Panorama del cibercrimen en América Latina y el Caribe

Resumen ejecutivo

Este informe brinda un resumen de las tendencias y los desarrollos en el ecosistema cibercriminal de América Latina y el Caribe (LAC) en 2025. Insikt Group identificó que los actores maliciosos que operan en la región de LAC o que la tienen como objetivo utilizan principalmente aplicaciones cliente-servidor y plataformas de mensajería con cifrado de extremo a extremo como Telegram, así como foros de la dark web y de acceso especial en inglés o ruso, para comunicarse y llevar a cabo sus actividades. Los actores maliciosos demuestran una mayor sofisticación en sus operaciones, ya que adaptan sus tácticas, técnicas y procedimientos (TTP) con el tiempo, pero siguen apoyándose principalmente en métodos tradicionales como el phishing y la ingeniería social, la distribución de malware, y el ransomware. A partir de nuestros análisis, determinamos que Brasil, México y Argentina son los países más atacados por cibercriminales financieros, probablemente porque son las economías más grandes de la región de LAC. Además, a partir de esta investigación, Insikt Group determinó que los actores maliciosos a menudo atacan industrias críticas, como las de salud, finanzas y gobierno, porque poseen datos de alto valor, afrontan urgencias operativas y, a veces, utilizan sistemas antiguos que pueden ser vulnerables.

Principales hallazgos

Insikt Group estima que el foro criminal DarkForums y la plataforma de mensajería Telegram son los principales medios de acceso especial utilizados por los actores maliciosos que operan en la región LAC o que la tienen como objetivo.
Los actores maliciosos que operan en la región LAC o que la tienen como objetivo suelen estar impulsados por motivos financieros y, a menudo, utilizan la ingeniería social, el ransomware y diferentes formas de malware móvil para obtener acceso inicial a las instituciones gubernamentales, de salud o financieras.
En 2025, Insikt Group registró 452 incidentes de ransomware que afectaron la región de LAC. Las cinco principales industrias afectadas fueron las de salud, fabricación, gobierno, tecnología de la información y educación; todas ellas observaron un aumento notable en los ataques en comparación con el año anterior.
Insikt Group identificó que los actores maliciosos usan troyanos bancarios, especialmente las variantes más establecidas. En particular, estos actores usaron troyanos bancarios en campañas de smishing dirigidas a usuarios de WhatsApp con el objetivo de acceder a datos financieros y robar credenciales.
Insikt Group identificó a LummaC2 como el ladrón de información (infostealer) más prolífico que afectó a organizaciones de la región LAC en el primer semestre de 2025, y a Vidar en el segundo semestre, tras la intervención de las fuerzas del orden contra LummaC2

Trasfondo

Como consecuencia de la pandemia de COVID-19, la región de LAC experimentó un desarrollo digital acelerado que superó su madurez en materia de seguridad, lo que derivó en una adopción asimétrica de la nube, dependencia de infraestructura obsoleta y la introducción del trabajo remoto en todos los sectores. Muchas organizaciones adoptaron plataformas de software como servicio (SaaS) sin implementar controles de acceso sólidos ni métodos de autenticación multifactor (MFA), lo que las dejó expuestas a ataques de ransomware, robo de datos y otros ciberataques. La inestabilidad económica (inflación y controles de divisas) en los países de LAC ha incentivado el cibercrimen y, a su vez, debilitado las defensas institucionales. La volatilidad política, las protestas sociales y la corrupción han creado nuevas oportunidades para actores maliciosos con motivaciones financieras y políticas. Factores agregados como el alto desempleo juvenil, la desigualdad de ingresos y la influencia de las economías informales han llevado a que muchas personas busquen fuentes de ingresos alternativas, lo que alimenta gran parte del cibercrimen que observamos hoy.

Según un informe del Foro Económico Mundial, el 13 % de los encuestados en la región de LAC expresó poca confianza en la preparación de su país para responder a incidentes cibernéticos de gran magnitud. A pesar del progreso considerable en cuanto a gobierno digital, avances regulatorios e inversiones en la región, en muchos países la fuerza laboral aún carece de la competencia técnica y de los recursos necesarios para fortalecer sus entornos de manera sostenible. Muchas redes gubernamentales de la región de LAC almacenan grandes volúmenes de datos sensibles, pero presentan deficiencias en sus prácticas recomendadas de seguridad, lo que deja sus sistemas vulnerables a ciberataques. Las filtraciones masivas se distribuyen, reciclan y revenden de forma rutinaria en mercados de la dark web, lo que permite que el robo de identidad, el fraude de identidad sintética, las suplantaciones de SIM‎ y la apropiación de cuentas, entre otras modalidades de cibercrimen, proliferen a una escala mayor.

Si bien la región de LAC ha avanzado muchísimo en materia tecnológica, sobre todo en el sector de servicios financieros, las innovaciones crean nuevos desafíos. La industria de tecnología financiera ha introducido aplicaciones de banca móvil, billeteras digitales y sistemas de pagos instantáneos. Los países de la región de LAC se enfrentan a un aumento de fraudes cibernéticos en el sector financiero porque los sistemas de pago en tiempo real tienen controles de verificación de identidad más débiles, lo que hace que los intentos de ingeniería social sean más efectivos. Sistemas de pagos instantáneos como PIX en Brasil y plataformas similares de banca móvil han sido blanco frecuente de actores maliciosos. Al haber transacciones más rápidas y en mayores volúmenes, los esfuerzos de detección y recuperación se han vuelto cada vez más complejos, lo que hace que las estafas sean considerablemente más rentables y escalables.

