De acuerdo con el Reporte de Adversarios Activos 2026, sobre ciberdelincuentes en 2025, los atacantes aprovechan contraseñas comprometidas y sistemas de autenticación multifactor (MFA) inexistentes o débiles para infiltrarse en las organizaciones.
Se observa un cambio donde el uso de credenciales robadas gana terreno frente a la explotación directa de fallas técnicas. La actividad de fuerza bruta representa ya el 15.6% de los accesos iniciales, reflejando un aprovechamiento masivo de credenciales válidas para evadir defensas perimetrales.
Velocidad de movimiento y control del sistema
El tiempo medio de permanencia entre la intrusión y su detección se redujo a solo tres días. Esta disminución responde a una mayor velocidad operativa de los atacantes y a una respuesta más ágil de los equipos de ciberdefensa que utilizan servicios de detección administrada.
Una vez que logran el acceso inicial, los atacantes tardan un promedio de solo 3.4 horas en alcanzar el servidor de Active Directory. Este movimiento ultrarrápido facilita la escalación de privilegios, permitiendo a los delincuentes tomar el control total de la infraestructura de identidad.
Evasión nocturna y puntos ciegos forenses
El ransomware mantiene un patrón operativo fuera del horario laboral, donde el 88% de las cargas maliciosas se despliega para evadir la supervisión directa de TI. Asimismo, el 79% de las acciones de robo de datos ocurre en periodos no laborales para minimizar las alertas.
La falta de telemetría suficiente sigue siendo un obstáculo crítico, con casos de registros faltantes que se duplicaron este año. Las configuraciones predeterminadas que limitan la retención de datos a pocos días impiden realizar análisis forenses profundos tras un incidente.
Fragmentación de amenazas y el mito de la IA
Se ha detectado el mayor número de grupos de amenazas activos en la historia del informe, con Akira y Qilin como las marcas de ransomware más predominantes. Esta diversificación aumenta el desafío de atribución y amplía el espectro de riesgo para todas las industrias.
Respecto a las nuevas tecnologías, no se halló evidencia de una transformación radical en los ataques impulsada por la IA. Aunque la IA generativa mejora la calidad del phishing, las organizaciones deben seguir enfocándose en proteger sus activos fundamentales de identidad.
