Sophos, líder mundial en soluciones de seguridad innovadoras para combatir los ciberataques, ha publicado hoy el informe Active Adversary Report 2026, que desvela que el 67% de todos los incidentes investigados por los equipos de Respuesta a Incidentes (IR) y Detección y Respuesta Gestionada (MDR) de Sophos el año pasado tuvieron su origen en ataques relacionados con la identidad.

Las conclusiones destacan cómo los atacantes siguen explotando credenciales comprometidas, la ausencia o debilidad de la autenticación multifactor (MFA) y sistemas de identidad poco protegidos, a menudo sin necesidad de emplear nuevas herramientas o técnicas:

• Cambio de vulnerabilidades explotadas hacia credenciales comprometidas, con la actividad de fuerza bruta (15,6%) casi igualando a la explotación de vulnerabilidades (16%) como método de acceso inicial.
• El tiempo medio de permanencia del atacante descendió a tres días, impulsado tanto por movimientos más rápidos de los atacantes como por una reacción más ágil de los defensores, especialmente en entornos MDR.Los atacantes llegan más rápido a ActiveDirectory(AD): una vez dentro de la organización, sólo tardan 3,4 horas en alcanzar el servidor AD.
• El ransomware sigue siendo una actividad que se produce predominantemente fuera del horario laboral: el 88% de los ataques de ransomwarey el 79% de las acciones de exfiltración de datos ocurren fuera de este horario.
• La falta de telemetría debilita la defensa: los registros ausentes por problemas de retención de datos se duplicaronfrenteal año anterior, especialmente en firewalls con retención por defecto de sólo siete días, y en algunos casos, 24 horas.

Persisten las brechas en MFA

El informe muestra un aumento continuo de los ataques basados en la identidad, incluyendo credenciales robadas, fuerza bruta y phishing. Aunque las vulnerabilidades explotadas siguen presentes, los atacantes dependen cada vez más de cuentas válidas para obtener acceso inicial, lo que les permite eludir las defensas perimetrales tradicionales. Además, en el 59% de los casos faltaba MFA, facilitando el abuso de credenciales comprometidas para entrar en la organización.

“El hallazgo más preocupante del informe lleva años gestándose: la prevalencia de las causas raíz relacionadas con la identidad para el acceso inicial exitoso. Credenciales comprometidas, ataques de fuerza bruta, phishing y otras tácticas aprovechan debilidades que no pueden resolverse sólo con parches. Las organizaciones deben adoptar un enfoque proactivo en la seguridad de la identidad”, afirma John Shier, Field CISO de Sophos y autor principal del informe.

Más grupos de amenazas, mayor riesgo

Los investigadores de Sophos han observado también un incremento en el número de grupos de amenazas activos desde que se realiza el informe, ampliando el panorama de amenazas y dificultando su atribución:

• Akira (GOLD SAHARA) yQilin(GOLD FEATHER) fueronlos gruposderansomwaremás activos, con Akira presente en el 22% de los incidentes.
• Se identificaron 51‘marcas’deransomware, incluyendo 27 recurrentes y 24 nuevas.
• Sólo cuatro marcas o técnicas-LockBit,MedusaLocker,Phobosy el abuso de BitLocker- hanpersistido de forma continua desde 2020, primer añoen el que se realizóel informe.

“La acción policial sigue causando disrupciones en el ecosistema del ransomware. Aunque LockBit sigue activo, su dominio y reputación se han visto claramente afectados. Sin embargo, esto ha dado paso a la aparición de muchos otros grupos que compiten por el liderazgo. Para los defensores, es fundamental conocer los grupos y sus TTPs para proteger mejor su organización”, continúa Shier.

La IA, expectativas frente a realidad

A pesar de las predicciones, Sophos no ha vislumbrado una transformación significativa impulsada por IA en el comportamiento de los atacantes. Si bien la IA generativa ha aumentado la velocidad y el nivel de sofisticación del phishing y la ingeniería social, aún no ha dado lugar a técnicas de ataque fundamentalmente nuevas.

“La IA añade escala y ruido, pero todavía no reemplaza a los atacantes. Aunque en el futuro la IA podría ser un acelerador, por ahora lo fundamental sigue siendo: protección sólida de la identidad, telemetría fiable y capacidad rápida de respuesta frente a incidentes”, concluye Shier.

Recomendaciones

Sophos recomienda a las organizaciones:

• Implementar MFA resistente al phishing y validar su correcta configuración.
• Reducir la exposición de la infraestructura de identidad y serviciosenInternet.
• Corregir vulnerabilidades conocidas de forma rápida, especialmente en dispositivos perimetrales.
• Garantizar la monitorización 24/7 mediante MDR o capacidades equivalentes.
• Preservar y retener los registros de seguridad para facilitar la detección e investigación rápida.

El informe Active Adversary Report 2026 de Sophos analizó 661 casos de IR y MDR gestionados entre el 1 de noviembre de 2024 y el 31 de octubre de 2025, abarcando organizaciones de 70 países y 34 sectores. Puedes leer el informe completo aquí.