Los hallazgos clave del estudio incluyen lo siguiente:

• En 2023-2024, las instituciones gubernamentales (21%) y las organizaciones financieras (13%) en los países de ALC sufrieron el mayor número de ciberataques. Estas entidades son de gran interés para los ciberdelincuentes porque almacenan información valiosa y ejecutan procesos críticos.
• Durante el período analizado, la mayoría de los ciberataques se dirigieron a organizaciones en Brasil (19%) y en México (16%). Esto puede atribuirse al mayor nivel de digitalización en estos países de la región, lo que ha llevado a la implementación activa de servicios y aplicaciones web que amplían la superficie de ataque. 
• Normalmente, la ingeniería social y el “malware” se utilizaron conjuntamente como parte de un único ciberataque (ya sea dirigido a organizaciones o a individuos). Los atacantes utilizaron la ingeniería social para acceder a los sistemas de TI, eludiendo las defensas técnicas y pasando desapercibidos. El malware permitió otras acciones maliciosas dentro del sistema comprometido.
• El secuestro de datos se utilizó en el 49% de los ataques exitosos a organizaciones. El mayor interés de los atacantes de secuestro de datos se centró en instituciones gubernamentales (25%), comercio minorista (11%), finanzas (9%) y educación (9%).
• Los ciberataques exitosos a organizaciones provocaron con mayor frecuencia filtraciones de datos (53%) e interrupciones del negocio (35%), lo que fue similar al año pasado. Más de la mitad del volumen total de datos robados a las organizaciones consistió en datos personales (32%) y en credenciales de cuentas (21%). 
• Los ciberataques a individuos provocaron filtraciones de datos (72%) y pérdidas financieras directas (19%). 
• Una parte significativa de las publicaciones en foros de la web oscura está relacionada con bases de datos (47%) que contienen datos personales, credenciales de cuentas y datos de tarjetas de pago. La información confidencial a menudo se comparte gratuitamente, ya sea porque tiene poco valor para los atacantes o con la intención de mejorar su reputación en la comunidad de la web oscura.

Nivel de digitalización

En América Latina y el Caribe, el nivel de digitalización y adopción de tecnología es desigual. Depende de varios factores, como la disponibilidad de Internet y de los servicios digitales (gobierno electrónico, comercio electrónico), y las iniciativas legislativas para la transformación digital.

La digitalización implica la integración activa de las nuevas tecnologías en diversos aspectos de la vida de los ciudadanos: están surgiendo tiendas en línea, se están introduciendo servicios de gobierno electrónico, y las industrias se están automatizando cada vez más. En particular, los sistemas de gobierno electrónico están proliferando activamente, y se están desarrollando estrategias nacionales de gobierno electrónico. Hasta la fecha, al menos 14 países de la región las han adoptado. El comercio electrónico también se está desarrollando rápidamente en ALC: expertos predicen que el volumen del mercado del comercio electrónico en Brasil, México y la Argentina crecerá un 58%, un 52% y un 90%, respectivamente, para 2027. En 2024, el mercado del comercio electrónico estuvo dominado por Brasil (29% del tamaño total del mercado de comercio electrónico en ALC) y por México (26%).

La tecnología financiera es una dirección prometedora para el desarrollo de la región. Según Distrito, una consultora, el volumen de inversión en empresas del sector tecnofinanciero en América Latina y el Caribe aumenta cada año. Tan solo en el primer semestre de 2024, se cerraron 83 operaciones por valor de 800 millones de dólares, lo que representa el 80% de todas las inversiones en empresas del sector tecnofinanciero realizadas en 2023. En los últimos 10 años, el 66.7% de la inversión total se destinó a empresas brasileñas. Una parte significativa de esta inversión fue dirigida a servicios digitales: billeteras electrónicas, cuentas electrónicas y bancos digitales.

Se están adoptando activamente nuevas tecnologías: en 2024, América Latina se convirtió en el segundo mercado de criptomonedas con mayor crecimiento a nivel mundial, con una tasa de crecimiento anual del 42.5%. Además, Brasil (puesto 10), Venezuela (puesto 13), México (puesto 14) y la Argentina (puesto 15) entraron en el top 20 del Índice Global de Adopción de Criptomonedas en 2024. Las criptomonedas son un método de pago legal en Brasil. Asimismo, Brasil fue uno de los primeros países del mundo en promulgar una legislación que regula el mercado de criptomonedas y activos virtuales. En la Argentina y México, las criptomonedas no son moneda de curso legal, pero su uso y comercio están permitidos.

Sin embargo, aún existen países donde el nivel de digitalización sigue siendo bajo. Según Surfshark, el Índice de Calidad de Vida Digital¹ en Honduras y en Guatemala es de 0.29 y 0.31, respectivamente, a diferencia de Brasil (0.51) y de Chile (0.55). Existe una brecha de digitalización entre los distintos países de la región, y los países rezagados deberán realizar esfuerzos significativos para implementar soluciones tecnológicas modernas y garantizar su seguridad en el futuro. 

1. El índice se calcula con base en cinco componentes clave: asequibilidad de Internet, calidad de Internet, infraestructura electrónica, seguridad electrónica y gobierno electrónico.

Cómo el nivel de digitalización influye en las decisiones de los ciberdelincuentes sobre sus objetivos

A continuación, examinamos los países que desempeñan un papel clave en el desarrollo económico y tecnológico de la región, y que también son objeto del mayor número de ciberataques. Entre los cinco países más atacados en América Latina y el Caribe, se encuentran Brasil, México, Colombia, Chile y la Argentina. Analicemos brevemente la relación entre el nivel de desarrollo digital en estos países y la naturaleza de las ciberamenazas que enfrentan.

Brasil

Brasil se destaca por su crecimiento dinámico en el sector de tecnologías de la información. El país cuenta con más de 12 000 empresas emergentes en diversos sectores, incluidas las industrias tradicionales; por ejemplo, se ha creado una plataforma digital para productores de soja y trigo que ofrece recomendaciones de aplicación de fungicidas utilizando datos de investigación e inteligencia artificial.

