Asimismo, en el 56 % de los casos los atacantes no forzaron su entrada en la red, simplemente iniciaron sesión con credenciales válidas. Obtenidas en muchos casos gracias a contraseñas comprometidas, que por segundo año consecutivo encabezan las causas raíz de los ciberataques.

El informe fue elaborado por Sophos a partir del análisis de más de 400 casos reales. Atendidos por los equipos de Managed Detection and Response (MDR) e Incident Response (IR) durante 2024.

El estudio de Sophos ofrece una radiografía de las técnicas y velocidad con la que operan los ciberataques actualmente.

Roban datos con ciberataques en menos de tres días

El equipo Sophos X-Ops se centró específicamente en casos de ransomware, extracción de datos y extorsión de datos. Para identificar qué tan rápido avanzan los atacantes a través de las etapas de los ciberataques dentro de una organización.

En este sentido, el informe también revela que los atacantes tardan sólo 72.98 horas (poco más de 3 días) en extraer datos una vez iniciados los ciberataques. Desde que roban la información hasta que son detectados, transcurren en promedio apenas 2.7 horas.

Principales hallazgos del informe Sophos Active Adversary 2025

• Los atacantes pueden tomar el control de un sistema en sólo 11 horas. Tiempo promedio entre la primera acción de los atacantes y su primer intento de comprometer el Active Directory (AD). Uno de los activos más críticos en cualquier red Windows.

• Los grupos de ransomware trabajan de noche. En 2024, el 83 % de los binarios de ransomware se desplegaron fuera del horario laboral de las víctimas.

• Las contraseñas comprometidas causaron el 41 % de los ataques, seguidas de vulnerabilidades explotadas (21.79 %) y ataques de fuerza bruta (21.07 %).

• El Remote Desktop Protocol (RDP) sigue dominando. Estuvo involucrado en el 84 % de los casos de MDR/IR, convirtiéndose en la herramienta de Microsoft más utilizada por los atacantes.

• Akira fue el grupo de ransomware más frecuente en 2024, seguido de Fog y LockBit.

• En general, el tiempo de permanencia —desde el inicio de un ataque hasta su detección—disminuyó de 4 días a sólo 2 en 2024. En gran parte debido a la inclusión de los casos de MDR en el análisis.

• El tiempo de permanencia en casos de IR se mantuvo estable en 4 días para ataques de ransomware y 11.5 días para casos sin ransomware.

• En investigaciones de MDR, el tiempo de permanencia fue de sólo 3 días para casos de ransomware y apenas 1 día para casos sin ransomware. Lo que sugiere que los equipos de MDR pueden detectar y responder a los ataques con mayor rapidez.

Recomendaciones para las empresas mexicanas

Para enfrentar este nuevo panorama, Sophos recomienda:

• Cerrar los puertos RDP expuestos.

• Implementar autenticación multifactor (MFA) resistente al phishing.

• Aplicar parches a sistemas vulnerables de forma oportuna, con especial atención a los dispositivos y servicios expuestos a Internet.

• Adoptar soluciones de EDR o MDR con monitoreo proactivo 24/7.

• Establecer un plan integral de respuesta a incidentes y ponerlo a prueba regularmente mediante simulaciones y ejercicios.

La entrada Los ciberataques atacan de noche y son más veloces: Sophos se publicó primero en Reseller.

En primera instancia destaca el acceso a redes a través de phishing por mail, credenciales de protocolos de escritorio remoto (RDP), en algunos casos robadas. Así es posible explotar vulnerabilidades en RDP o software, los cuales son los principales vectores de infección inicial en un incidente de ransomware. También se aprovechan de los servicios por contrato basados en dicha amenaza (RaaS) e incluso para la recepción de los pagos de rescate.

Puntualmente los grupos euroasiáticos comparten información de los objetivos, así diversifican el impacto de la amenaza, ejemplo de ello es la migración de víctimas entre las organizaciones BlackMatter y Lockbit 2.0. Otro comportamiento destacado es la expansión hacia el segmento medio, donde las principales víctimas son empresas, organizaciones no lucrativas y servicios públicos en sectores como educación, gobierno y salud. 

Organizaciones que firman el aviso

• Agencia de Ciberseguridad e Infraestructura de EU (CISA)
• Buró Federal de Investigaciones de Estados Unidos (FBI)
• Agencia Nacional de Seguridad de EU (NSA)
• Centro de Ciberseguridad de Australia (ACSC)
• Centro Nacional de Seguridad Cibernética del Reino Unido (CNSC) 

También crecieron esquemas de ataque de triple extorsión que consisten en amenazas con la divulgación de datos confidenciales, además de la interrupción del acceso a Internet y finalmente con informar a socios, accionistas y proveedores sobre el incidente. De hecho, los delincuentes enfocan sus ataques a las infraestructuras cloud para aprovechar vulnerabilidades como aplicaciones, APIs o sistemas de almacenamiento o respaldo.

Recomendaciones y soluciones

Para enfrentar esta amenaza se recomienda mantener sistemas operativos y software actualizados para tener los parches de seguridad más recientes, también es necesario hacer un mejor uso de los RDP que pueden representar vulnerabilidades. También se debe poner énfasis en la capacitación y concientización del personal además de adoptar modelos de segmentación de la red y cifrado de extremo a extremo.

Por su parte el sistema de nombres de dominio (DNS) puede disminuir el riesgo que representan las amenazas digitales, ya que los atacantes pueden usar dominios maliciosos para infiltrarse. Ante esto soluciones de firewall o IPS resultan inútiles, de hecho la seguridad de DNS brinda una mayor visibilidad y por lo tanto una mejor protección, en este sentido destaca la propuesta de Infoblox, BloxOne Threat Defense.

Dicha solución combina análisis avanzados basados en aprendizaje automático e inteligencia de amenazas de alta precisión, a esto se suma la integración con sistemas de Automatización y Remediación de Orquestación de Seguridad (SOAR), soluciones ITSM, escáneres de vulnerabilidades y otros ecosistemas de protección. De acuerdo con Gartner, las organizaciones también pueden aprovechar los registros DNS para usos forenses.

La entrada De acuerdo con Infoblox el ransomware evolucionó durante 2021 se publicó primero en Reseller.