A través de su informe “Sophos Active Adversary Report 2025”, Sophos analizó el comportamiento y las técnicas utilizadas en más de 400 casos de Managed Detection and Response (MDR) y de Incident Response (IR) durante el año pasado, concluyendo que los atacantes obtuvieron acceso inicial a las redes en el 56% de los casos mediante la explotación de servicios remotos externos, lo que incluye dispositivos perimetrales como firewalls y VPNs, utilizando cuentas válidas.
Las principales causas de los ataques coinciden con la combinación de servicios remotos externos y cuentas válidas. Las contraseñas comprometidas fueron –por segundo año consecutivo- la mayor causa (41% de los casos), seguidas de vulnerabilidades explotadas (21,79%) y ataques de fuerza bruta (21,07%).
Al examinar los estudios sobre MDR e IR, el grupo Sophos X-Ops se concentró en particular en incidentes de Ransomware, robo y extorsión de información para determinar con qué rapidez los delincuentes digitales progresan por las fases de un asalto dentro de una empresa.
En estos tres tipos de situaciones, el tiempo promedio transcurrido entre el comienzo del ataque y la sustracción de datos fue de solo 72,98 horas (3,04 días). Además, desde el momento del robo hasta que se identificó el ataque pasó un promedio de solamente 2,7 horas.
Como explica John Shier, CISO de campo de Sophos, “la seguridad pasiva ya no es suficiente. Si bien la prevención es fundamental, la respuesta rápida es crítica, las organizaciones deben monitorear activamente sus redes y actuar con rapidez ante la telemetría observada. Los ataques coordinados por adversarios motivados requieren una defensa coordinada. Para muchas organizaciones, esto significa combinar el conocimiento específico del negocio con la detección y respuesta lideradas por expertos. Nuestro informe confirma que las organizaciones con monitoreo proactivo detectan ataques más rápido y obtienen mejores resultados”.
Junto con determinar el rol de los servicios remotos externos en la seguridad, el informe Sophos Active Adversary 2025 llegó a otras conclusiones clave, como las siguientes:
• Los intrusos tienen la capacidad de dominar un sistema en apenas 11 horas: El intervalo promedio que transcurre desde la acción inicial de los intrusos hasta su primer intento (que frecuentemente es exitoso) de vulnerar el Active Directory (AD), uno de los elementos más esenciales en cualquier red de Windows, fue únicamente de 11 horas. Si logran hacerlo, los atacantes pueden apoderarse de la organización con mayor simplicidad.
• El grupo de Ransomware más frecuente en 2024 fue Akira, seguido de Fog y LockBit (pese a una intervención gubernamental contra LockBit a principios de año).
• En términos generales, el periodo de permanencia —el lapso desde que comienza un ataque hasta que se identifica—se redujo de cuatro a solamente dos días en 2024, principalmente gracias a la incorporación de los casos de MDR en el estudio.
• El tiempo de permanencia en casos de IR se mantuvo estable en cuatro días para ataques de Ransomware y 11.5 días en casos sin ransomware.
• En estudios de MDR, el tiempo de permanencia fue únicamente de tres días en situaciones de Ransomware y solo un día en incidentes sin Ransomware, lo que indica que los equipos de MDR son capaces de identificar y reaccionar a los ataques de manera más rápida.
• Los grupos de Ransomware se cobijan en la noche: El 83% de los binarios de Ransomware del año pasado se desplegaron fuera del horario laboral de las víctimas.
• El Remote Desktop Protocol (RDP) sigue a la cabeza, involucrado en el 84% de los casos de MDR/IR, siendo la herramienta de Microsoft más utilizada por los delincuentes.
Desde Sophos recomiendan a las empresas tomar las siguientes medidas para reforzar la seguridad de sus servicios remotos expuestos:
• Cerrar los puertos RDP expuestos.
• Emplear autenticación multifactor (MFA) resistente a phishing siempre que sea posible.
• Parchar los sistemas vulnerables oportunamente, especialmente a los dispositivos y servicios expuestos a Internet.
• Implementar EDR o MDR y establecer un monitoreo proactivo 24/7. • Instaurar un plan integral de respuesta a incidentes y probarlo constantemente a través de simulaciones o ejercicios.