A nivel internacional, Brasil ocupa el 12.º puesto en el mercado de tecnologías de la información, representando una participación significativa en el mercado latinoamericano (36.5%). En la cumbre del G20 de noviembre de 2024, Brasil presentó un plan de desarrollo de IA, con una inversión de aproximadamente 4 000 millones de dólares. El plan busca ampliar la infraestructura para el desarrollo de IA, introducir nuevos programas educativos en este campo y aplicar tecnología para mejorar la prestación de servicios. El comercio electrónico también ha tenido un impacto significativo en el desarrollo digital del país, contribuyendo con el 13% del PIB.

El sector industrial de Brasil abarca una amplia gama de industrias, incluidas la automotriz, la petroquímica, la metalúrgica, la siderúrgica, la de procesamiento, la construcción y la alimentaria. Brasil es actualmente el 10.º mayor productor de acero crudo del mundo, con una producción anual de 34 millones de toneladas métricas.

El rápido avance de las tecnologías digitales en sectores como las finanzas, el comercio minorista y la fabricación se ha convertido en el principal factor que define la trayectoria de los ciberataques. Como en la mayoría de los países, los ciberdelincuentes atacan principalmente el sector público, que representa una cuarta parte de todos los ciberataques (26%). La adopción de nuevas tecnologías crea oportunidades atractivas para los grupos de ciberdelincuentes, como lo demuestran los ciberataques a instituciones financieras, empresas de TI y comercios minoristas.

México

México es uno de los países con mayor desarrollo económico de la región, con un PIB elevado que es solo superado por Brasil. El sector bancario del país es uno de los más avanzados de América Latina, impulsado por el rápido desarrollo del ecosistema tecnofinanciero. Según Forbes, México es el segundo mercado tecnofinanciero más grande de América Latina: a principios de 2024, se registraron 773 empresas tecnofinancieras, lo que representa un aumento del 19% en comparación con el año anterior.

Con un sector de comercio electrónico que representa el 26% del mercado regional, México ocupa el segundo lugar en ingresos por ventas en línea en América Latina, compitiendo con Brasil por el liderazgo. El sector industrial mexicano, en particular la minería, la ingeniería mecánica, los productos químicos y la alimentación, también está en crecimiento. México ocupa el 11.º puesto a nivel mundial en la industria alimentaria y el 3.º en América, después de Estados Unidos y Brasil.

El dinámico crecimiento de los sectores financiero, industrial y minorista los convierte en objetivos prioritarios para los ciberdelincuentes, como lo demuestra la alta proporción de ciberataques a organizaciones de estos sectores. Si bien las organizaciones gubernamentales siguen siendo el objetivo más atractivo para los ciberdelincuentes en la región, los ciberataques exitosos a este sector en México ocupan el cuarto lugar (6%). La disminución en el número de ciberataques exitosos a entidades gubernamentales se puede atribuir en parte a las medidas de respuesta a ciberincidentes implementadas por el Gobierno. En particular, después del incidente que tuvo como resultado la filtración de datos clasificados de la Secretaría de la Defensa Nacional de México, se implementaron una serie de estrategias e iniciativas para mejorar la postura general de ciberseguridad. 

Colombia

En los últimos años, Colombia ha emergido como un actor líder en el mercado digital de ALC: el país alberga el 12,8% de las empresas digitales de la región (una cifra superada solo por Brasil y por México).

En 2024, Colombia ocupó el puesto 61 en el Índice Global de Innovación gracias al apoyo gubernamental al sector de TI y a la inversión en programas educativos. En 2019, el Gobierno colombiano aprobó una ley para modernizar el sector de las tecnologías de la información y la comunicación, cuyo objetivo es reducir la desigualdad digital en Colombia, aumentar la inversión en TI y desarrollar proyectos innovadores. Este enfoque ha dado lugar a la creación de más de 3 950 grupos de investigación y empresas emergentes innovadoras.

En cuanto al sector de las telecomunicaciones, Colombia ocupa una posición de liderazgo en América Latina. La asequibilidad de Internet en Colombia es del 77%, un 9% más que el promedio mundial. Esto crea condiciones favorables para el desarrollo digital y para la adopción de innovaciones tecnológicas.

La salud y la ciencia también desempeñan un papel vital en la vida económica y social de Colombia. Los jóvenes científicos cuentan con el apoyo de diversas organizaciones, como la Corporación para Investigaciones Biológicas (CIB).

El rápido desarrollo de estos sectores atrae la atención de actores maliciosos, como lo demuestran las estadísticas de ciberataques exitosos en 2023-2024. Entre los principales objetivos, se encontraban instituciones científicas y educativas, organizaciones médicas, y empresas de telecomunicaciones.

Chile

Según el Informe de Competitividad Global, Chile tuvo el mayor nivel de digitalización de la región en 2024. La computación en la nube y el Internet de las cosas (IoT) han desempeñado un papel fundamental en la transformación digital del país. Según Grand View Research, el mercado de bases de datos en la nube en Chile crecerá a una tasa de crecimiento anual compuesta del 21.6% entre 2024 y 2030.

El nivel de digitalización también depende de la asequibilidad de Internet, y Chile es líder en la región en este aspecto (94%). Además, a agosto de 2024, Chile se ubicaba entre los cinco países con el acceso a Internet de banda ancha fija más rápido del mundo, con una velocidad promedio de descarga de 265.62 Mbps.

El sector público también está adoptando la digitalización. En junio de 2023, se anunció la aprobación de un préstamo para apoyar el programa de gobierno digital de Chile. Esta iniciativa se centra en mejorar la eficiencia de los servicios públicos para los ciudadanos a través de la transformación digital en todos los niveles: central, regional y municipal.