La región de LAC registra la tasa de crecimiento más rápida del mundo en incidentes cibernéticos divulgados, aunque muchos aún no se reportan. Solo siete países de LAC cuentan con planes para proteger su infraestructura crítica contra ciberataques, y apenas veinte disponen de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT). A pesar de que 31 países de esta región cuentan con algún tipo de legislación sobre cibercrimen, muchos enfrentan escasez de personal capacitado, lo que dificulta su aplicación. La limitación de recursos en las fuerzas del orden y la cooperación interestatal poco confiable retrasan las investigaciones y los procesos judiciales, lo que permite a los actores maliciosos operar entre jurisdicciones con relativa facilidad. La percepción cultural de que el cibercrimen conlleva bajo riesgo y alta recompensa debilita el efecto disuasorio que una aplicación efectiva de la ley tendría. Esta estructura de incentivos, sumada a la reducción del estigma social, fomenta la reincidencia y el reclutamiento, tal como reflejan las tendencias de cibercrimen observadas por Insikt Group en 2025.

Actividades cibercriminales en la región de LAC

A lo largo de 2025, Insikt Group investigó e identificó distintos tipos de cibercriminales que operan en fuentes de la clearnet y la dark web. El phishing fue el método más utilizado para el acceso inicial, y entre los métodos más frecuentes se destacó la búsqueda y recopilación de información confidencial directamente desde el sistema de archivos o las bases de datos de un host comprometido. Esta técnica suele ser un paso crítico previo a la exfiltración, utilizado para obtener registros financieros, contraseñas y otras formas de información de identificación personal (PII), con el probable objetivo de llevar a cabo apropiaciones de cuentas o fraudes. La investigación de Insikt Group también reveló que los cibercriminales han comenzado a mejorar sus TTP para explotar las comunicaciones de campo cercano (NFC) con fines de fraude financiero y que utilizan malware para atacar billeteras de criptomonedas. El equipo de inteligencia de Insikt Group indica que los cibercriminales están interesados principalmente en vender bases de datos comprometidas y métodos de acceso, además de participar en colectivos hacktivistas. En algunos casos, las amenazas persistentes avanzadas (APT) también han comenzado a superponer sus actividades con el cibercrimen a la hora de atacar la región.

Fuentes cibercriminales

A lo largo de 2025, los actores maliciosos que operan en la región de LAC o que la tienen como objetivo continuaron apoyándose en la infraestructura de foros establecidos en inglés y ruso (ver Apéndice A). Insikt Group identificó publicaciones en español y portugués en varios foros de la dark web y de acceso especial. Si bien en estas fuentes se comunican principalmente en inglés y ruso, estas publicaciones probablemente indican una preferencia entre los actores maliciosos que apuntan a LAC por plataformas más consolidadas y tradicionales para llevar a cabo sus actividades. La investigación mostró que los foros de nivel bajo a moderado son los más utilizados por actores maliciosos ubicados en países de LAC o que apuntan a esa región, lo que podría sugerir menores niveles de sofisticación, ya que los foros de mayor nivel suelen requerir avales, pagos, demostración de conocimientos o habilidades técnicas y, a veces, invitación privada para acceder.

Insikt Group estima que la mayoría de las comunicaciones entre actores de amenazas probablemente se den en plataformas de mensajería cifrada como Telegram, WhatsApp y Signal, dada su velocidad, facilidad de acceso y mayores niveles de confianza entre los miembros de los grupos. Dadas las funciones de mejora de privacidad de estas plataformas, los esfuerzos de recopilación de información pueden verse considerablemente limitados. Telegram es la plataforma de mayor uso debido a su capacidad extendida para canales y grupos, la simplicidad en la creación de cuentas, la posibilidad de implementar automatización de bots para apoyar actividades maliciosas y una moderación de contenido generalmente menos estricta que en otras plataformas. Al ofrecer una vía de menor resistencia, los actores maliciosos disfrutan de la privacidad adicional que brindan las plataformas de mensajería con cifrado de extremo a extremo sin interrumpir sus operaciones.

Los actores maliciosos con motivaciones financieras suelen publicitar una variedad de tipos de datos, entre ellos información de identificación personal (PII), datos financieros, credenciales de inicio de sesión, credenciales de acceso a sistemas, exploits y vulnerabilidades, malware, ransomware y tutoriales de hacking. En algunos casos, Insikt Group detectó actores maliciosos que vendían acceso a sistemas de gestión de relaciones con clientes (CRM), acceso a redes privadas virtuales (VPN) con privilegios de usuario de dominio y derechos de administrador local en servidores de bases de datos, así como acceso de comando y control (C2) a entidades con base en LAC en 2025. Al aprovechar este acceso a la información, los cibercriminales pueden facilitar otros delitos, como intentos de extorsión, estafas digitales y de ingeniería social, implementación de ransomware y robo de datos y cuentas. La investigación de Insikt Group indica que los actores maliciosos generalmente publicitan bases de datos vulneradas y datos de tarjetas de pago porque pueden ser muy rentables, requieren niveles relativamente bajos de sofisticación y son muy buscados por otros cibercriminales.

Los actores maliciosos a menudo atacan sistemas gubernamentales porque contienen datos altamente confidenciales que pueden ser rentables para estafas, robo de identidad o extorsión. Por ejemplo, poco tiempo después de una tensa elección presidencial, la legislatura de Ecuador (la Asamblea Nacional) reportó que había sufrido dos ciberataques que buscaban acceder a datos confidenciales y alterar la disponibilidad de los servicios de información. En otro ejemplo, los actores maliciosos expusieron datos confidenciales de millones de ciudadanos de Paraguay en la dark web; entre los supuestos datos filtrados hay números de documentos de identidad nacional, fechas de nacimiento, direcciones físicas y registros de servicios de salud.

