Las empresas están enfrentando una nueva realidad en ciberseguridad: los atacantes ya no necesitan vulnerar sistemas complejos para ingresar a una organización. En muchos casos, simplemente inician sesión.
Así lo revela Sophos, líder global en soluciones de seguridad innovadoras para combatir ciberataques, en su más reciente estudio Active Adversary Report 2026, que analizó 661 incidentes reales investigados en organizaciones de 70 países. El informe encontró que el 67% de los ataques tuvo origen en compromisos de identidad, principalmente mediante contraseñas robadas, configuraciones débiles de autenticación multifactor (MFA) o controles insuficientes sobre accesos corporativos.
El cambio es relevante para las áreas de tecnología y negocio porque demuestra que el riesgo ya no se concentra únicamente en fallas técnicas, sino en la gestión del acceso digital dentro de las compañías.
Según el estudio, una vez dentro de una red corporativa, un atacante puede alcanzar sistemas críticos como Active Directory en apenas 3,4 horas, reduciendo significativamente la ventana de reacción de los equipos de seguridad.
Para John Shier, autor principal del informe, el problema lleva años desarrollándose silenciosamente. “El hallazgo más preocupante del informe en realidad lleva años gestándose: el predominio de causas raíz relacionadas con la identidad para lograr un acceso inicial exitoso. Contraseñas comprometidas, ataques de fuerza bruta, phishing y otras tácticas aprovechan debilidades que no pueden resolverse con simple disciplina en poner parches. Las organizaciones deben adoptar un enfoque proactivo hacia la seguridad de la identidad”, explicó.
De la prevención a la resiliencia operativa
Más allá del crecimiento de grupos criminales y del ransomware, que continúa ejecutándose mayoritariamente fuera del horario laboral, el informe destaca que muchas organizaciones siguen teniendo brechas básicas que facilitan los ataques.
Uno de los hallazgos más críticos fue el aumento en la falta de registros de seguridad disponibles para investigación, en parte debido a configuraciones de retención demasiado cortas en dispositivos clave como firewalls.
En este contexto, Sophos plantea que la defensa empresarial debe evolucionar hacia un modelo de monitoreo continuo y protección de identidad.
Cinco acciones clave para reducir el riesgo empresarial
Con base en los incidentes analizados, el informe identifica cinco medidas prioritarias que las organizaciones deberían implementar de manera inmediata:
1. Implementar MFA resistente al phishing
No basta con activar autenticación multifactor; las empresas deben validar que sus configuraciones no puedan ser fácilmente evadidas mediante ingeniería social.
2. Reducir la exposición de sistemas de identidad
Limitar accesos innecesarios desde internet y proteger servicios críticos disminuye significativamente las oportunidades de intrusión.
3. Aplicar parches con mayor velocidad
Especialmente en infraestructura perimetral, donde los atacantes suelen buscar puntos de entrada inicial.
4. Mantener monitoreo de seguridad 24/7
El reporte muestra que una respuesta temprana reduce el tiempo de permanencia de los atacantes dentro de las redes corporativas.
5. Conservar registros de seguridad suficientes
La telemetría adecuada permite detectar comportamientos anómalos y acelerar investigaciones cuando ocurre un incidente.
La IA aún no cambia las reglas del juego
Aunque existe alta expectativa sobre el uso de inteligencia artificial por parte de los ciberdelincuentes, Sophos concluye que, por ahora, la IA está aumentando la escala del phishing y la ingeniería social, pero no ha transformado de forma radical las técnicas de ataque.
El mensaje para las empresas es claro: la protección de identidad y la visibilidad operativa siguen siendo las defensas más efectivas frente al cibercrimen actual.
El Sophos Active Adversary Report 2026 analizó 661 casos de IR y MDR atendidos entre el 1 de noviembre de 2024 y el 31 de octubre de 2025, abarcando organizaciones en 70 países y 34 industrias.
Fuente: www.sophos.com