El país también está avanzando en el campo de las tecnologías financieras. En enero de 2023, se promulgó la denominada Ley Fintec. Establece el marco regulatorio para las empresas del sector tecnofinanciero, incluida la regulación de las finanzas abiertas en Chile.

Además de las tecnologías modernas, Chile también tiene un sector industrial bien desarrollado, particularmente en minería, agricultura y producción de alimentos.

El rápido desarrollo de los servicios de red, la infraestructura de TI y las tecnologías financieras en los sectores público y privado convierte a estas áreas en objetivos principales para los ciberdelincuentes.

Argentina

La Argentina cuenta con vastos recursos naturales esenciales para los sectores energético y agrícola. El país cuenta con tierras fértiles, reservas de gas natural y de litio, y un importante potencial de energía renovable. La Argentina también cuenta con una industria farmacéutica bien desarrollada, lo que la convierte en el tercer mercado más grande de ALC. Aproximadamente 65 empresas de biotecnología residen aquí y contribuyen al sector de la salud. Más de diez de ellas exportan sus productos a otros países de ALC y a Asia.

Los servicios innovadores de alta tecnología, incluido el comercio electrónico, también están mostrando un crecimiento dinámico. La Argentina alberga una de las plataformas de comercio electrónico más grandes de la región:MercadoLibre.

En los últimos cinco años, el sector tecnofinanciero local se ha expandido significativamente: el número de empresas tecnofinancieras ha pasado de 158 en 2019 a 432 en 2024. Más del 80% de los argentinos utilizaron billeteras digitales en 2023, lo que introdujo riesgos de seguridad adicionales para los datos financieros y otra información confidencial de los usuarios.

Como líder en diversas industrias, la Argentina no solo es un actor estratégico a nivel internacional, sino también un blanco para los ciberdelincuentes. Las organizaciones financieras e industriales estuvieron entre los principales objetivos de los ciberataques durante el período estudiado. Una parte significativa de los ciberataques no se dirigió a organizaciones específicas. En cambio, los atacantes atacaron a una amplia gama de empresas de múltiples industrias en todo el mundo, y no hay información detallada disponible sobre el panorama más amplio. Sin embargo, es razonable suponer que la mayoría de estos ataques se dirigieron a organizaciones industriales y financieras.

Ciberseguridad

Según el informe del Índice Global de Ciberseguridad de 2024, Brasil y Uruguay son los países de ALC con mejor desempeño en ciberseguridad. Aún existen algunos países de la región con posturas de ciberseguridad relativamente deficientes. Sin embargo, en los últimos años, hemos observado un aumento en el número de naciones que muestran cambios positivos en este ámbito. En 2024, Ecuador y Panamá se unieron a la lista de países con una postura de ciberseguridad superior al promedio mundial. Según los expertos, los puntajes más bajos se encuentran en los estados insulares de Granada y Antigua y Barbuda. A continuación, examinamos los factores clave que influyen en la postura de ciberseguridad de un país.

Leyes y regulaciones

Uno de los factores clave que influyen en la postura de ciberseguridad de un país es la presencia de instituciones gubernamentales especializadas, junto con leyes y regulaciones de ciberseguridad. Por ejemplo, Brasil desarrolló una estrategia nacional de ciberseguridad (E-Ciber) en 2020. En 2023, el país también estableció una política nacional de ciberseguridad (PNCiber) y un comité nacional de ciberseguridad (CNCiber).

Programas educativos

Otro paso crucial para progresar en la ciberseguridad en la región es el establecimiento de programas educativos nacionales e internacionales para formar una fuerza laboral calificada en ciberseguridad, y la organización de eventos destinados a aumentar la alfabetización digital de la población. Ecuador lanzó su estrategia nacional de ciberseguridad en 2022. Se desarrolló con la participación de más de 170 representantes del Gobierno, la academia y el sector privado, así como expertos en ciberseguridad, incluidos especialistas de Cyber4Dev.² 

2.   Cyber4Dev es un proyecto de la UE diseñado para ayudar a empresas públicas y privadas de diversos países a mejorar su ciberresiliencia.

Entorno económico

La fortaleza económica de las naciones también contribuye a mejorar su ciberseguridad. Suele medirse mediante el producto interior bruto (PIB), que refleja el valor total de los bienes y servicios producidos en un país durante un período específico. El PIB per cápita más alto de la región se concentra en Brasil y en México. A pesar del papel de Chile como centro tecnológico, su PIB per cápita sigue siendo inferior al de Brasil y al de México. Esto se debe a que estos dos últimos países tienen economías más diversificadas, son ricos en recursos naturales, atraen activamente la inversión extranjera y tienen un alto potencial exportador. Por lo tanto, la superioridad tecnológica por sí sola no es suficiente para compensar estos factores y garantizar un PIB más alto.

El gráfico a continuación ilustra la correlación entre la postura de ciberseguridad y el PIB de los países de la región. La postura de ciberseguridad depende en gran medida de las capacidades económicas: cuanto mayor sea el PIB de un país, mayores serán los recursos que podrá destinar al desarrollo y fortalecimiento de su ciberseguridad. Esto facilita el acceso a las inversiones en ciberseguridad para los países de altos ingresos, lo que a su vez los hace más resilientes a las ciberamenazas.

Iniciativas internacionales

Otra forma de fortalecer la seguridad nacional es mediante la cooperación internacional y las iniciativas conjuntas de ciberseguridad. Los países de ALC participan activamente: el Centro de Competencia Cibernética de América Latina y el Caribe (LAC4) organiza periódicamente eventos para apoyar su transformación digital y combatir las ciberamenazas. Por ejemplo, Uruguay organizó un taller de LAC4 el 20 de noviembre de 2024, donde expertos compartieron sus conocimientos y debatieron herramientas para integrar funciones de seguridad robustas en las primeras etapas del diseño de productos y servicios digitales.