DarkForums fue el principal foro de la dark web y de acceso especial donde Insikt Group registró la mayor cantidad de publicaciones relacionadas con eventos de cibercrimen en español y portugués en 2025. Este es un foro de nivel bajo que opera en inglés y es administrado por hablantes de inglés; se lanzó en marzo de 2023 y se puede acceder a él a través de un dominio de la clearnet. Además, se observó que DarkForums alojaba bases de datos filtradas y brechas de datos que involucran a países hispanohablantes, con publicaciones que describen miles de registros y credenciales comprometidos. Otros foros, como XSS, Exploit, RehubcomPro, Cracked, BreachForums 2, ProCrd y CrdPro, también se encontraron entre los foros con mayor cantidad de publicaciones en español y portugués. El Apéndice A presenta una muestra de hilos de foros en español y portugués provenientes de estas fuentes.

Tácticas cibercriminales y vectores de ataque

La región de LAC tiene un largo historial de cibercrímenes con motivaciones financieras; como resultado, Insikt Group observó en este análisis que los actores maliciosos continúan apuntando fuertemente al sector financiero. Estos actores suelen recurrir a métodos de acceso inicial tradicionales, como phishing por correo electrónico, SMS y mensajes de WhatsApp, suplantando la identidad de instituciones financieras y solicitando facturas o pagos. Los señuelos se distribuyen mediante enlaces maliciosos que redirigen a páginas de inicio de sesión falsas y contienen archivos adjuntos maliciosos con enlaces incrustados. Muchas de estas técnicas resultan efectivas al atacar entidades de la región de LAC dada la fuerte dependencia del correo electrónico y las aplicaciones de mensajería para los negocios, así como una alta confianza en las comunicaciones de marcas a nivel general. La inteligencia artificial (IA) ha introducido métodos más sofisticados en el ecosistema del cibercrimen en LAC, ya que bajó la barrera de entrada para los actores maliciosos e incrementó significativamente la escalabilidad de los ataques mediante la automatización. La IA ayuda a los actores maliciosos a crear mensajes de phishing más efectivos en español o portugués nativo, haciéndolos más convincentes para el público objetivo local. La llegada de la IA agéntica también presenta nuevas oportunidades y vectores de ataque para los grupos cibercriminales, y facilita en gran medida el cibercrimen como servicio. Los grupos criminales organizados han integrado la IA en sus operaciones para asistir en el tráfico de drogas, el lavado de dinero, el fraude cibernético y el desarrollo de malware.

A lo largo de 2025, Insikt Group observó que los actores maliciosos atacaban a la región de LAC mediante la vulneración de protocolos de escritorio remoto (RDP), VPN y paneles de administrador web, y la obtención de credenciales a partir de infecciones previas de infostealers, reutilización de contraseñas, ataques de fuerza bruta y otros puntos de acceso inicial. Según datos de la Plataforma de Operaciones de Inteligencia de Recorded Future, existen aproximadamente 29 000 referencias a credenciales expuestas relacionadas con LAC en Russian Market. Estas credenciales expuestas provienen de dominios pertenecientes a las principales organizaciones (por ingresos) de las industrias de salud, gobierno y finanzas en las cinco economías más grandes de LAC. Russian Market es uno de los principales mercados de la dark web para la venta y distribución de registros de infostealers. La mayoría de estos registros correspondieron a LummaC2 y seguido de Acreed Stealer, en línea con lo observado por Insikt Group en su análisis de registros adicionales de infostealers. Cabe señalar que muchas de las 29 000 credenciales expuestas probablemente pertenecen a clientes de estas organizaciones y no necesariamente a empleados, ya que Recorded Future no tiene acceso a las direcciones de dominio internas de empleados para buscar credenciales expuestas; sin embargo, estas pueden ser incorporadas por un usuario final. Insikt Group evalúa que estos vectores de ataque fueron probablemente efectivos para infiltrar los sistemas de objetivos en la región de LAC debido a la creciente adopción del trabajo remoto, la infraestructura antigua en muchas instituciones públicas y los recursos y capacidades de monitoreo limitados. Insikt Group identificó actores maliciosos publicitando herramientas de clonación de tarjetas, envíos masivos de SMS/correos electrónicos, suplantación de SIM, asistencia para hackeo y otros servicios similares en canales de Telegram.

En 2025, Insikt Group observó un aumento en nuevos tipos de malware que aprovechan y explotan activamente NFC. Inicialmente identificado por Threat Fabric, PhantomCard es un troyano para Android, específicamente una variante de un malware-as-a-service (MaaS) de retransmisión de NFC de origen chino, dirigido principalmente a clientes bancarios en Brasil. PhantomCard habilita ataques de retransmisión al obtener datos de NFC de la tarjeta bancaria de la víctima y transmitirlos al dispositivo del actor malicioso para ejecutar transacciones en sistemas de punto de venta (POS) o cajeros automáticos. PhantomCard se distribuye a través de páginas web maliciosas que se hacen pasar por aplicaciones legítimas, solicitando a las víctimas que acerquen sus tarjetas e ingresen sus números de identificación personal (PIN) para autenticarse. Una vez que las credenciales se obtienen de forma fraudulenta, se retransmiten a los atacantes.

De manera similar, a finales de 2025, actores maliciosos implementaron RelayNFC, un malware móvil que apunta a tarjetas de pago sin contacto, en una campaña de phishing dirigida a usuarios brasileños. Esta evolución en los TTP es paralela al cambio que han experimentado los actores maliciosos, pasando del skimming de datos de banda magnética al “shimming” de datos de chips de Europay, Mastercard y Visa (EMV) en el ecosistema de fraude de pagos, dado que las soluciones cibercriminales suelen adaptarse a las nuevas innovaciones en seguridad.

