La velocidad de los ataques se acelera: los ciberdelincuentes tardan solo 3 días en exfiltrar datos y 11 horas en comprometer el Directorio Activo

El último informe de Sophos Active Adversary 2025 confirma una tendencia preocupante: el 63 % de las organizaciones ciberatacadas en 2024 no tenían activada la autenticación multifactor (MFA). Esta cifra casi triplica el porcentaje registrado en 2022 (22 %) y se alinea con el hecho de que las credenciales comprometidas fueron la causa más común de los ataques (41 % de los casos) por segundo año consecutivo.

El estudio, basado en más de 400 casos analizados por los servicios de respuesta a incidentes (IR) y detección y respuesta gestionadas (MDR) de Sophos, subraya cómo la falta de medidas básicas de seguridad sigue siendo un factor decisivo en el éxito de los ciberataques.

Los ataques ya no esperan

El tiempo medio que tarda un atacante en exfiltrar datos confidenciales desde que accede a una red es de tan solo 72 horas. En ese mismo plazo, muchos casos de ransomware y extorsión ya han tenido lugar. Además, el tiempo entre la filtración y la detección se reduce a unas 2,7 horas, lo que demuestra lo difícil que resulta reaccionar una vez el ataque ha comenzado.

“Las empresas deben pasar de una seguridad pasiva a una defensa activa y coordinada”, advierte John Shier, Field CISO de Sophos. “La combinación de supervisión proactiva y respuesta experta marca la diferencia en el resultado final de un ataque.”

Otros hallazgos clave del informe:

• El 71 % de los accesos iniciales se produce a través de servicios remotos externos como VPNs o firewalls expuestos. De ellos, el 79 % se debió al uso de credenciales comprometidas.
• Los atacantes tardan solo 11 horas de media en comprometer el Directorio Activo, facilitando el control total de la red interna.
• El grupo de ransomware Akira fue el más activo en 2024, seguido por Fog y LockBit, este último pese a su desmantelamiento parcial.
• El tiempo de permanencia medio cayó a 2 días, gracias al auge de los servicios MDR, que permitieron detectar amenazas mucho antes que los métodos tradicionales.
• El 84 % de los ataques con ransomware se ejecutaron fuera del horario laboral de las víctimas, aprovechando la menor vigilancia.
• El protocolo RDP de Microsoft sigue siendo el más explotado por los atacantes, presente en el 84 % de los casos.

MFA: la defensa olvidada

Uno de los datos más alarmantes del informe es que en 2024, el 66 % de las organizaciones sin MDR y el 62 % de las que sí lo tenían no contaban con MFA habilitado. Este fallo básico de configuración demuestra que, aunque las herramientas de detección avanzan, muchos entornos siguen sin aplicar defensas fundamentales.

La carencia de MFA, sumada a la presencia de sistemas sin protección, VPNs vulnerables o dispositivos fuera de soporte, sitúa a muchas empresas en un estado de exposición crítica. Y aunque el uso de herramientas como Impacket y técnicas como el movimiento lateral han aumentado, el 47 % de los entornos analizados no disponía de logs completos, dificultando enormemente las investigaciones.

Conclusión: no basta con herramientas, hace falta estrategia

El informe de Sophos pone de manifiesto que las organizaciones que combinan prevención, detección activa y respuestas rápidas tienen mejores resultados frente a ataques cada vez más sofisticados y rápidos. La ausencia de MFA y otras medidas esenciales sigue siendo una vulnerabilidad común y evitable.

“Los cibercriminales no duermen, y los datos lo prueban: tres días bastan para robar tu información y encriptar tu sistema. La ciberseguridad hoy no es opcional, es una cuestión de supervivencia empresarial”, concluye Shier.

El informe completo «It Takes Two: The 2025 Sophos Active Adversary Report» puede consultarse en Sophos.com.