Centros regionales de respuesta a incidentes

La postura de ciberseguridad de la región también se ve influenciada por los centros de respuesta a incidentes (CERT, CSIRT, CIRT), capaces de detectar y neutralizar rápidamente las amenazas de ciberseguridad. Se han establecido más de 200 organizaciones de este tipo en América Latina y el Caribe. Una quinta parte de todos los centros de respuesta a incidentes de ciberseguridad se encuentran en Brasil (22%), seguido de México (18%). Algunos países de la región (12%) aún no cuentan con centros de respuesta de este tipo.

Los equipos de los centros de respuesta a incidentes colaboran para mejorar la eficiencia operativa. Un ejemplo de dicha colaboración es el Foro de Respuesta a Incidentes y Equipos de Seguridad (FIRST). Proporciona una plataforma para centros de respuesta a incidentes de todo el mundo, permitiéndoles compartir conocimientos y prácticas. A lo largo del año, el número de empresas de América Latina y el Caribe que colaboran con el FIRST aumentó un 26%. Por ejemplo, el equipo CSIRT de Apura de Brasil se unió al FIRST el 29 de enero de 2024.

Ciberataques a organizaciones

Durante el período analizado, la mayoría de los ciberataques se dirigieron a organizaciones en Brasil (19%) y en México (16%).

La mayoría de los ciberataques exitosos a organizaciones de la región impactaron en el sector público (21%) y en el sector financiero (13%). Las instituciones gubernamentales de todo el mundo siguen siendo los objetivos más atractivos para los ciberdelincuentes, ya que potencialmente proporcionan acceso a una gran cantidad de información y recursos. Además, las organizaciones gubernamentales se encuentran entre los principales objetivos tanto de los hacktivistas como de los grupos de APT. Por ejemplo, tras las elecciones presidenciales en Venezuela en julio de 2024, el grupo hacktivista Anonymous lanzó una serie de ataques de DDoS, que afectaron a más de 45 sitios web gubernamentales.

A pesar de que una parte importante de los ciberataques tuvieron como objetivo instituciones gubernamentales, su proporción en comparación con los datos de 2022-2023 ha disminuido en 10 puntos porcentuales. Al mismo tiempo, los ciberataques a organizaciones financieras aumentaron 4 puntos porcentuales, lo que indica un creciente interés por parte de actores maliciosos. Dada la mayor atención a la ciberseguridad en estas organizaciones y la naturaleza específica del trabajo con datos valiosos, los ciberataques exitosos a estas entidades pueden proporcionar a los actores maliciosos beneficios tanto financieros como reputacionales. En mayo de 2024, se reveló un ciberataque masivo contra instituciones bancarias brasileñas. El blanco de los atacantes fue el Banco Central de Brasil y la Caja de Ahorros del Estado, así como otras importantes instituciones bancarias del país.

A medida que el comercio electrónico crece rápidamente en la región, también atrae cada vez más la atención de los ciberdelincuentes: los ciberataques a este sector han ascendido al tercer lugar, representando el 9%. En junio de 2023, se lanzó una campaña a gran escala dirigida a tiendas en línea de todo el mundo, incluidos Brasil y Perú. Los ciberdelincuentes utilizaron “skimmers” web para robar información personal de los usuarios y datos de tarjetas de pago mediante la inyección de “scripts” maliciosos en sitios web de comercio electrónico vulnerables que aceptan tarjetas bancarias.

Las empresas industriales también son un objetivo habitual para los ciberdelincuentes. En Brasil, México, Chile y la Argentina, se encuentran las cinco categorías principales de organizaciones que sufren ciberataques, probablemente debido a la presencia de las empresas más grandes de América Latina en estos países. Por ejemplo, México, Brasil y la Argentina ocupan posiciones de liderazgo en la industria minera de la región. Estos países también cuentan con industrias de ingeniería mecánica y de procesamiento químico bien desarrolladas. En cuanto a Chile, es el principal productor mundial de cobre. En febrero de 2024, por ejemplo, el grupo de secuestro de datos LockBit 3.0 anunció en un foro de la web oscura que había llevado a cabo con éxito un ciberataque contra una empresa industrial chilena que fabrica componentes estructurales para la industria minera.

Objetivos blanco de ciberataques

Los ciberataques exitosos a organizaciones se vincularon predominantemente con la vulneración de computadoras, servidores y equipos de red (76%), así como con interacciones con empleados de la empresa (52%). Normalmente, estos dos vectores se combinaban con frecuencia: los atacantes empleaban técnicas de ingeniería social para manipular a los individuos, obteniendo así acceso a la infraestructura de la empresa y la capacidad de implementar malware. Por ejemplo, en febrero de 2024, expertos identificaron una campaña dirigida a los sectores industrial y de transporte, durante la cual el malware Timbre Stealer se distribuyó mediante correos electrónicos de “phishing”. De esta forma, los atacantes engañaban a los empleados para que realizaran acciones que tenían como resultado la instalación de malware.

Casi uno de cada cinco ciberataques exitosos a organizaciones (18%) se dirige a recursos web. En comparación con el año anterior, esta cifra aumentó en 3 puntos porcentuales.

Ataques a individuos

La proporción de ciberataques exitosos a individuos en la región fue del 22%, lo que representa cuatro puntos porcentuales más que el promedio mundial para el período analizado. El mayor número de ciberataques a individuos se registró en la Argentina (35%), Brasil (33%) y México (22%). Esto puede atribuirse al mayor nivel de digitalización en estos países en comparación con otras partes de la región.