Según el Informe Anual de Actividad Cibercriminal de Criptomonedas de 2025, Insikt Group observó de forma consistente actividad en la que billeteras de criptomonedas fueron atacadas por diversas formas de malware, como drainers, clippers y miners, con el fin de robar fondos. Dado el retraso persistente en medidas de ciberseguridad en LAC y el rápido crecimiento del mercado de criptomonedas en la región, sus usuarios pueden convertirse en objetivos atractivos para los cibercriminales. Los cinco países de LAC que dominan el ecosistema de criptomonedas son Brasil, Argentina, México, Venezuela y Colombia. Sin embargo, Brasil es el líder indiscutible, concentrando un tercio de la actividad en criptomonedas total. Insikt Group estima que, a medida que continúe la adopción masiva de criptomonedas, los actores maliciosos probablemente buscarán objetivos en estos países, ya que el conocimiento y las prácticas de seguridad entre los usuarios de estas regiones probablemente sean insuficientes. Además, al igual que los actores maliciosos en otras regiones del mundo, quienes apuntan a LAC casi con certeza aprovecharán este medio de cambio para llevar a cabo transacciones y lavar fondos ilícitos. A medida que los países continúen adoptando nuevas regulaciones e introduciendo nuevas formas de criptomonedas, se espera que los actores maliciosos identifiquen nuevos vectores de explotación. Desde 2025, Argentina, Brasil, Colombia, Ecuador, Paraguay, Trinidad y Tobago, Uruguay y Venezuela participan en la fase piloto inaugural de INTERPOL para la nueva Silver Notice, que se publicará para “ayudar a rastrear y recuperar activos criminales, combatir el crimen organizado transnacional y mejorar la cooperación policial internacional”, y que probablemente incluya activos en criptomonedas si están vinculados a ganancias ilícitas.

Amenazas persistentes avanzadas (APT) y cibercrimen

A lo largo de 2025, Insikt Group observó un aumento en la actividad de APT dirigida a la región de LAC usando métodos cibercriminales tradicionales, como phishing y ransomware. Esto sugiere que algunos grupos de APT también pueden tener motivaciones financieras que van más allá de la búsqueda de influencia geopolítica estratégica. APT destacados, como Dark Caracal, llevaron a cabo ciberespionaje y distribuyeron Poco RAT a través de phishing con temática financiera. TAG-144 (Blind Eagle) apuntó principalmente a entidades gubernamentales en países de América del Sur, especialmente Colombia, utilizando TTP como spearphishing y troyanos de acceso remoto (RAT) en campañas que combinan motivaciones de espionaje y financieras.

Insikt Group estima que parte de la actividad patrocinada por el estado de China probablemente tiene como objetivo proteger inversiones económicas en la región, como la Iniciativa de la Franja y la Ruta (BRI), préstamos soberanos e intereses comerciales de amplio alcance. Además de los grupos de APT mencionados, grupos patrocinados por el estado de China también están apuntando a entidades en países de LAC. TAG-141 (FamousSparrow) utilizó el malware SparrowDoor contra entidades en México, Argentina y Chile. Storm-2603 (Gold Salem) implementó ransomware, incluido Warlock, LockBit y Babuk dirigido a múltiples sectores como agricultura, gobierno, energía y recursos naturales y telecomunicaciones en las regiones de LAC y Asia-Pacífico (APAC). Esta actividad podría indicar que China busca mantener su influencia en la región de LAC mediante medios cibercriminales o que tiene interés en obtener ganancias financieras.

Hacktivismo

La región de LAC ha atravesado repetidamente períodos de compleja inestabilidad política y social impulsados por debates sobre reformas económicas, corrupción y desigualdad. A diferencia del cibercrimen con motivaciones financieras, el hacktivismo tiende a ser político o ideológico, y estas condiciones de tensión pueden generar un entorno propicio para su aumento. A finales de 2025, Insikt Group detectó un aumento en la actividad de Chronus Team, un grupo hacktivista conocido por ataques de defacement y filtraciones de datos orientados a exponer vulnerabilidades de seguridad, con foco principalmente en organizaciones de México. El grupo utiliza canales de Telegram con fines de comunicación y propaganda, y se ha alineado de forma laxa con otros grupos hacktivistas y cibercriminales, como Elite 6-27 y Sociedad Privada 157, para ganar visibilidad y aumentar su reputación. Insikt Group observó otra tendencia en la que varios grupos hacktivistas comenzaron a migrar hacia el ransomware-as-a-service (RaaS) por motivaciones financieras. Uno de estos grupos, “FiveFamilies”, funciona como un colectivo de varios grupos; entre sus objetivos se incluyeron entidades ubicadas en Cuba y Brasil.

Figura 1: Hackeo y defacement web del sitio web de transparencia presupuestaria de la municipalidad de Hermosillo, Sonora, México (Fuente: redes sociales)

Tendencias de malware

En 2025, Insikt Group observó una actividad elevada de ransomware dirigida a organizaciones de la región de LAC. Además, los troyanos bancarios continuaron siendo un problema relevante en los países de LAC, con un aumento en campañas que utilizan específicamente WhatsApp para entregarlos. Los infostealers se mantuvieron como habilitadores populares de acceso inicial en la región de LAC. Las botnets han crecido en la región, principalmente debido a la presencia de dispositivos de oficinas pequeñas y hogares (SOHO), como routers y otros dispositivos de internet de las cosas (IoT) con seguridad débil, firmware desactualizado y dependencia de credenciales predeterminadas. La actividad de botnets puede contribuir al robo de credenciales, la propagación de campañas de phishing, la distribución de spam, el robo y abuso de direcciones IP residenciales, y la habilitación de ataques de denegación de servicio distribuida (DDoS). Insikt Group también observó actores maliciosos atacando terminales de pago en 2025 con malware para cajeros automáticos y sistemas POS.

