Según el último informe Sophos Active Adversary Report, seis de cada diez organizaciones atacadas durante 2023 (el 63 %) no tenían habilitada la autenticación multifactor (MFA), una cifra que casi triplica la del año anterior. Esto pone de manifiesto que la seguridad básica sigue fallando, y que el enfoque debe cambiar cuanto antes.
Se trata de algo especialmente relevante en el caso de las pymes, que constituyen el 99 % del tejido empresarial en España. Y que también se han convertido en blanco recurrente de los ciberdelincuentes por su menor capacidad de defensa. El 32 % de los 100.000 incidentes de ciberseguridad gestionados en España en 2024 por INCIBE-CERT afectaron a empresas, en su inmensa mayoría pymes.
El informe de Sophos también desvela que, por segundo año consecutivo, las credenciales comprometidas fueron la causa principal de los ataques (41 %), la mayoría de ellos ejecutados mediante servicios remotos externos como firewalls, VPNs y remote help desks. De hecho, en el 79 % de los ataques en los que se usaron estos servicios, se explotaron credenciales robadas.
Habilitar la autenticación multifactor reduce drásticamente este vector de ataque. Sin embargo, muchas pymes siguen viendo MFA como un inconveniente del que pueden presidir. Nada más lejos de la realidad: sin MFA, incluso un único clic en un correo de phishing podría suponer el colapso total de la organización.
Adiós al robo de contraseñas
El siguiente paso natural es dejar atrás las contraseñas. Las soluciones passwordless, como autenticación biométrica, claves de seguridad o dispositivos de confianza, eliminan de raíz uno de los recursos más explotados por los atacantes: el robo de contraseñas.
Adoptar estas tecnologías no sólo reduce el riesgo de ataque, sino que mejora la experiencia del usuario y elimina la necesidad de recordar (o anotar) contraseñas. Las pymes que han empezado esta transición afirman lograr una mayor eficiencia, sufrir menos incidencias y disfrutar de una mayor tranquilidad operativa.
Aun así, cuando un ataque tiene éxito, los ciber-delincuentes pueden tardar tan sólo 3 días en exfiltrar los datos corporativos. Y si logran comprometer el Directorio Activo, el control completo del sistema puede llegar en apenas 11 horas. Además, el 84 % de los ataques con ransomware se ejecutaron fuera del horario laboral, cuando las defensas suelen estar menos atentas.
Seguridad activa, no reactiva
Este panorama exige una respuesta constante. Las pymes, por sí solas, no pueden responder de manera continua. Por ello, cada vez confían más en servicios de MDR (detección y respuesta gestionadas), que facilitan una supervisión y acción ininterrumpida a través de proveedores de servicios gestionados (MSPs). Gracias a los servicios MDR, el tiempo medio de detección de ataques en 2024 se redujo a sólo dos días, frente a los cuatro días del año anterior.
Los datos lo dejan claro: la mayoría de las empresas atacadas durante el pasado año no contaban con autenticación multifactor, y casi todas sufrieron intentos de intrusión. La inversión en una solución de MFA es mínima comparada con el coste económico y reputacional de un ciberataque. Además, adoptar herramientas de descubrimiento de activos permite identificar los dispositivos sin protección y cerrar esas brechas invisibles.
En Sophos creemos que la ciberseguridad debe ser intuitiva, escalable y adaptada a las amenazas reales. Con MFA y passwordless, tenemos dos herramientas clave para superar la seguridad pasiva. Pymes y MSPs deben adoptar una postura activa, preventiva y resiliente frente a las amenazas, que comienza por lo más básico: cerrar la puerta con llave y tirar la llave digital.
Scott Tyson
Director de ventas de Canal para EMEA en Sophos