La mayoría de los ciberataques a usuarios individuales se llevan a cabo no a través de vulnerabilidades técnicas de los sistemas de TI, sino mediante ingeniería social (82%). Las personas suelen ser el vector inicial de un ciberataque, y las computadoras, los servidores y los dispositivos de red sirven como vector de ataque posterior en el 57% de los casos. Por ejemplo, en marzo de 2024, se reveló que una campaña a gran escala se dirigió a individuos y a organizaciones en toda América Latina. Los ciberdelincuentes se hicieron pasar por agencias gubernamentales colombianas y enviaron documentos PDF infectados, acusando a los destinatarios de infracciones de tránsito y de otros delitos. En cuanto el usuario abría el documento, se descargaba un troyano de acceso remoto (RAT) en su computadora, lo que permitía a los ciberdelincuentes acceder al sistema de la víctima. Uno de estos archivos PDF fue publicado en X (anteriormente, Twitter) por ANY.RUN, una empresa que ofrece servicios de análisis interactivo de malware.

Uno de cada cuatro ciberataques exitosos tuvo como objetivo dispositivos móviles (26%). Esto es fácil de explicar: cada año que pasa, los teléfonos inteligentes juegan un papel cada vez más importante en la vida de las personas, convirtiéndose en un asistente indispensable que nos permite estar conectados y realizar diversas tareas. Esto amplía las posibilidades para los atacantes que utilizan aplicaciones maliciosas para infectar los dispositivos de las víctimas. Por ejemplo, en septiembre de 2023, se descubrió un nuevo troyano bancario para Android llamado “Zanubis”. El troyano se disfrazó de aplicaciones que prestaban servicios gubernamentales a los residentes de Perú. El malware captura las pulsaciones de teclas y graba la pantalla para obtener información confidencial. Según Canalys, la demanda de teléfonos móviles ha aumentado en la región un 20% durante el año, y el sector del comercio electrónico también ha experimentado un desarrollo significativo. Por lo tanto, se puede suponer que el número de ciberataques a individuos a través de teléfonos inteligentes aumentará en el futuro.

Métodos de ciberataque

Los principales métodos de ciberataque en ALC, así como a nivel mundial, siguen siendo la ingeniería social (57% de los ataques a organizaciones y 96% a individuos) y el malware (67% de los ataques a organizaciones y 79% a individuos). Además, estos métodos se combinan con mayor frecuencia en un solo ciberataque: el 48% de los ciberataques exitosos son a organizaciones; y el 71%, a individuos. Por ejemplo, en julio de 2024, se inició una campaña global de phishing que también afectó a residentes de México. Utilizaba Gigabud, un tipo de malware que se distribuía a través de sitios web de phishing camuflados en Google Play o que imitaba sitios web de agencias gubernamentales o de diversos bancos, como el banco mexicano Hey Banco.

En el 28% de los ciberataques exitosos, los atacantes explotan vulnerabilidades. En mayo de 2024, surgió la noticia de la “botnet” CatDDoS³. La botnet explotó más de 80 vulnerabilidades conocidas en diversos softwares, afectando a enrutadores, equipos de red y otros dispositivos de proveedores como Apache (ActiveMQ, Hadoop, Log4j y RocketMQ), Cisco y D-Link. La botnet estaba diseñada para ser utilizada en ataques de denegación de servicio distribuido (DDoS)⁴.  Los ciberataques se dirigieron principalmente a Brasil, Estados Unidos, Francia, Alemania y China.

3. Una botnet es una red de dispositivos infectados con malware, utilizada por los ciberdelincuentes para lograr sus objetivos.
4. Un ataque de DDoS es un ciberataque en el que varios dispositivos envían simultáneamente solicitudes a un servidor para desactivarlo o hacerlo menos accesible para los usuarios normales.

Uso de malware

El secuestro de datos se utilizó en el 49% de los ataques exitosos a organizaciones. Entre los grupos de secuestro de datos más frecuentes en la región, se encuentran BlackCat, Cl0p, LockBit 3.0, BlackByte, Medusa y 8Base.

Los tipos de malware más comunes fueron el software espía (39%) y los troyanos bancarios (35%). Para llevar a cabo ciberataques exitosos, los actores maliciosos modifican y desarrollan constantemente nuevas versiones de malware para evadir las defensas actuales. En octubre de 2024, se descubrió un nuevo troyano bancario, denominado “Silver Oryx Blade”, que atacaba principalmente a residentes de Brasil. La cadena de infección consta de dos etapas principales: una campaña de phishing y la descarga de archivos ZIP maliciosos, junto con archivos MSI y DLL. El troyano Silver Oryx Blade recopila credenciales y datos de tarjetas de pago (asociados a más de 50 bancos e instituciones financieras), y luego envía los datos extraídos a servidores C2 controlados por ciberdelincuentes.

Las herramientas de administración remota (RAT) también se utilizan activamente en ciberataques a organizaciones y a individuos: el 32% de los ciberataques exitosos a organizaciones y el 30% de los ciberataques exitosos a individuos consisten en el uso de RAT.

Actividad de los operadores de secuestro de datos

Las principales víctimas de ciberataques de secuestro de datos entre organizaciones durante el período observado fueron instituciones gubernamentales (25%), comercios minoristas (11%), organizaciones financieras (9%) e instituciones educativas (9%). El sector público es particularmente atractivo para los ciberdelincuentes, ya que estos ciberataques pueden provocar eventos no tolerables a gran escala.⁵  Por ejemplo, el sitio web del ayuntamiento de Jacarezinho, Brasil, fue víctima de un ciberataque de secuestro de datos en julio de 2023. Como resultado, las bases de datos municipales fueron cifradas, lo que impidió el funcionamiento de los servicios gubernamentales. Esta interrupción afectó diversos servicios prestados a los residentes, como la facturación, la declaración de impuestos y el procesamiento de nóminas. La institución gubernamental tardó casi dos semanas en restablecer por completo sus operaciones.

5. Un evento no tolerable es un evento que resulta de un ciberataque e impide que una organización logre sus objetivos operativos y estratégicos, o conduce a una interrupción significativa de su negocio principal.