Ransomware

En 2025, el Panel de Control del Panorama Global de Ransomware de Recorded Future registró 452 incidentes de ransomware que afectaron a la región de LAC de un total de 7 346 a nivel global, de acuerdo con la información de todas las víctimas de ransomware públicamente conocidas listadas en los blogs asociados a estos grupos. Los ataques a entidades de la región de LAC representaron poco más del 6 % de todos los ataques de ransomware globales en 2025. Las cinco industrias más afectadas por ransomware en la región de LAC en 2025 fueron salud (36 ataques), fabricación (49 ataques), gobierno (28 ataques), tecnología de la información (21 ataques) y educación (20 ataques), como se muestra en la Figura 3. La investigación de Insikt Group sobre ransomware en la región de LAC abarca 27 de los 33 países que la conforman. Insikt Group no obtuvo datos de ransomware de Antigua y Barbuda, Belice, Cuba, Saint Kitts y Nevis, Santa Lucía ni de Surinam en 2025.

Figura 2: Vista de las métricas de ataque del Panel de Control del Panorama Global de Ransomware para los cinco principales grupos de ransomware que afectaron a la región de LAC en 2025 (Fuente: Recorded Future)

Figura 3: Vista de las métricas de ataque del Panel de Control del Panorama Global de Ransomware para las cinco industrias más afectadas en la región de LAC en 2025 (Fuente: Recorded Future)

Insikt Group observó un aumento en la actividad de ransomware en todas las principales industrias de LAC en comparación con el año anterior. Insikt Group examinó específicamente los ataques de ransomware contra entidades financieras, gubernamentales y de salud en la región de LAC e identificó lo siguiente: 16 ataques dirigidos al sector financiero, 28 ataques dirigidos al sector gubernamental y 36 ataques dirigidos al sector de salud. El Apéndice C destaca una muestra de estos ataques de ransomware.

En cuanto a los países de LAC, los cinco más afectados por ransomware en 2025 fueron Brasil (128 ataques), México (78 ataques), Argentina (63 ataques), Colombia (51 ataques) y Perú (27 ataques). Estos países se encuentran entre las economías más grandes de la región, lo que puede generar efectos de impacto indirecto para las empresas que hacen negocios directamente con ellos o con países vecinos. Insikt Group descubrió que la mayoría de los grupos de ransomware utilizan la doble extorsión. Esta técnica consiste en cifrar los datos de la víctima, exfiltrarlos y luego amenazar con publicarlos en el blog de exposición pública del grupo de ransomware si no se paga el rescate. Recorded Future evalúa trimestralmente el riesgo de intrusión de red y de ransomware por país para generar conciencia y ayudar a las organizaciones a evaluar su exposición al riesgo. Las conclusiones sobre los cinco países más afectados según las métricas y los análisis de Recorded Future, incluyen lo siguiente:

El puntaje de riesgo de intrusión de red de Brasil aumentó de Medio a Muy alto, y su puntaje de riesgo de ransomware se mantuvo en Medio a finales de 2025. Brasil fue el país más atacado de LAC y se ubicó entre los diez países más afectados por ransomware a nivel mundial en 2025, con un total de 130 víctimas.
El puntaje de riesgo de intrusión de red de México aumentó de Muy Bajo a Bajo, y su puntaje de riesgo de ransomware aumentó de Bajo a Medio a finales de 2025. Cabe destacar que se filtraron datos de una entidad gubernamental mexicana en el sitio de extorsión y exposición pública de la dark web, Tekir Apt Data Leak Site.
El puntaje de riesgo de intrusión de red de Argentina aumentó de Muy Bajo a Bajo, y su puntaje de riesgo de ransomware aumentó de Bajo a Medio a finales de 2025. Insikt Group observó que Argentina fue atacada por un nuevo ransomware basado en Rust, “RALord”.
El puntaje de riesgo de intrusión de red de Colombia aumentó de Bajo a Alto, y su puntaje de riesgo de ransomware se mantuvo bajo sin cambios observados a finales de 2025. El sector financiero de Colombia fue afectado por el grupo de ransomware Crypto24, que publicó los nombres de sus víctimas en su blog.
El puntaje de riesgo de intrusión de red de Perú aumentó de Muy Bajo a Bajo, y su puntaje de riesgo de ransomware se mantuvo bajo sin cambios observados a finales de 2025. Una empresa farmacéutica con sede en Perú fue nombrada como víctima en Dire Wolf Blog.

Figura 4: Vista de las métricas de ataque del Panel de Control del Panorama Global de Ransomware para los países más afectados de LAC en 2025 (Fuente: Recorded Future)

Troyanos bancarios

Según la Asociación del Sistema Mundial de Comunicaciones Móviles (GSMA), en 2024, aproximadamente el 64 % de la población de LAC utilizaba internet móvil, y se proyecta que esta cifra aumentará a casi tres cuartas partes para 2030. El aumento de la penetración de internet y las altas tasas de suscripción a telefonía móvil en LAC indican una dependencia creciente de los dispositivos móviles, lo que probablemente los convierte en blancos cada vez más atractivos para los actores maliciosos. Android sigue siendo el sistema operativo (SO) predominante en dispositivos móviles de América del Sur, con una participación de mercado del 84,59 %. Los dispositivos Android admiten más aplicaciones instaladas desde fuera de tiendas oficiales (enlaces y paquetes de aplicaciones Android [APK] provenientes de redes sociales o tiendas de terceros) que Apple iOS, que generalmente cuenta con controles de ecosistema más estrictos; además, los usuarios de Android pueden estar utilizando versiones antiguas del SO, lo que convierte a sus dispositivos en blancos atractivos para los cibercriminales. El ecosistema Android otorga a los desarrolladores mayor libertad para publicar aplicaciones en Google Play Store, y el proceso de verificación es menos riguroso, por lo que los espejos de dominios de APK maliciosos pueden pasar desapercibidos. En LAC, los usuarios pueden depender del teléfono móvil como su dispositivo de cómputo principal o único, lo que los convierte en puntos de acceso inicial atractivos para que los actores maliciosos desplieguen malware basado en Android. Según el informe Global Findex 2025 del Banco Mundial, el 37 % de los adultos en la región de LAC tenía una cuenta de dinero móvil en 2024. La banca móvil, las billeteras digitales y los pagos con QR son prácticas habituales en la región. A partir de los hallazgos del Banco Mundial, Insikt Group estima que el malware persistente de banca móvil dirigido a LAC probablemente esté impulsado por una integración acelerada de la banca digital que ha superado los controles de seguridad y por la expansión de los ecosistemas MaaS. Los ataques de ingeniería social localizados y sofisticados, junto con una capacidad de respuesta institucional desproporcionadamente limitada en la región, están acelerando aún más esta tendencia en el cambiante panorama financiero móvil de LAC.

