El nuevo Blue Report 2025 de Picus Security, elaborado a partir de más de 160 millones de simulaciones de ataques en entornos reales, dibuja un escenario inquietante: la efectividad media de prevención ha caído del 69% en 2024 al 62% en 2025 y, en casi la mitad de las organizaciones evaluadas, al menos una contraseña fue descifrada con éxito.
El estudio confirma que los ataques con credenciales válidas —técnica MITRE ATT&CK T1078— siguen siendo prácticamente imparables, con un índice de éxito del 98%. Además, la capacidad para frenar la exfiltración de datos se ha desplomado del 9% al 3% en un año, en un contexto marcado por el auge del ransomware de doble extorsión y el incremento del triple en el uso de infostealers.
“Debemos asumir que el adversario ya está dentro”, advierte Süleyman Ozarslan, cofundador de Picus Security y vicepresidente de Picus Labs. “Esa mentalidad obliga a detectar antes el uso indebido de credenciales válidas, contener la amenaza rápidamente y limitar el movimiento lateral. Para lograrlo, hay que validar de forma continua los controles de identidad y reforzar la detección basada en comportamiento”.
Principales brechas detectadas
El Blue Report 2025 pone de relieve que, a pesar de algunos avances en áreas específicas, persisten fallos críticos que comprometen la capacidad defensiva de las organizaciones.
- Contraseñas débiles o mal gestionadas: el 46 % de los entornos analizados presentó al menos un hash vulnerable, lo que facilita el movimiento lateral y la escalada de privilegios.
- Protección insuficiente contra el robo de datos: solo un 3 % de los intentos de exfiltración fueron bloqueados.
- Débil conversión de registros en alertas: aunque el log score se mantuvo en un 54 %, el alert score apenas subió al 14%, lo que implica que la mayoría de actividades maliciosas no genera avisos útiles para el SOC.
- Persistencia del ransomware: BlackByte sigue liderando la lista de cepas más difíciles de detener (26 % de efectividad), seguida de BabLock (34 %) y Maori (41 %).
- Técnicas de reconocimiento y evasión invisibles para las defensas: la prevención de tácticas como System Network Configuration Discovery o Execution Guardrails sigue por debajo del 12 %.
Señales positivas
No todo son malas noticias. El informe señala mejoras en la defensa frente al compromiso de cuentas de administrador de dominio: las simulaciones que alcanzaron este objetivo bajaron del 24% en 2024 al 19 % en 2025, y el acceso a dichas cuentas pasó del 40% al 22%. Según Picus, este avance responde a una mejor segmentación de red y a la adopción más extendida de prácticas de validación continua.
Para Ozarslan, el mensaje es claro: “Las defensas estáticas no son rival para amenazas que evolucionan y se adaptan. La validación adversarial debe integrarse en los programas de Continuous Threat Exposure Management para pasar de suposiciones a certezas y priorizar con confianza las acciones que realmente importan”.