Ataques de APT

La región también está experimentando ciberataques dirigidos por grupos de amenazas persistentes avanzadas (APT) (6%). A pesar del porcentaje relativamente pequeño, los grupos de APT representan una amenaza clara. Con amplios recursos y técnicas de vanguardia, pueden atacar con éxito entidades bien protegidas, como grandes empresas comerciales e instalaciones gubernamentales. Aquí hay una descripción general de los grupos de APT más activos.

TA558

Año de detección. El grupo de APT se detectó por primera vez en 2018.

Objetivos. El grupo se centra en varios países del mundo, pero América Latina es su principal foco.

Métodos. El equipo de inteligencia de amenazas de PT ESC señala que el grupo emplea largas cadenas de ataque, que implican el uso de diversas herramientas y técnicas.

Actividad cibercriminal. En el primer trimestre de 2024, los principales objetivos del grupo fueron empresas industriales (22%), proveedores de servicios (16%) e instituciones gubernamentales (16%). En abril de 2024, se informó de una campaña de phishing a gran escala dirigida a una amplia gama de industrias en América Latina. Entre las víctimas, se encontraban empresas de los sectores de servicios, minorista y financiero, así como instalaciones industriales y gubernamentales en México, Colombia, Brasil, República Dominicana y la Argentina.

Blind Eagle

Año de detección. Los ciberataques de Blind Eagle se hicieron conocidos en 2018.

Objetivos. El grupo de APT generalmente ataca a los sectores gubernamentales, financieros e industriales de Colombia, Ecuador, Panamá y Chile.

Métodos. Los atacantes enviaron correos electrónicos de phishing con enlaces y archivos adjuntos maliciosos.

Actividad cibercriminal. Quasar RAT, un troyano de acceso remoto, fue descubierto en junio de 2024. El grupo de APT lo difundió mediante correos electrónicos de phishing enviados en nombre de las autoridades fiscales colombianas. Varias aseguradoras colombianas se vieron afectadas por esta campaña.

APT15

Año de detección. El grupo de APT está activo desde al menos 2010.

Objetivos. El grupo generalmente ataca instituciones gubernamentales de diversos países, incluidos los de América Latina.

Métodos. El grupo emplea diversos métodos y herramientas, como ingeniería social, RAT y software espía.

Actividad cibercriminal. En junio de 2023, el equipo de inteligencia de amenazas de Symantec publicó un estudio sobre una campaña dirigida a los ministerios de relaciones exteriores de países de América del Norte y del Sur a fines de 2022 y principios de 2023. Para ejecutar los ciberataques, APT15 empleó más de una decena de herramientas, incluida la nueva puerta trasera Graphican para ejecutar comandos y robar archivos de las computadoras de las víctimas.

Astaroth

Año de detección. El grupo de APT se detectó por primera vez en 2017.

Objetivos. El grupo de APT generalmente ataca a organizaciones y usuarios en América Latina (principalmente en Brasil) y en Europa.

Métodos. Para distribuir su propia herramienta troyana, el grupo generalmente utiliza correos electrónicos falsos haciéndose pasar por una organización oficial, como el servicio de impuestos federales, para solicitar urgentemente la presentación de una declaración de ingresos.

Actividad cibercriminal. En octubre de 2024, Trend Micro presentó los resultados de una investigación sobre una campaña de phishing dirigida a varias organizaciones en Brasil. Las principales víctimas del ciberataque fueron empresas fabricantes, comercios minoristas y agencias gubernamentales.

Los ciberataques exitosos a organizaciones tuvieron como resultado con mayor frecuencia la filtración de datos (53%) y la interrupción de la actividad principal (35%). En la mayoría de los casos, los ciberataques a individuos, al igual que los perpetrados contra organizaciones, tuvieron como resultado el robo de información confidencial (72%). En el 19% de los ciberataques, las víctimas sufrieron pérdidas financieras.

Las filtraciones de datos son una consecuencia extremadamente grave de los ciberataques, que pueden tener un impacto devastador en las operaciones de una organización. En primer lugar, una filtración de información confidencial afecta negativamente la reputación de la empresa, lo que, a su vez, puede provocar la pérdida de clientes y proveedores. Y si una institución gubernamental es el objetivo, las consecuencias pueden ser aún más graves, ya que estos ataques pueden exponer secretos de Estado y planes estratégicos, amenazando así la seguridad nacional. Por ejemplo, como resultado del ciberataque de secuestro de datos de Rhysida en mayo de 2023, alrededor de 360 000 documentos confidenciales del Ejército de Chile se publicaron en el sitio web de los atacantes. Según Rhysida, esto representó solo el 30% de los datos robados.

Los datos personales (32%) y las credenciales de cuentas (21%) representaron más de la mitad del volumen total de datos robados a organizaciones como resultado de ciberataques. El 30 de octubre de 2024, se informó una filtración de datos en una de las principales instituciones financieras de Perú, Interbank. El atacante afirmó poseer información sobre más de tres millones de clientes del banco, incluidos sus nombres completos, ID de cuenta, fechas de nacimiento, direcciones y números de teléfono, así como detalles de tarjetas de crédito y CVV. Según el atacante, el volumen total de datos robados superó los 3.7 TB.

En los ciberataques dirigidos a individuos, los atacantes generalmente robaron credenciales de cuentas (41%), datos personales (23%) y datos de tarjetas de pago (23%).

Durante el estudio, los investigadores analizaron 2 458 publicaciones relacionadas con ALC publicadas en varios foros de la web oscura y canales de Telegram entre 2023 y 2024.

El sector público se menciona en el 16% de las publicaciones. Normalmente, en estos casos, los ciberdelincuentes no buscan obtener un beneficio económico: una parte significativa de las publicaciones tienen como objetivo compartir datos (59%). En algunos casos, estas publicaciones son obra de hacktivistas que buscan llamar la atención del público sobre sus opiniones o de ciberdelincuentes que buscan mejorar su reputación en el mercado de la web oscura para promocionar sus servicios.