La investigación de Insikt Group reflejó un aumento en los troyanos bancarios dirigidos a la plataforma WhatsApp en 2025. En los últimos años, las autoridades brasileñas se han enfocado en desarticular los troyanos bancarios. Una porción significativa del crimeware en LAC está compuesta por troyanos de banca móvil que, aunque similares en muchos aspectos, no son un bloque homogéneo y presentan diferencias particulares. El análisis de Insikt Group de 2025 indica que, a pesar de algunas intervenciones de las fuerzas del orden, los troyanos bancarios siguen siendo un problema relevante en la región de LAC y probablemente lo seguirán siendo en 2026. El Apéndice D menciona los troyanos bancarios más activos en la región de LAC en 2025.

Infostealers

Los infostealers son una amenaza persistente a nivel mundial, y la región de LAC no está excluida. Insikt Group analizó una pequeña muestra de dominios pertenecientes a las principales organizaciones (por ingresos) de los sectores de salud, gobierno y finanzas en las cinco economías más grandes de LAC. El análisis mostró que las amenazas de infostealers más destacadas en 2025 fueron LummaC2, Vidar, Rhadamanthys, RedLine y Nexus, a pesar de las múltiples operaciones de las fuerzas del orden que se llevaron a cabo bajo la Operación Endgame, donde se realizaron desmantelamientos que afectaron a Rhadamanthys y LummaC2.

Figura 5: Tendencias de infección por infostealers en 2025 para los dominios de las principales organizaciones (por ingresos) de los sectores de salud, gobierno y finanzas en los países con las cinco economías más grandes de la región de LAC (Fuente: datos de Recorded Future)

LummaC2 fue sin duda el infostealer más activo dirigido a entidades de la región de LAC, a pesar de haber sido objeto de medidas tomadas por las fuerzas del orden. LummaC2 ha sido mencionado en diversas fuentes de noticias y chats de Telegram como una amenaza dirigida a usuarios de Argentina, Paraguay y México. Los cibercriminales implementan LummaC2 para obtener credenciales de las víctimas y cometer fraude financiero y robo de criptomonedas. Insikt Group llevó a cabo investigaciones sobre los afiliados de LummaC2 e identificó a un actor malicioso probablemente con base en México que opera bajo múltiples alias vinculados al ID de compilación de Lumma “re0gvc”. A mediados de 2025, las fuerzas del orden tomaron medidas para desarticular LummaC2; la operación derivó efectivamente en la baja de aproximadamente 2300 dominios maliciosos que forman parte de la infraestructura de LummaC2, el comando central de Lumma y los mercados criminales asociados. Poco después de esta operación, LummaC2 aparentemente seguía teniendo víctimas infectadas en varios países, incluidos Brasil y Colombia, probablemente porque el sinkholing requiere cierto tiempo para tener un efecto notable, ya que redirige el tráfico, pero no limpia automáticamente las máquinas infectadas. Una remediación más completa requeriría la aplicación de parches y la eliminación del malware en los sistemas afectados, algo difícil de implementar a escala cuando los dispositivos infectados se encuentran distribuidos en todo el mundo. Sin embargo, Insikt Group observó una disminución significativa en las credenciales expuestas por LummaC2 en el segundo semestre de 2025, probablemente debido al éxito de la operación conjunta de Microsoft y las fuerzas del orden y a la exclusión de Exploit del actor malicioso principal.

Figura 6: Tendencias de infección por LummaC2 en 2025 para los dominios de las principales organizaciones (por ingresos) de los sectores de salud, gobierno y finanzas en los países con las cinco economías más grandes de la región de LAC (Fuente: datos de Recorded Future)

Luego de la operación de LummaC2, Recorded Future detectó un aumento en las infecciones por Vidar durante la segunda mitad de 2025. Este aumento pone de manifiesto la capacidad de los actores de la amenaza para migrar entre infostealers y facilitar su criminalidad a pesar de las interrupciones.

Figura 7: Tendencias de infección por Vidar en 2025 para los dominios de las principales organizaciones (por ingresos) de los sectores de salud, gobierno y finanzas en los países con las cinco economías más grandes de la región de LAC
(Fuente: datos de Recorded Future)

Botnets

La actividad de botnets ha aumentado de forma sostenida en la región de LAC, lo que ha facilitado el fraude financiero, la distribución de spam, la recolección de credenciales, el acceso inicial para ransomware y los ataques DDoS a gran escala contra instituciones financieras y gubernamentales. Las botnets se mantuvieron como una prioridad para las fuerzas del orden internacionales en 2025. Por ejemplo, la Operación Endgame, actualmente en curso, tiene como objetivo obstaculizar las capacidades de control remoto de los actores maliciosos al desmantelar infraestructuras de ransomware y otros tipos de malware. Surgida a finales de 2025, Kimwolf, también conocida como AISURU, es una botnet que apunta a dispositivos de streaming comprometidos. Informes de noticias y conversaciones en la dark web indican que muchos de los dispositivos infectados con Kimwolf se encuentran en Brasil, India, Estados Unidos y Argentina. Otros informes sugieren que un actor malicioso vinculado a la botnet AISURU probablemente tiene su base en Brasil. Horabot es una familia de malware y un tipo de botnet identificado por primera vez en junio de 2023, dirigido a usuarios hispanohablantes en seis países de LAC: México, Guatemala, Colombia, Perú, Chile y Argentina. Horabot utiliza correos electrónicos de phishing con temática de facturas para obtener acceso inicial a los sistemas de las víctimas.

