Picus Security halla que el 46% de las contraseñas empresariales son vulnerables a ser descifradas, el doble que en 2024

SAN FRANCISCO, Aug. 11, 2025 (GLOBE NEWSWIRE) -- Picus Security, la empresa líder en validación de seguridad, publicó hoy el Blue Report™ 2025, basado en más de 160 millones de simulaciones de ataques en entornos de producción reales y en vivo. Ahora en su tercer año, el informe ofrece una evaluación basada en datos sobre el desempeño de los controles de seguridad frente a las amenazas actuales, y los hallazgos de este año son los más preocupantes hasta la fecha.

Mientras los ciberataques aumentan en volumen y en sofisticación, la efectividad defensiva está disminuyendo. Los datos de este año pintan un panorama particularmente sombrío: En el 46% de los entornos, se descifró al menos un hash de contraseña con éxito, y los intentos de exfiltración de datos solo se detuvieron el 3% de las veces, frente al 9% en 2024. Combinadas, estas tendencias muestran lo rápido que una sola credencial comprometida puede abrir la puerta al movimiento lateral y al robo masivo de datos. Con el malware infostealer triplicando su prevalencia y los atacantes eludiendo cada vez más las defensas utilizando inicios de sesión válidos, las organizaciones enfrentan un riesgo cada vez mayor de amenazas persistentes y casi invisibles.

"Debemos operar bajo el supuesto de que los adversarios ya tienen acceso", dijo el Dr. Süleyman Ozarslan, cofundador de Picus Security y vicepresidente de Picus Labs. "Una mentalidad de ‘asumir violación’ empuja a las organizaciones a detectar el uso indebido de credenciales válidas más rápido, contener las amenazas rápidamente y limitar el movimiento lateral, lo que requiere la validación continua de los controles de identidad y una detección de comportamiento más sólida".

Hallazgos principales:

• Contraseñas descifradas en casi la mitad de los entornos: En el 46% de los entornos probados, se descifró al menos un hash de contraseña, en comparación con el 25% en 2024, lo que evidencia la continua dependencia de políticas de contraseñas débiles u desactualizadas.
• Credenciales robadas prácticamente imparables: Los ataques con credenciales válidas tuvieron éxito el 98% de las veces, lo que hace que técnicas como las cuentas válidas (MITRE ATT&CK T1078) sean una de las formas más confiables de evadir las defensas sin ser detectadas.
• Prevención de exfiltración de datos casi nula: Solo el 3% de los intentos de robo de datos fueron bloqueados, tres veces más que en 2024, incluso cuando los operadores de ransomware y los infostealers intensificaron los ataques de doble extorsión.
• El ransomware sigue siendo una gran preocupación: BlackByte continúa siendo la variante más difícil de prevenir, con una tasa de efectividad de prevención de solo el 26%. BabLock y Maori le siguieron con un 34% y un 41%, respectivamente.
• Detección temprana, un punto ciego significativo: Las técnicas de descubrimiento, como el descubrimiento de configuración de red del sistema y el descubrimiento de procesos, obtuvieron menos del 12% en efectividad de prevención, exponiendo fallas en los esfuerzos de detección.
  
  

El Blue Report 2025 también revela que la efectividad de la prevención disminuyó del 69% en 2024 al 62% en 2025, revirtiendo las ganancias del año pasado. Y aunque la cobertura de registro se mantuvo estable en el 54%, solo el 14% de los ataques generaron alertas, lo que significa que la mayoría de las actividades maliciosas aún pasan desapercibidas. Las fallas en la configuración de las reglas de detección, las brechas de registro y la integración del sistema continúan debilitando la visibilidad en todas las operaciones de seguridad. La caída destaca la rapidez con que las defensas se pueden degradar sin supervisión y validación continuas de los controles de seguridad.

Metodología
El Blue Report ofrece evidencia empírica de qué tan bien se desempeñan los controles de seguridad en condiciones del mundo real. Los hallazgos se basan en millones de ataques simulados ejecutados por clientes de Picus Security de enero a junio de 2025. Las simulaciones se realizaron de forma segura en entornos de producción en vivo utilizando la plataforma de validación de seguridad de Picus y fueron analizadas por los equipos de Picus Labs y Picus Data Science. El informe también incluye hallazgos y recomendaciones específicos del ecosistema y del sector que pueden ayudar a las empresas a reducir la exposición y mejorar la preparación para las amenazas.

Para leer los hallazgos y recomendaciones completos, descargue el Blue Report 2025.

Acerca de Picus Security 
Picus Security, la empresa líder en validación de seguridad, ofrece a las organizaciones una visión clara de su riesgo cibernético basada en un contexto empresarial. Picus transforma las prácticas de seguridad al correlacionar, priorizar y validar las exposiciones a través de hallazgos aislados para que los equipos se puedan centrar en las brechas críticas y en soluciones de alto impacto. Con Picus, los equipos de seguridad pueden tomar medidas rápidamente con mitigaciones con un solo clic para detener más amenazas con menor esfuerzo. Ofreciendo validación de exposición adversarial con simulación de brechas y ataques y pruebas de penetración automatizadas, trabajando en conjunto para obtener mejores resultados, Picus ofrece una tecnología galardonada y centrada en las amenazas que permite a los equipos identificar con precisión las correcciones que realmente vale la pena implementar.

Siga a Picus Security en X y LinkedIn.

Contacto de Medios
Jennifer Tanner
Look Left Marketing
picus@lookleftmarketing.com

Fotos asociadas con este comunicado de prensa están disponibles en

https://www.globenewswire.com/NewsRoom/AttachmentNg/3399fa33-7e80-494c-8d70-150c14da6698
https://www.globenewswire.com/NewsRoom/AttachmentNg/387b8fcd-aac8-4593-be9d-79985703484a
https://www.globenewswire.com/NewsRoom/AttachmentNg/a94c5fa9-32ce-499c-b863-3a0e8497a6ea