Con mayor frecuencia, la web oscura presenta publicaciones relacionadas con los sectores públicos de la Argentina (22%), Brasil (18%), México (15%), Colombia (10%) y Ecuador (8%).

El análisis reveló que los temas más populares en los foros de la web oscura son bases de datos (47% de las publicaciones) y credenciales de acceso (26% de las publicaciones). Una cuarta parte de las publicaciones son informes de sistemas infectados por secuestro de datos (20%) o jaqueados (4%). Otras publicaciones incluyen noticias sobre ataques de DDoS ejecutados y llamadas a participar en campañas cibercriminales, así como anuncios sobre la compra de datos de tarjetas de pago e información detallada sobre vulnerabilidades descubiertas.

Bases de datos

La mitad de las publicaciones en la web oscura están relacionadas con bases de datos (47%), y solo el 21% se venden y el 74% se comparten gratuitamente. Los datos gratuitos suelen ser ofrecidos por hacktivistas que defienden sus ideas políticas o por ciberdelincuentes que no han logrado cobrar un rescate a sus víctimas.

La información confidencial ofrecida por actores maliciosos se obtuvo principalmente mediante ciberataques a organizaciones brasileñas (22%), argentinas (22%) y mexicanas (18%). Con mayor frecuencia, los foros de la web oscura mencionan instituciones gubernamentales, una tendencia observada en los tres países. Además, el comercio minorista se ha posicionado entre los tres principales sectores mencionados en estas publicaciones. 

Entre las publicaciones relacionadas con organizaciones en la Argentina, las que mencionan instituciones educativas son bastante comunes (16%). Por ejemplo, se publicaron en la web oscura datos relacionados con empleados del Centro de Investigaciones para la Transformación (CENIT), un centro de investigación. Los datos incluyen nombres, números de teléfono, direcciones de correo electrónico, domicilios y otros datos personales.

En México, los ciberdelincuentes se sienten más atraídos por el sector financiero (16%). Una de las razones por las que los ciberdelincuentes podrían distribuir datos de forma gratuita es la obsolescencia de los datos. Por ejemplo, un anuncio publicado en enero de 2024 ofrecía datos de 2020; estaba relacionado con el segundo banco más grande de México: el Banco Nacional de México (Banamex).

Credenciales de acceso

Uno de cada cuatro anuncios (26%) implica la venta, el intercambio o la compra de credenciales para acceder a infraestructuras corporativas comprometidas. La mayoría de los anuncios que ofrecen credenciales de acceso piden un precio (88%).

El precio promedio de las credenciales de acceso en la región es de $924, 1.5 veces más alto que la cifra del año pasado. Sin embargo, la web oscura también presentó un anuncio que ofrecía acceso a la infraestructura de un fabricante de acero por 3 BTC. Teniendo en cuenta este anuncio, el precio promedio de las credenciales de acceso asciende a $1 618.

En la mayoría de los anuncios (65%) donde se especificó el precio de venta, este osciló entre $100 y $1 000. En uno de cada tres anuncios (31%), el precio superó los $1 000.

Las ofertas de hasta $100 incluían principalmente acceso a las infraestructuras de empresas minoristas.

En uno de cada tres anuncios (33%), se ofrece acceso mediante RDP y VPN. Los mercados de la web oscura suelen ofrecer acceso mediante programas de acceso remoto (13%), como Citrix y RDWeb, así como interfaces de “shell” (10%). Los tipos de acceso ofrecidos en la web oscura no son determinados por los atacantes, sino que dependen de la infraestructura de las empresas comprometidas.

Operadores de secuestro de datos

Los foros de la web oscura suelen presentar publicaciones relacionadas con secuestro de datos (20%). En la mayoría de estos casos, los ciberdelincuentes afirman haber ejecutado con éxito un ataque contra una empresa en particular (98%). Esto suele hacerse para captar la atención del público y mostrar el alcance de sus actividades cibercriminales. Posteriormente, pueden publicar un anuncio para vender o compartir los datos robados.

Casi una de cada cuatro publicaciones (23%) en la web oscura estaba vinculada al grupo de secuestro de datos LockBit 3.0. Por ejemplo, en septiembre de 2024, el grupo anunció que había llevado a cabo un ciberataque a Oleopalma, una empresa industrial mexicana.

América Latina y el Caribe han experimentado un aumento de la digitalización en 2023-2024: están surgiendo nuevas estrategias e iniciativas nacionales para adoptar tecnologías avanzadas, los sistemas de gobierno y comercio electrónicos están proliferando, y el volumen de inversión en tecnología financiera está creciendo. Esto, a su vez, conlleva un aumento tanto en la cantidad como en la complejidad de las ciberamenazas. Al mismo tiempo, la postura de ciberseguridad de la región se está fortaleciendo debido a la aparición de nuevos centros de respuesta a incidentes y al desarrollo de nuevas regulaciones de ciberseguridad.

Los ciberataques en la región se dirigen principalmente a organizaciones e individuos en Brasil y en México. Esto puede deberse a sus niveles comparativamente más altos de digitalización, así como a la falta de concienciación sobre ciberseguridad entre la población. Las instituciones gubernamentales siguen siendo el principal objetivo de los ataques a organizaciones. Para reducir el número de ciberataques exitosos en el futuro, es crucial fomentar la cooperación internacional en materia de ciberseguridad.

Los ciberdelincuentes a menudo utilizan técnicas de ingeniería social para engañar a las personas para que realicen acciones que les permitan acceder a la infraestructura corporativa e implementar malware. Para prevenir este tipo de incidentes en el futuro, es esencial realizar actividades periódicas de concienciación sobre ciberseguridad entre la ciudadanía.

La principal consecuencia de los ciberataques exitosos sigue siendo la filtración de información confidencial, como lo confirma el análisis de los mercados de la web oscura. Por lo tanto, es fundamental prestar especial atención al almacenamiento de datos confidenciales y al desarrollo de planes de respuesta a ciberataques.