Malware de terminales de pago

Los actores maliciosos también siguieron atacando infraestructuras de pagos para su beneficio financiero. La actividad de malware en cajeros automáticos ha seguido aumentando en LAC, y algunos expertos señalan que los ataques de este tipo se incrementaron en un 46 % en la región durante 2025. Por ejemplo, Ploutus es una sofisticada familia de malware detectada por primera vez en México en 2013, que vulnera cajeros automáticos al emitir comandos no autorizados a sus módulos dispensadores de efectivo. En diciembre de 2025, el Departamento de Justicia de Estados Unidos acusó formalmente a 54 personas asociadas a la banda venezolana Tren de Aragua (TDA) por su participación en un esquema masivo de jackpotting de cajeros automáticos que usaba el malware Ploutus. Asimismo, el malware para puntos de venta (POS) llamado MajikPOS, diseñado para infiltrarse en sistemas conectados a terminales POS y extraer datos de pago de banda magnética de tarjetas bancarias, continuó siendo una amenaza activa para empresas que operan en Brasil.

Mitigaciones

Use el Panel de Control del Panorama Global de Ransomware de Recorded Future: Los clientes de Recorded Future pueden mitigar esta amenaza de forma proactiva utilizando el Panel de Control del Panorama Global de Ransomware y aprovechando la pestaña de victimología para filtrar por grupo de ransomware, país e industria de interés. También pueden personalizar su propio perfil de riesgo de ransomware y configurar alertas alineadas con sus prioridades de riesgo.
Use el Monitoreo de Amenazas y Riesgos de Terceros de Recorded Future: Configure alertas en la Nube de Inteligencia de Recorded Future para rastrear actividad en canales de Telegram, foros de la dark web y otras plataformas, y mantenerse informado de forma proactiva. Use el módulo de Inteligencia de Terceros para evaluar la exposición al riesgo para asociaciones actuales y futuras.
Actualice los sistemas antiguos: Los actores maliciosos, ya sean oportunistas o tengan motivaciones financieras, o ambas cosas, generalmente buscan explotar sistemas vulnerables. Las organizaciones que dependen de tecnologías desactualizadas se exponen a amenazas y ataques cibernéticos que podrían prevenirse.
Participe en intercambios de información entre el sector público y el privado: Para fortalecer la colaboración regional y establecer buenas prácticas estandarizadas, coordine con las fuerzas del orden y cree canales de intercambio de inteligencia que mejoren las investigaciones y reduzcan los tiempos de respuesta ante incidentes.
Genere conciencia a través de la educación: Fomentar la alfabetización digital mediante alianzas con universidades y becas en la región de LAC contribuirá a promover buenas prácticas de ciberhigiene y a preparar una fuerza laboral más sólida y competente. Las empresas pueden implementar capacitaciones obligatorias en ciberseguridad durante el proceso de incorporación de nuevos empleados y establecer simulacros periódicos para garantizar el cumplimiento de los protocolos.

Perspectiva

Insikt Group ha destacado las tendencias y los métodos cibercriminales más relevantes observados en la región de LAC en 2025. Los actores maliciosos llevaron a cabo phishing y robo de credenciales para obtener y vender acceso inicial a organizaciones de LAC recurriendo frecuentemente a foros de la dark web y plataformas de mensajería con cifrado de extremo a extremo para comunicarse y monetizar datos comprometidos y métodos de acceso. Los cibercriminales ejecutaron ataques de ransomware de alta intensidad contra los sectores de salud, gobierno, finanzas y otros sectores críticos. La actividad de troyanos bancarios e infostealers persistió en toda la región de LAC a pesar de los intentos de desarticulación por parte de las fuerzas del orden. Los cibercriminales han demostrado poder adaptarse y ser resilientes; suelen aprovechar las vulnerabilidades de empresas que se encuentran en etapas tempranas o en crecimiento, y que carecen de las habilidades, herramientas y personal necesarios para prevenir ataques. Las pequeñas y medianas empresas (PYMES) constituyen más del 95 % de todos los negocios en LAC. Las PYMES son blancos atractivos para los cibercriminales porque suelen contar con recursos y experiencia limitados, carecen de infraestructura robusta y dependen en exceso de plataformas de terceros. El análisis de tendencias de Insikt Group respalda estos hallazgos.

Sin una armonización regional de políticas y buenas prácticas de ciberseguridad, los países de LAC probablemente continuarán usando enfoques de respuesta a incidentes fragmentados, lo que dificultará la cooperación y colaboración transfronteriza. Para proteger los sistemas y la información de las ciberamenazas de manera efectiva y sostenible, los países de LAC deberían priorizar el trabajo conjunto para establecer evaluaciones de riesgo estandarizadas y mecanismos de reporte, protocolos de intercambio de información que faciliten una remediación oportuna e implementar principios proactivos de “seguridad por diseño”. Los posibles enfoques para lograrlo incluyen una mayor inversión en el desarrollo de la fuerza laboral, la participación en alianzas entre los sectores público y privado, y el establecimiento de sistemas centralizados de gestión de ciberseguridad. A pesar de la escasez de foros prominentes en español y portugués, es probable que los actores maliciosos continúen aprovechando plataformas y métodos tradicionales similares a los utilizados por el ecosistema cibercriminal de habla inglesa y rusa. Según datos actuales e históricos, se anticipa que estas tendencias continuarán y que LAC seguirá siendo un blanco frecuente para grupos de ransomware y un hotspot para el malware móvil en 2026.

