Robo de credenciales y ataques rápidos: el gran riesgo en 2024

Los ciberdelincuentes han encontrado en el robo de credenciales una de sus tácticas más efectivas. Y es que, el número de empresas atacadas que no tenían activada la autenticación multifactor (MFA) se disparó del 22% en 2022 al 63% en 2024. Este aumento está directamente relacionado con el hecho de que las credenciales comprometidas fueron la principal causa de ataques en el 41% de los casos por segundo año consecutivo.

Así lo destaca el informe «Active Adversary Report 2025» de Sophos, donde también se revela que en el 71% de los incidentes analizados, los atacantes accedieron a las redes empresariales a través de servicios remotos externos como firewalls y VPN, y en el 79% de estos casos utilizaron credenciales comprometidas para lograrlo.

Además de la facilidad con la que los atacantes logran infiltrarse en las redes, preocupa la rapidez con la que pueden avanzar dentro de una organización. En los casos de ransomware, exfiltración y extorsión de datos, el tiempo medio entre la intrusión inicial y la filtración de información fue de solo 72,98 horas (poco más de tres días). Aún más alarmante es el hecho de que el tiempo promedio desde la exfiltración hasta la detección del ataque fue de apenas 2,7 horas, dejando a las empresas con una ventana de reacción extremadamente reducida.

John Shier, Field CISO de Sophos, enfatiza la importancia de una vigilancia activa: «La seguridad pasiva ya no es suficiente. Aunque la prevención es esencial, la respuesta rápida es fundamental. Las empresas deben vigilar activamente las redes y actuar con rapidez ante la telemetría observada. Los ataques coordinados de adversarios motivados exigen una defensa coordinada. Para muchas empresas, esto significa combinar el conocimiento específico del negocio con la detección y la respuesta dirigidas por expertos».

Las credenciales comprometidas fueron la causa principal de los ataques (en el 41 % de los casos) por segundo año consecutivo

Sophos Active Adversary Report 2025: Robo de credenciales

Otras conclusiones destacadas del «Active Adversary Report 2025» incluyen:

• Compromiso rápido del sistema: Los ciberdelincuentes pueden hacerse con el control de un sistema en solo 11 horas. Este es el tiempo medio entre la acción inicial de los atacantes y su primer intento (a menudo exitoso) de quebrantar el Directorio Activo (AD), uno de los activos más importantes de cualquier red Windows.
• Grupos de ransomware predominantes: Akira fue el grupo de ransomware más frecuentemente encontrado en 2024, seguido de Fog y LockBit, este último a pesar de su desmantelamiento por parte del gobierno a principios de año.
• Reducción del tiempo de permanencia: El tiempo de permanencia, es decir, el tiempo que transcurre desde el inicio de un ataque hasta que se detecta, disminuyó de 4 días a solo 2 en 2024. Esta reducción se atribuye en gran medida a la incorporación de casos de MDR al conjunto de datos.
• Tiempo de permanencia en casos de IR: El tiempo de permanencia se mantuvo estable en 4 días para los ataques de ransomware y en 11,5 días para los casos en los que no se había detectado dicho ciberataque.
• Tiempo de permanencia en casos de MDR: En las investigaciones de MDR, el tiempo de permanencia fue de solo 3 días para los casos de ransomware y de solo 1 día para los casos en los que no existía actividad de ransomware, lo que sugiere que los equipos de MDR son capaces de detectar y responder más rápidamente a los ataques.
• Horarios de ataque de los grupos de ransomware: En 2024, el 84% de los archivos binarios de ransomware se lanzaron fuera del horario laboral local de los objetivos, indicando una preferencia por atacar durante la noche.
• Abuso del Protocolo de Escritorio Remoto (RDP): El RDP estuvo implicado en el 84% de los casos de servicios gestionados de detección y respuesta (MDR)/respuesta a incidentes (IR), lo que lo convierte en la herramienta de Microsoft de la que más se abusa.

El informe también señala un aumento significativo en el abuso de aplicaciones de confianza por parte de los atacantes. En comparación con 2023, se observó un incremento del 51% en el uso de binarios «living off the land» (LOLBins). Desde 2021, este aumento ha sido del 83%. Entre los 187 LOLBins únicos de Microsoft detectados en la primera mitad del año, la aplicación más abusada fue el Protocolo de Escritorio Remoto (RDP). De los casi 200 casos de IR analizados, los atacantes abusaron de RDP en el 89% de ellos.

Estos hallazgos resaltan la necesidad crítica de que las organizaciones implementen medidas de seguridad proactivas y robustas, como la autenticación multifactor y la supervisión continua de la red, para detectar y responder rápidamente a las amenazas emergentes.