Actualmente, se están tomando medidas en la región para abordar los problemas emergentes de ciberseguridad. Sin embargo, los actores maliciosos aún pueden eludir las medidas de seguridad existentes y llevar a cabo ciberataques.

Recomendaciones para mejorar la ciberseguridad en la región

Las siguientes acciones pueden fortalecer la postura de ciberseguridad en los países de ALC: 

• Desarrollar el marco regulatorio en ciberseguridad. Desarrollar un marco estratégico no garantiza una protección completa, pero sí ayuda a trazar un rumbo para mejorar la postura de ciberseguridad de un país. Una estrategia nacional de ciberseguridad debe incluir una evaluación de amenazas, así como objetivos y un plan de acción para prevenirlas. Por ello, es fundamental la participación de expertos en ciberseguridad en el proceso de desarrollo de la estrategia.
• Identificar eventos no tolerables. Para comprender por dónde empezar y cómo avanzar en materia de ciberseguridad, es fundamental analizar los riesgos clave e identificar las consecuencias de los ciberataques que el Gobierno y las organizaciones comerciales no están dispuestos a tolerar. Este paso le permitirá identificar los activos de TI más valiosos y centrar sus esfuerzos de protección en ellos.
• Proteger la infraestructura crítica de TI. Después de analizar los eventos no tolerables a nivel nacional y sectorial, el siguiente paso es identificar la infraestructura crítica de TI y desarrollar estrategias de defensa. También se deben tener en cuenta la velocidad de la transformación digital y el nivel de madurez de la ciberseguridad nacional. Para garantizar una protección sólida contra ciberataques, es fundamental utilizar únicamente los métodos más modernos y combinar múltiples enfoques.
• Establecer centros de respuesta a ciberincidentes. Para mejorar la ciberseguridad en la región, es fundamental establecer la cooperación entre las instituciones gubernamentales y el sector privado. Por ejemplo, el establecimiento de CERT, CSIRT o CIRT puede permitir la consolidación de esfuerzos para resolver incidentes de ciberseguridad. Hasta la fecha, estos centros solo existen en unos pocos países de América Latina y el Caribe, y muchos de ellos necesitan mejoras. Dentro de estos centros, recomendamos la formación de equipos especializados centrados en industrias específicas.
• Adoptar un enfoque integral para proteger su infraestructura de TI. Para proteger mejor las infraestructuras de TI, es fundamental implementar soluciones integrales avanzadas. Utilice escáneres de vulnerabilidad con una base de datos de vulnerabilidades extensa y actualizada periódicamente, capaz de priorizar las vulnerabilidades por gravedad, en combinación con soluciones de NTA que analizan el tráfico de red y detectan intentos de intrusión. Este enfoque mejorará significativamente la seguridad de las organizaciones frente a las ciberamenazas, permitiendo la detección rápida de atacantes en todas las etapas de los ciberataques y una respuesta oportuna a incidentes.
• Colaboración internacional. Una cooperación más sólida con otros países para establecer un marco regulatorio común y la actualización continua de las bases de datos de ciberamenazas y las bases de conocimientos sobre medidas de seguridad mejorarán la seguridad general en la era de la información. Además, la participación en conferencias internacionales permitirá a especialistas de diversos campos intercambiar información y examinar los problemas desde diferentes perspectivas para determinar las soluciones más efectivas.
• Capacitar a los profesionales de la ciberseguridad. Para impulsar la ciberseguridad en la región y contrarrestar eficazmente los ciberataques, es necesario invertir en la capacitación de la fuerza laboral y en el desarrollo de programas educativos en este campo.
• Concienciar a la población sobre la ciberseguridad. En esta era de tecnología disruptiva y de digitalización continua, las reglas básicas para un uso seguro de Internet deben ser conocidas no solo por los profesionales de la ciberseguridad, sino también por el usuario común. Dado que muchos ciberataques involucran métodos de ingeniería social, los usuarios de la tecnología moderna deben conocer las prácticas seguras en línea y saber cómo evitar las trampas de actores maliciosos. Los Gobiernos deben invertir en campañas de concienciación pública sobre las amenazas actuales y cómo protegerse contra ellas.

El informe contiene información sobre incidentes de ciberseguridad en países de América Latina y el Caribe: Brasil, la Argentina, México, Perú, Chile, Colombia, Paraguay, Uruguay, Venezuela, Cuba, República Dominicana, Guatemala, Honduras, El Salvador, Nicaragua, Costa Rica, Panamá, Ecuador, Bolivia, Bahamas, Guyana, Puerto Rico, Trinidad y Tobago. 

La información se basa en la experiencia de Positive Technologies, los hallazgos de numerosas investigaciones de incidentes y datos de fuentes confiables. Se presta especial atención a Brasil, México, Colombia, Chile y la Argentina, países clave en el desarrollo económico y tecnológico de la región, y sujetos al mayor número de ciberataques. Analizamos 350 canales de Telegram y foros de la web oscura, con un total de 192 millones de publicaciones (escritas por 43 millones de usuarios).

Creemos que la mayoría de los ciberataques no se hacen públicos debido a los riesgos reputacionales. El resultado es que incluso las organizaciones que investigan incidentes y analizan la actividad de los grupos de jáqueres son incapaces de realizar un recuento preciso de las ciberamenazas. Este informe tiene como objetivo llamar la atención de empresas y personas que se preocupan por la ciberseguridad e informar acerca de los motivos y métodos clave de los ciberataques, además de resaltar las principales tendencias en el cambiante panorama de las ciberamenazas.

En este informe, se considera que cada ciberataque masivo (por ejemplo, correos electrónicos de phishing enviados a múltiples direcciones) representa un incidente, no varios. Para obtener explicaciones sobre los términos utilizados en este informe, consulte el glosario de Positive Technologies.