El nuevo Sophos Active Adversary Report 2025, indica que el 83 % de los ciberataques de ransomware a organizaciones se ejecutan fuera del horario laboral. Los atacantes pueden tomar el control total de una red en sólo 11 horas.
Asimismo, en el 56 % de los casos los atacantes no forzaron su entrada en la red, simplemente iniciaron sesión con credenciales válidas. Obtenidas en muchos casos gracias a contraseñas comprometidas, que por segundo año consecutivo encabezan las causas raíz de los ciberataques.
El informe fue elaborado por Sophos a partir del análisis de más de 400 casos reales. Atendidos por los equipos de Managed Detection and Response (MDR) e Incident Response (IR) durante 2024.
El estudio de Sophos ofrece una radiografía de las técnicas y velocidad con la que operan los ciberataques actualmente.
Roban datos con ciberataques en menos de tres días
El equipo Sophos X-Ops se centró específicamente en casos de ransomware, extracción de datos y extorsión de datos. Para identificar qué tan rápido avanzan los atacantes a través de las etapas de los ciberataques dentro de una organización.
En este sentido, el informe también revela que los atacantes tardan sólo 72.98 horas (poco más de 3 días) en extraer datos una vez iniciados los ciberataques. Desde que roban la información hasta que son detectados, transcurren en promedio apenas 2.7 horas.
“La seguridad pasiva ya no es suficiente. Si bien la prevención es fundamental, la respuesta rápida es crítica. Las organizaciones deben monitorear activamente sus redes y actuar con rapidez ante la telemetría observada. Los ataques coordinados por adversarios motivados requieren una defensa coordinada. Para muchas organizaciones, esto significa combinar el conocimiento específico del negocio con la detección y respuesta lideradas por expertos. Nuestro informe confirma que las organizaciones con monitoreo proactivo detectan ataques más rápido y obtienen mejores resultados”, afirmó John Shier, CISO de campo.
Principales hallazgos del informe Sophos Active Adversary 2025
- Los atacantes pueden tomar el control de un sistema en sólo 11 horas. Tiempo promedio entre la primera acción de los atacantes y su primer intento de comprometer el Active Directory (AD). Uno de los activos más críticos en cualquier red Windows.
- Los grupos de ransomware trabajan de noche. En 2024, el 83 % de los binarios de ransomware se desplegaron fuera del horario laboral de las víctimas.
- Las contraseñas comprometidas causaron el 41 % de los ataques, seguidas de vulnerabilidades explotadas (21.79 %) y ataques de fuerza bruta (21.07 %).
- El Remote Desktop Protocol (RDP) sigue dominando. Estuvo involucrado en el 84 % de los casos de MDR/IR, convirtiéndose en la herramienta de Microsoft más utilizada por los atacantes.
- Akira fue el grupo de ransomware más frecuente en 2024, seguido de Fog y LockBit.
- En general, el tiempo de permanencia —desde el inicio de un ataque hasta su detección—disminuyó de 4 días a sólo 2 en 2024. En gran parte debido a la inclusión de los casos de MDR en el análisis.
- El tiempo de permanencia en casos de IR se mantuvo estable en 4 días para ataques de ransomware y 11.5 días para casos sin ransomware.
- En investigaciones de MDR, el tiempo de permanencia fue de sólo 3 días para casos de ransomware y apenas 1 día para casos sin ransomware. Lo que sugiere que los equipos de MDR pueden detectar y responder a los ataques con mayor rapidez.
Recomendaciones para las empresas mexicanas
Para enfrentar este nuevo panorama, Sophos recomienda:
- Cerrar los puertos RDP expuestos.
- Implementar autenticación multifactor (MFA) resistente al phishing.
- Aplicar parches a sistemas vulnerables de forma oportuna, con especial atención a los dispositivos y servicios expuestos a Internet.
- Adoptar soluciones de EDR o MDR con monitoreo proactivo 24/7.
- Establecer un plan integral de respuesta a incidentes y ponerlo a prueba regularmente mediante simulaciones y ejercicios.