizaciones con servicios de Detección y Respuesta Administrada (MDR). De hecho, el ransomware mantiene un patrón operativo fuera del horario laboral, ya que el 88 % de las cargas maliciosas se despliega en dicho lapso.
“La acción de las fuerzas del orden causó una disrupción en el ecosistema del ransomware. Sin embargo todavía vemos actividad de LockBit, donde el dominio y la reputación que alguna vez tuvo claramente se han visto impactados. Esto significa, que aún vemos una oleada de otros grupos”, afirmó el directivo.
Adicionalmente, el 79 % de las acciones de robo de datos ocurre fuera de los horarios de las oficinas. Con ello, el reporte 2026 de Sophos evidencia una estrategia orientada a evadir la supervisión directa de los equipos de TI. Otro aspecto a considerar es la falta de telemetría.
Lo anterior, se refiere a registros y datos de monitoreo que son necesarios para investigar los incidentes, por esto continúa siendo un aspecto crítico. Finalmente, los casos con registros faltantes por problemas de retención de datos se duplicaron, en relación con el año anterior.
“De hecho, la inteligencia artificial añade escala y ruido, pero todavía no está reemplazando a los ciberatacantes. Si bien en el futuro la GenAI, podría ser el siguiente acelerador, por el momento sigue importando una sólida protección de identidad, telemetría confiable y la capacidad de respuesta”, concluyó Shier.