Los informes anuales de ciberseguridad tienen un problema recurrente, anuncian revoluciones que no llegan. El Sophos Active Adversary Report 2026 es diferente, no porque sus hallazgos sean sorprendentes, sino porque son exactamente los mismos de hace tres años. Y eso precisamente, es lo que lo hace alarmante. Los adversarios activos no necesitan inteligencia artificial avanzada cuando nuestras defensas siguen fallando en lo más básico. La identidad es el campo de batalla. Y estamos perdiendo por errores no forzados.

¿Qué ha cambiado realmente en el panorama de ataques?

Seamos claros: la IA generativa no transformó el panorama de amenazas de la manera en que el marketing prometió. Sophos revisó 661 casos de incidentes gestionados entre noviembre de 2024 y octubre de 2025 el año con mayor carga de trabajo en la historia del equipo y la conclusión es contundente, los atacantes usaron las mismas herramientas, las mismas tácticas y los mismos procedimientos de siempre.

Sí, el phishing mejoró. La IA generativa eliminó los errores gramaticales que antes servían de señal de alerta y la combinación de generación de texto e imagen hace que la suplantación de marca sea trivial.

Sophos documentó un único caso verificado e incontrovertible de uso de IA por un atacante en todo el año: un deepfake enviado por redes sociales. El victim lo reportó al SOC de inmediato. Un punto para los humanos.

Sin embargo, el verdadero cambio consolidado y alarmante es otro. El 67.32% de los ataques tuvieron como causa raíz la identidad comprometida. Credenciales robadas, fuerza bruta, phishing, robo de tokens de sesión. Los adversarios no están rompiendo muros; están usando la llave. Este giro desplaza el foco de la gestión de parches que sigue siendo crítica hacia un problema estructuralmente diferente: la gestión del acceso y la identidad.

La anatomía de un acceso comprometido: cuando la MFA no alcanza

La autenticación multifactor (MFA) se promovió durante años como la solución definitiva al robo de credenciales. En 59.46% de los incidentes investigados por Sophos en 2025, la MFA estaba ausente o mal configurada. Ese número bajó desde el 64% del año anterior, lo que indica progreso. Insuficiente, pero progreso.

El problema más profundo es que los adversarios modernos no intentan romper la MFA: la sortean. Un caso gestionado por el equipo MDR de Sophos ilustra este mecanismo con precisión quirúrgica.

La cadena de ataque comenzó con un correo enviado desde una cuenta externa legítima de Dropbox, suplantando a un empleado de confianza y compartiendo un PDF malicioso. El enlace conducía a una página de login falsa operando como proxy adversario-en-el-medio (AiTM) mediante el kit FlowerStorm. La víctima ingresó sus credenciales y, segundos después, aprobó una notificación push de MFA generada por el atacante. El proxy capturó las credenciales y el token de sesión resultante. Acceso concedido, sin necesidad de volver a autenticarse.

Desde esa posición, el atacante repitió la operación. Usó la cuenta comprometida para lanzar una segunda ola de phishing desde la dirección interna de la víctima, embebiendo su nombre de usuario en la URL de FlowerStorm para reforzar la ilusión de legitimidad. Una semana después, una tercera ola fue posible porque el token de sesión inicial seguía vigente. El tiempo de vida por defecto de los tokens en Microsoft Entra ID es de 90 días. Una ventana de persistencia que los atacantes explotan en silencio.

El resultado: más de un quinto de los empleados de la organización fue afectado por al menos una de las tres olas. El ataque fue detenido por el equipo MDR antes de escalar, pero el daño colateral ya estaba hecho.

Velocidad adversaria versus visibilidad defensiva

Una vez dentro, los adversarios se mueven rápido. El tiempo medio para intentar acceder a un servidor de Active Directory (AD) cayó un 70% respecto al año anterior: 3.4 horas desde el acceso inicial. En contrapartida, el tiempo entre ese intento y su detección aumentó un 16%. La brecha se agranda.

Lo que agrava esta asimetría no es la sofisticación del ataque. Es la ausencia de telemetría. Muchas organizaciones configuran periodos de retención de logs ridículamente cortos para reducir costes de almacenamiento. Los registros de firewall con retención de siete días o en algunos casos 24 horas, el valor por defecto de ciertos appliances son inútiles para una investigación de respuesta a incidentes que típicamente comienza semanas después del compromiso. En el reporte de Sophos, los problemas de retención de logs se duplicaron respecto al año anterior.

Esto no es una limitación técnica inevitable. Es una decisión activa de aceptar un riesgo inmanejable. Sin datos, cualquier solución de Managed Detection and Response (MDR) opera a ciegas. El socio más capaz del mercado no puede detectar lo que no tiene visibilidad para ver.

Impacket, el framework de herramientas de red que requiere Python para ejecutarse, representó el 36.01% de todas las herramientas observadas en los casos de 2025, con un incremento de uso del 83% respecto a 2024. Esto no es un detalle menor. Python está presente en casi cualquier entorno, pero en la mayoría de estaciones de trabajo no tiene ninguna razón de negocio para estar ahí. Bloquearlo en endpoints no-desarrollo es un control preventivo de bajo costo y alto impacto. Sophos lo dice sin rodeos: bloquea Python hoy y agradécelo después.

Un marco de defensa para adversarios activos: MFA, logs y MDR que funcionan

La defensa efectiva no requiere herramientas esotéricas. Requiere ejecución disciplinada de fundamentos que ya conocemos. A partir del análisis del reporte y de los patrones de ataque documentados, el marco de respuesta debe priorizar cuatro dominios:

• MFA resistente al phishing: No basta con tener MFA activada. Es necesario implementar estándares como FIDO2 o autenticación sin contraseña, siguiendo las directrices del NIST sobre identidad digital. Además, reducir el tiempo de vida de los tokens de sesión y forzar reautenticación para acciones críticas elimina la ventana que explotan los ataques de replay como FlowerStorm.
• Visibilidad como inversión, no como gasto: Los logs de autenticación, firewall, EDR y DNS deben centralizarse y retenerse mínimo 90 días, idealmente un año. Sin esta base, la detección es reactiva en el peor sentido: incapaz de reconstruir qué ocurrió.
• Bloqueo proactivo de herramientas no necesarias: Si Python no es requerido en el 99% de las estaciones de trabajo, su ejecución debe bloquearse por defecto. Este control habría reducido significativamente el impacto del crecimiento de Impacket. La estrategia de aplicar un modelo de Zero Trust para la ejecución de aplicaciones no es opcional en entornos donde el LOTL es el vector dominante.
• MDR sobre una base sólida: Un servicio MDR es tan efectivo como los datos que recibe. Antes de externalizar la detección, la organización debe tener su propia casa en orden. El MDR amplifica la capacidad defensiva; no compensa su ausencia.

Conclusión: La tecnología no compensa la negligencia estratégica

El reporte de adversarios activos de Sophos 2026 documenta victorias parciales el tiempo de permanencia (dwell time) se estabilizó en una mediana de tres días, el uso externo de RDP cayó a la mitad pero el patrón dominante persiste sin cambio significativo. Los adversarios no necesitan reinventar su manual porque ese manual sigue funcionando.

La defensa en ciberseguridad es un ejercicio de gestión de riesgos, no de adquisición de tecnología. Mientras se permitan configuraciones débiles de MFA, políticas de retención de logs que dejan a los equipos de IR sin material con qué trabajar, y una gestión laxa de identidades, los atacantes seguirán ganando con un playbook predecible y antiguo. La solución no está en la próxima herramienta de IA. Está en la ejecución rigurosa de los principios que el sector lleva una década documentando.