Seguridad de identidad: El eslabón débil que costó millones a las empresas en 2025

Ciudad de México, 27 de febrero de 2026.

Los ataques relacionados con la identidad se consolidaron como la principal puerta de entrada para los ciberdelincuentes en 2025, al estar detrás del 67% de los incidentes investigados a nivel global, de acuerdo con el Reporte de Adversarios Activos 2026 elaborado por Sophos.

El informe señala que los atacantes continúan aprovechando contraseñas comprometidas, esquemas de autenticación multifactor (MFA) débiles o inexistentes y sistemas de identidad insuficientemente protegidos, muchas veces sin necesidad de implementar nuevas herramientas o técnicas avanzadas.

Entre los principales hallazgos del informe destacan los siguientes puntos:

• Se observa un cambio en los vectores de acceso inicial, donde el uso de contraseñas comprometidas gana terreno frente a la explotación directa de vulnerabilidades.
• La actividad de fuerza bruta representa ya el 15.6% de los accesos iniciales, prácticamente al nivel de la explotación de fallas técnicas (16%).
• El tiempo medio de permanencia —es decir, el lapso entre la intrusión y su detección— se redujo a tres días. Esta disminución responde a una mayor velocidad operativa de los atacantes y a una capacidad de respuesta más ágil por parte de los equipos de ciberdefensa.
• Una vez que logran acceso, los atacantes tardan en promedio solo 3.4 horas en alcanzar el servidor de Active Directory (AD). Este movimiento rápido facilita la escalación de privilegios.
• El ransomware mantiene un patrón operativo fuera del horario laboral: el 88% de las cargas maliciosas se despliega en horas no laborales y el 79% de las acciones de robo de datos ocurre en ese mismo periodo.
• La falta de telemetría continúa siendo un punto crítico, ya que los casos con registros faltantes por problemas de retención de datos se duplicaron frente al año anterior.

La caída de la MFA y el auge de nuevas amenazas

El informe muestra un aumento continuo en ataques originados en el compromiso de identidad, incluyendo contraseñas robadas, actividad de fuerza bruta y phishing. Si bien la explotación de vulnerabilidades sigue siendo un factor, los atacantes dependen cada vez más de cuentas válidas para obtener acceso inicial. También se observó falta de MFA en 59% de los casos.

“El hallazgo más preocupante del informe en realidad lleva años gestándose: el predominio de causas raíz relacionadas con la identidad para lograr un acceso inicial exitoso. Contraseñas comprometidas, ataques de fuerza bruta, phishing y otras tácticas aprovechan debilidades que no pueden resolverse con simple disciplina en poner parches”, dijo John Shier, Field CISO y autor principal del informe de Sophos.

Por otro lado, los investigadores observaron el mayor número de grupos de amenazas activos registrado en la historia del informe. Akira y Qilin fueron las marcas de ransomware más activas observadas, con Akira dominando en 22% de los incidentes. Solo cuatro marcas o técnicas —LockBit, MedusaLocker, Phobos y el abuso de BitLocker— han persistido de manera continua desde 2020.

“La acción de las fuerzas del orden continúa causando disrupción en el ecosistema de ransomware. Aunque todavía vemos actividad de LockBit, el dominio y la reputación que alguna vez tuvo claramente se han visto impactados. Sin embargo, esto significa que estamos viendo una oleada de otros grupos compitiendo por el dominio”, continuó Shier.

El hype de la IA vs. la Realidad

A pesar de las predicciones generalizadas, Sophos no encontró evidencia de una transformación significativa impulsada por Inteligencia Artificial (IA) en el comportamiento de los atacantes. Si bien la IA generativa ha incrementado la velocidad y el “pulido” del phishing y la ingeniería social, todavía no ha producido técnicas de ataque fundamentalmente nuevas.

“La IA está añadiendo escala y ruido, pero todavía no está reemplazando a los atacantes. Si bien en el futuro la GenAI podría ser el siguiente acelerador, por ahora lo fundamental sigue importando: una sólida protección de identidad y telemetría confiable”, agregó Shier.

Con base en estos hallazgos, los expertos en ciberseguridad recomiendan desplegar MFA resistente al phishing, reducir la exposición de la infraestructura de identidad, aplicar parches de vulnerabilidades con rapidez y asegurar un monitoreo 24/7.