En el entorno digital actual, los ciberdelincuentes han perfeccionado sus métodos para acceder a la información confidencial de las empresas. Uno de los hallazgos más preocupantes es que, en muchos casos, no necesitan forzar su entrada. Según el informe Sophos Active Adversary Report 2025, en el 41% de los más de 400 casos analizados a nivel mundial durante el último año, los atacantes ingresaron a las redes empresariales utilizando credenciales válidas obtenidas previamente.
Estos accesos se logran principalmente a través de campañas dirigidas a empleados, quienes son víctimas de técnicas como el phishing o la ingeniería social. Una vez dentro de la red, los atacantes actúan con rapidez: tardan en promedio 72.98 horas (poco más de tres días) en localizar y extraer información sensible.
Además de las credenciales robadas, otras vías de acceso comunes incluyen la explotación de vulnerabilidades del sistema (21.79% de los casos) y los ataques de fuerza bruta, que tienen una incidencia similar.
El informe también resalta el protagonismo del ransomware como técnica de ataque. Este tipo de software malicioso no sólo cifra datos para pedir un rescate, sino que también permite la extracción de información y extorsión. De hecho, el 83% de los ataques de ransomware se desplegaron fuera del horario laboral, una estrategia que busca reducir la probabilidad de ser detectados en tiempo real.
Aunque muchos ataques se completan rápidamente, Sophos encontró que los delincuentes pueden mantenerse hasta 11.5 días dentro de la red en ataques que no involucran ransomware, aprovechando su discreción para robar datos sin ser descubiertos.
Durante 2024, los principales grupos responsables de estos ataques fueron Akira, Fog y LockBit, a pesar de que este último fue afectado por una operación internacional a comienzos del año.
Frente a este panorama, John Shier, director de seguridad de la información de campo en Sophos, advierte que la seguridad pasiva ya no es suficiente. La clave para minimizar riesgos es el monitoreo activo y la capacidad de respuesta inmediata. Las organizaciones deben estar preparadas para detectar actividades sospechosas en tiempo real y reaccionar con agilidad para evitar que los atacantes logren sus objetivos.