Apéndice A: Ejemplo de listado de publicaciones dirigidas a entidades en países de LAC en foros de la dark web y de acceso especial

Supuesto acceso o filtración

Fuente

País de LAC y sector afectado

Acceso a entidad bancaria brasileña

Foro XSS

Brasil/Finanzas

Acceso de VPN a un banco colombiano

Foro Exploit

Colombia/Finanzas

Acceso a base de datos gubernamental filtrada

DarkForums

México/Gobierno

Acceso a base de datos del portal oficial del gobierno

Foro Exploit

Argentina/Gobierno

Web shell con acceso con privilegios root para un proveedor de salud

Foro XSS

Chile/Salud

Acceso VPN global a una red de salud

Foro RehubcomPro

Brasil/Salud

(Fuente: Recorded Future)

Apéndice B: Ejemplo de métricas de los cinco principales grupos de ransomware que afectaron la región de LAC en 2025

Nombre del grupo

Total de ataques (todos los sectores)

Salud

Fabricación

Gobierno

Educación

Qilin (Agenda)

LockBit Gang (BITWISE SPIDER, DEV-0396, Flighty Scorpius)

Safepay

The Gentlemen

Kazu

(Fuente: Recorded Future)

Apéndice C: Ejemplo de datos de incidentes de ransomware que afectaron los sectores de salud, gobierno y finanzas en países de LAC en 2025

Grupo de ransomware

País

Sector

Safepay

Argentina

Salud

The Gentlemen

Brasil

Salud

Kazu

Colombia

Gobierno

Kazu

México

Gobierno

Qilin (Agenda)

Ecuador

Finanzas

Qilin (Agenda)

Argentina

Finanzas

(Source: Recorded Future)

Apéndice D: Tendencias de los troyanos bancarios más activos en LAC en 2025

Troyano bancario

Atributos

Actividad en 2026

Grandoreiro

Se distribuye a través de correos electrónicos de phishing con documentos que parecen legítimos, como archivos PDF. Una vez en el dispositivo, realiza verificaciones antisandbox, registra pulsaciones de teclas y se comunica con servidores C2 para filtrar credenciales bancarias confidenciales.

Surgieron nuevas variantes con técnicas de evasión avanzadas, por lo que se volvieron más efectivas para eludir medidas de seguridad modernas.

Crocodilus

Emplea tácticas sofisticadas como capacidades de control remoto, keylogging, ataques superpuestos para capturar credenciales de usuario y la capacidad de recolectar frases semilla de monederos de criptomonedas.

Amplió el alcance operativo al atacar a usuarios en Polonia, España, Brasil, Argentina, Indonesia, Estados Unidos e India.

Mispadu (URSA)

Emplea métodos de infección sofisticados, incluidos correos electrónicos de spam con archivos PDF maliciosos que desencadenan procesos de descarga en múltiples etapas, los cuales implementan la carga útil de Mispadu tras realizar verificaciones antisandbox y antimáquina virtual.

Insikt Group creó una regla YARA para detectar Mispadu luego de que un análisis indicara que el troyano había atacado a varios bancos de LAC.

Astaroth (Guildma)

Los métodos de distribución incluyen ataques de spearphishing y el uso de infraestructura en la nube comprometida para alojar contenido malicioso. Insikt Group efectuó análisis técnico estático y detección mediante reglas sigma

Reapareció con una campaña de múltiples etapas, “STAC3150”, que involucra el secuestro de sesiones de WhatsApp, el robo de credenciales y la persistencia en sistemas comprometidos.

SORVEPOTEL

Atacó a Brasil en varias campañas. Insikt Group estima que al menos algunos operadores de SORVEPOTEL probablemente sean hablantes de portugués, basándose en artefactos de lenguaje identificados en los paneles analizados y en el foco consistente en víctimas brasileñas. El análisis de una campaña destacada denominada “Water Saci” indica que WhatsApp Web fue utilizado como vector de distribución.

El análisis de la nueva infraestructura vinculada al cargador SORVEPOTEL demuestra que ha sido distribuida por Coyote y Maverick.

Casabaneiro (“Mekotio” y “Metamorfo”)

Apunta principalmente a instituciones financieras en LAC y utiliza correos electrónicos de phishing que contienen URL maliciosas, las cuales conducen a archivos ZIP o ISO con cargas útiles que ejecutan scripts de PowerShell diseñados para ofuscar y evadir la detección.

Campaña Water Saci dirigida a plataformas financieras brasileñas mediante propagación por WhatsApp, vinculada a la familia de malware Casbaneiro.

BBTok

Los métodos de distribución desencadenan infecciones mediante archivos LNK y presentan capacidades avanzadas de robo de credenciales y filtración de datos; utilizan técnicas como la incrustación de bibliotecas de vínculos dinámicos (DLL) en archivos descargados y el uso de comandos legítimos de utilidades de Windows para la evasión.

Surgió una nueva táctica en la que el método principal de entrega fue WhatsApp.

Coyote

Ataca principalmente a usuarios brasileños, es capaz de ejecutar keylogging, capturar pantallas y mostrar pantallas superpuestas de phishing para robar credenciales confidenciales. La infraestructura de Coyote es dinámica y está alojada en diversas plataformas, lo que indica técnicas de evasión robustas por parte de sus operadores.

Coyote se mantuvo activo en 2025 y fue observado en una campaña de gusano basada en WhatsApp que utilizaba mensajes autopropagantes con archivos ZIP maliciosos para distribuir el malware.

Herodotus

Se distribuye a través de mensajes de smishing que engañan a las víctimas para que descarguen APK maliciosos. Herodotus ha sido observado principalmente atacando a usuarios en países como Brasil e Italia.

Insikt Group analizó una muestra en la que Herodotus suplantó una aplicación de seguridad llamada “Modulo Seguranca Stone” en una campaña en Brasil.

(Fuente: Recorded Future)