El Informe Anual de Amenazas de Sophos destaca vulnerabilidades críticas en dispositivos perimetrales, el aumento del robo de contraseñas por medio de nuevas técnicas de ingeniería social y la creciente explotación de fallas en VPNs y firewalls
Ciudad de México, 19 de mayo de 2025 —Sophos, líder global en ciberseguridad, publicó su Informe Anual de Amenazas 2025, en el que advierte que el ransomware sigue siendo la amenaza más significativa para las pequeñas y medianas empresas (PyMEs) en todo el mundo, incluyendo México. De acuerdo con datos de incidentes de Sophos Managed Detection and Response (MDR) y Respuesta a Incidentes (IR), el 70% de los ataques a pequeñas empresas y más del 90% de los ataques a medianas empresas durante 2024 estuvieron relacionados con ransomware o secuestro de datos.
Los dispositivos perimetrales vulnerables como VPNs, firewalls y routers se consolidaron como la vía de acceso más frecuente de los ciberatacantes, representando cerca del 30% de las intrusiones, según el informe.
“Durante los últimos años, los atacantes han apuntado agresivamente a los dispositivos perimetrales. Lo que agrava el problema es el creciente número de dispositivos que se encuentran en el final de su vida útil y, por tanto, que no reciben soporte, un fenómeno que en Sophos denominamos ‘detrito digital’. Al estar expuestos a internet y tener baja prioridad en las actualizaciones de seguridad, estos dispositivos se convierten en un método altamente efectivo para infiltrarse en las redes,” explicó Sean Gallagher, investigador principal de amenazas en Sophos.
La amenaza del ransomware sigue evolucionando. Aunque grupos como LockBit han sido desmantelados, su código filtrado sigue siendo utilizado para lanzar nuevos ataques. El ransomware remoto aumentó un 50% en 2024 respecto al año anterior, y un 141% en comparación con 2022.
El informe también destaca que los atacantes están adoptando nuevas técnicas de ingeniería social para comprometer redes empresariales:
- Quishing, usando códigos QR fraudulentos para robar credenciales.
- Vishing, engañando a las víctimas por medio de llamadas telefónicas.
- Email bombing, saturando bandejas de entrada con miles de correos en cuestión de horas.
Además, la autenticación multifactor (MFA) ya no es suficiente. Los atacantes están implementando tácticas de “adversario en el medio”, -en el que un atacante se interpone entre dos partes que se comunican, interceptando, manipulando o redirigiendo la información sin que las partes lo sepan- para capturar tokens de autenticación, lo que les permite evadir MFA y tomar control de las cuentas empresariales.
“Los atacantes ya no necesitan desarrollar malware personalizado. Pueden explotar los propios sistemas de las empresas, aumentando su agilidad y ocultándose en lugares donde los líderes de seguridad no están buscando.”, añade Gallagher.
Otros hallazgos clave del informe incluyen:
- • Las herramientas legítimas de acceso remoto fueron abusadas en 34% de los incidentes atendidos por Sophos. El abuso de herramientas legítimas de acceso remoto en 34% de los incidentes de respuesta a incidentes y MDR.
- • Los ladrones de información como Strela y Lumma estuvieron presentes en un número significativo de incidentes de robo de datos.
Finalmente, Sophos advierte sobre la presencia creciente de malware diseñado para robar información, destacando ladrones de credenciales como Strela y Lumma, detectados en casi un tercio de los incidentes.
Acerca de Sophos
Sophos es un líder global e innovador en soluciones avanzadas de seguridad para enfrentar ciberataques. En febrero de 2025, Sophos adquirió Secureworks, uniendo a dos pioneros que han redefinido la industria de la ciberseguridad con servicios y tecnologías optimizados por IA. Sophos ahora es el mayor proveedor de Detección y Respuesta Administrada (MDR), apoyando a más de 28,000 organizaciones. Además de los servicios de MDR, el portafolio completo de Sophos incluye seguridad de endpoint, red, correo electrónico y nube, que interoperan y se adaptan para defenderse a través de la plataforma Sophos Central.
Secureworks proporciona capacidades innovadoras como Taegis XDR/MDR, detección y respuesta a amenazas de identidad (ITDR), SIEM de próxima generación, gestión de riesgos y un conjunto integral de servicios de asesoría. Sophos vende estas soluciones a través de socios revendedores, Proveedores de Servicios Administrados (MSPs) y Proveedores de Servicios de Seguridad Administrada (MSSPs) en todo el mundo, protegiendo a más de 600,000 organizaciones contra delitos cibernéticos cotidianos y patrocinados por estados. Más información está disponible en www.sophos.com
