Los ataques relacionados con la identidad causan 2 de cada 3 incidentes de seguridad
La mayoría de los incidentes de seguridad cibernética tienen que ver con ataques vinculados a la identidad.
Así se desprende del informe Active Adversary Report 2026 de Sophos. El estudio especifica que un 67 % de los incidentes analizados el año pasado por los equipos de Respuesta a Incidentes y de Detección y Respuesta Gestionada de la compañía británica de seguridad tuvo ese origen.
Entre las principales brechas se encuentran el robo de credenciales, los ataques de fuerza bruta y el phishing.
La explotación de vulnerabilidades también es un factor de riesgo, aunque los ciberdelincuentes dependen cada vez más de cuentas válidas para realizar el acceso inicial y evitar su detección.
De hecho, la actividad de fuerza bruta (15,6 %) iguala prácticamente a la explotación de vulnerabilidades (16 %) como método de acceso.
Sophos desvela que, en 6 de cada 10 casos no existe autenticación multifactor, lo que termina facilitando el abuso de contraseñas comprometidas.
“El hallazgo más preocupante del informe lleva años gestándose”, comenta John Shier, Field CISO de la firma y autor principal del informe, sobre “la prevalencia de las causas raíz relacionadas con la identidad para el acceso inicial exitoso”.
“Credenciales comprometidas, ataques de fuerza bruta, phishing y otras tácticas aprovechan debilidades que no pueden resolverse sólo con parches”, señala Shier.
En este sentido, “las organizaciones deben adoptar un enfoque proactivo en la seguridad de la identidad” para protegerse.
Sophos advierte sobre la falta de telemetría de datos. Los registros ausentes por problemas de retención se han multiplicado por dos en un año.
También se sabe que el ransomware sigue estando presente. Esta amenaza azota sobre todo fuera del horario laboral, que es cuando ocurre un 88 % de los ataques de este tipo de malware y el 79 % de las acciones de exfiltración.
Durante el periodo investigado, la marca identificó más de medio centenar de “marcas” de ransomware. Akira y Qilin fueron los grupos más activos. Akira, por sí sola, está presente en casi una cuarta parte de los incidentes.
“La acción policial sigue causando disrupciones en el ecosistema del ransomware. Aunque LockBit sigue activo, su dominio y reputación se han visto claramente afectados. Sin embargo, esto ha dado paso a la aparición de muchos otros grupos que compiten por el liderazgo”, cuenta John Shier.
“Para los defensores”, dice, “es fundamental conocer los grupos y sus TTPs para proteger mejor su organización”.
En cuanto al uso de la inteligencia artificial (IA) por parte de los ciberdelincuentes, Shier opina que “añade escala y ruido, pero todavía no reemplaza a los atacantes”.
“Aunque en el futuro la IA podría ser un acelerador, por ahora lo fundamental sigue siendo: protección sólida de la identidad, telemetría fiable y capacidad rápida de respuesta frente a incidentes”, concluye.
(silicon.es)
Seguiremos brindándote más información sobre este tema en las siguientes presentaciones físicas y digitales de Channel News Perú
Mantente conectado a nuestra plataforma de negocios y revista, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario
