Panorama de amenazas de ciberseguridad para América Latina y el Caribe: 2022–2023

La transformación digital que se extiende por el mundo no ha sido ajena a América Latina y el Caribe. Sin embargo, a medida que los gobiernos, las empresas y las personas de la región adoptan cada vez más herramientas digitales, el riesgo de ciberataques también aumenta.

En este informe, analizaremos el estado de la ciberseguridad en los países de América Latina y el Caribe. Se prestará especial atención a los más grandes —Brasil, México y Argentina— porque desempeñan un papel clave en el desarrollo económico y tecnológico de la región y, por ese motivo, sufren la mayor cantidad de ciberataques; algo que es relevante para este estudio. El objetivo de este informe es identificar las principales amenazas y ofrecer recomendaciones para reforzar la seguridad digital de la región.

Cifras clave y conclusiones

  • En los últimos años, los países de América Latina han experimentado una rápida transformación digital que afecta a todos los aspectos de la vida de los ciudadanos y a todos los sectores económicos. Como consecuencia de esta transformación, ha aumentado el riesgo de ciberamenazas para las que la región no estaba preparada.
  • América Latina representó el 12% del número total de ataques en todo el mundo en 2022. Los atacantes tuvieron como objetivo principalmente a organizaciones y personas de Brasil, México y Argentina: los ataques a estos tres países representaron el 44% de todos los ataques.
  • La mayoría de los ataques exitosos contra organizaciones se dirigieron a organismos gubernamentales (31%), empresas industriales (11%), instituciones financieras (9%) y empresas minoristas (9%).
  • La ciberamenaza más grave para las organizaciones y los estados de la región son los ataques de ransomware. Debido a las actividades de los operadores de ransomware, la proporción de todos los ataques exitosos (52%) que provocaron la interrupción de las operaciones de las empresas (suspensión de los procesos comerciales o pérdida de acceso a la infraestructura o los datos) es superior a la media mundial. En particular, los ataques de ransomware en esta región suelen dirigirse a estructuras gubernamentales: el porcentaje de agencias gubernamentales afectadas (31%) es 2,2 veces superior a la media mundial para el mismo periodo.
  • En el 61% de los casos, los ataques exitosos a organizaciones condujeron a filtraciones de información confidencial. La motivación principal de los atacantes en estos casos es, probablemente, financiera: venden la información robada (en su mayoría, datos personales y de cuentas) en la dark web o la utilizan para nuevos ataques y extorsiones.
  • En los foros clandestinos, los delincuentes comercian e intercambian activamente datos robados, servicios de piratería informática y acceso a las redes de organizaciones latinoamericanas. Más de la mitad de los listados (53%) que especifican un país concreto de la región mencionan a Brasil, Argentina o México. Lo que más se vende en la dark web es el acceso a las redes de instituciones financieras, agencias gubernamentales, empresas de TI, empresas industriales y organizaciones de servicios.
  • Los altos niveles de penetración de Internet móvil, el uso de dispositivos móviles y los pagos electrónicos en la región han provocado un aumento de los ataques a los dispositivos móviles de los ciudadanos. El malware se utiliza con más frecuencia que en cualquier otra región del mundo: El 78% de los ataques incluyen malware, principalmente software espía (40%) y troyanos bancarios (32%). Los bajos niveles de ciberalfabetización de la población hacen que, muchas veces, estos ataques tengan éxito.
  • Es necesario que los estados latinoamericanos refuercen la cooperación regional en la lucha contra la ciberdelincuencia y armonicen sus legislaciones en materia de ciberseguridad, aprovechando la experiencia acumulada y las mejores prácticas de los países desarrollados.
  • Las recomendaciones para mejorar la ciberseguridad a nivel estatal también incluyen el desarrollo de estrategias nacionales de seguridad informática, el fortalecimiento de los vínculos entre las organizaciones y los centros nacionales de respuesta ante incidentes cibernéticos, el apoyo a programas de educación en ciberseguridad y la promoción de la cooperación internacional y el intercambio de datos.
  • Entre las recomendaciones para mejorar la ciberresiliencia de las organizaciones se encuentran: la definición de eventos inadmisibles y la protección de activos fundamentales; el monitoreo y la respuesta a ciberamenazas con herramientas de seguridad avanzadas; la evaluación de la efectividad de las medidas implementadas y las capacitaciones dirigidas a los empleados.

Digitalización y problemas de ciberseguridad

Desarrollo de las tecnologías digitales en la región

América Latina y el Caribe tienen economías diversas, cada una con sus propias características históricas, culturales y geográficas. Algunos de estos países, como Brasil y México, muestran un desarrollo económico dinámico y cuentan con sectores industriales fuertes. Al mismo tiempo, otros países, especialmente los estados más pequeños de América Central y el Caribe, afrontan dificultades económicas y dependen, en mayor medida, del turismo y la agricultura. El PIB combinado de la región representa el 6% del PIB mundial, lo que destaca su importancia en el contexto económico mundial.

El desarrollo de la economía digital es uno de los factores clave para impulsar el crecimiento económico. La transición a la economía digital puede mejorar el rendimiento económico, aumentar la productividad y crear nuevos puestos de trabajo, lo cual es fundamental para una región caracterizada por niveles relativamente altos de desempleo y desigualdad social. En los últimos años, los países latinoamericanos han adoptado y desarrollado activamente tecnologías y servicios digitales; aunque, tradicionalmente, la región ha estado rezagada en comparación con las economías más desarrolladas en lo que respecta a la digitalización. Esto es especialmente evidente en los servicios gubernamentales, las tecnologías financieras, la atención médica y el comercio minorista.

A principios de 2023, la tasa de penetración de Internet en la región se estimó en un 75%, superando la media mundial del 65%. En Brasil, esta tasa es del 84%; en Argentina, del 87%; y en México, del 77%.

Internet penetration rate
Figura 1. Tasa de penetración de Internet

La digitalización de la región implica no solo ampliar el acceso a Internet, sino también integrar las nuevas tecnologías en la vida cotidiana de los ciudadanos; desde la banca móvil y las compras en línea hasta los sistemas domésticos inteligentes. Alrededor del 66% de la población adulta realiza compras en línea, y en Argentina, Brasil, Chile y Colombia, este porcentaje supera el 80%. El comercio electrónico está creciendo en la región: los expertos estiman que el volumen de transacciones aumentará un 27% en 2023, alcanzando los 509 000 millones de dólares.

En muchos países, en particular Brasil, Argentina, México, Colombia y Chile, se han establecido programas nacionales para estimular el desarrollo de la economía digital. Estas estrategias pretenden integrar las nuevas tecnologías en todos los sectores, principalmente optimizando los servicios gubernamentales y desarrollando el comercio electrónico y los pagos digitales. Según diversas evaluaciones, como el Índice de Desarrollo de Gobierno Electrónico y el Índice de Madurez GovTech, los servicios gubernamentales de la mayoría de los países de la región tienen niveles altos o muy altos de desarrollo digital.

Maturity level of government services according to the
Figura 2. Nivel de madurez de los servicios gubernamentales según el Índice de Madurez GovTech del Banco Mundial

Problemas de ciberseguridad

A pesar del activo desarrollo tecnológico, muchos países aún carecen de marcos legislativos e infraestructuras suficientes para combatir la ciberdelincuencia. Los problemas de ciberseguridad se han vuelto especialmente urgentes en América Latina debido a la falta de normas y reglamentos claros, la escasez de profesionales calificados, la falta de cultura de seguridad de la información entre los usuarios y la limitación de recursos para invertir en tecnologías de seguridad; todo esto hace que la región sea especialmente vulnerable a las ciberamenazas.

Según las estimaciones de los expertos, el daño de los ciberataques a los países de la región asciende aproximadamente al 1% del PIB, y si se ven afectadas las infraestructuras críticas, puede llegar a ser del 6%. En un estudio de Fortinet, el 31% de las organizaciones de América Latina declararon que las consecuencias de los ciberataques les costaron más de un millón de dólares.

Las puntuaciones del informe Índice de Ciberseguridad Global 2020 muestran que América Latina tiene el nivel más bajo de ciberseguridad en comparación con otras regiones.

Cybersecurity index by region
Figura 3. Índice de ciberseguridad por región

Solo 10 de los 33 países de América Latina tienen un índice de ciberseguridad superior a la media mundial, siendo Brasil (96,60) y México (81,68) los que ostentan los índices más altos. En la mayoría de los países, el problema radica en la falta de recursos; naturalmente, los países más ricos pueden invertir más en infraestructuras y desarrollo de la ciberseguridad.

Relationship between the cybersecurity index and a country's GDP
Figura 4. Relación entre el índice de ciberseguridad y el PIB de un país

La región se enfrenta a numerosos obstáculos en el camino hacia la ciberresiliencia. Principalmente, esto se debe a la falta de financiación. Según la Organización para la Cooperación y el Desarrollo Económicos, la mayoría de las empresas de la región (99%) son pequeñas y medianas empresas, lo que las convierte en la columna vertebral de la economía. Estas empresas pueden carecer de recursos suficientes para proteger sus activos y contratar personal calificado en ciberseguridad, lo que las deja vulnerables a las nuevas amenazas. Según el informe de seguridad ESET Security Report, el 65% de los especialistas cree que sus organizaciones necesitan invertir más en ciberseguridad.

También hay escasez de profesionales calificados en ciberseguridad en la región. El ISC2 estima que en 2022 hubo una escasez de 516 000 empleados solo en México y Brasil. Por otro lado, el 94% de las organizaciones planea aumentar su fuerza de trabajo en ciberseguridad. Desafortunadamente, los países de la región están experimentando una fuga de talentos debido a los salarios relativamente bajos en comparación con otras regiones: muchos especialistas latinoamericanos se están trasladando a Norteamérica o Europa en busca de oportunidades profesionales y educativas. Según la e-Governance Academy, solo 12 países de la región ofrecen programas de licenciatura en seguridad de la información, mientras que 15 países cuentan con programas de maestría especializados.

También hay problemas políticos. El enfoque de la ciberseguridad sigue siendo, en gran medida, reactivo: solo se toman medidas en respuesta a incidentes que ya se han producido. Este enfoque puede pasar por alto nuevas amenazas emergentes. La actitud hacia la seguridad en la legislación también carece de sentido de la responsabilidad. Por ejemplo, no todos los países de la región han adoptado estrategias nacionales de ciberseguridad. En noviembre de 2022, se publicó un plan de desarrollo digital para los países de América Latina y el Caribe, cuyo objetivo era la implementación de estrategias nacionales de ciberseguridad para 20 de los 33 países de la región en 2024. Los problemas de seguridad de las infraestructuras críticas también se abordan únicamente en las estrategias de algunos estados. No existe una legislación unificada sobre ciberseguridad o protección de datos entre los países latinoamericanos. Están surgiendo iniciativas individuales para adaptar las leyes a las mejores prácticas; por ejemplo, Brasil y Argentina actualizaron su legislación sobre protección de datos personales siguiendo el Reglamento General de Protección de Datos europeo. Sin embargo, los requisitos legales varían en cada país, lo que puede crear dificultades adicionales en la transferencia transfronteriza de datos y la lucha contra la ciberdelincuencia. Algunos países de la región como Brasil, Argentina, Colombia, Chile y Costa Rica han firmado el Convenio de Budapest sobre delitos cibernéticos. Pero, a nivel regional, los esfuerzos para unificar la legislación y contrarrestar las ciberamenazas avanzan muy lentamente.

Existen equipos nacionales de respuesta a ciberincidentes en 24 países de la región. Pero incluso en los países donde existen procedimientos para reportar ciberincidentes e interactuar con los CERT o los CSIRT, los profesionales de la ciberseguridad no siempre están familiarizados con estos procesos. El Informe de ciberseguridad LATAM CISO 2023 señala que, aunque la mayoría de los encuestados entiende el procedimiento para interactuar con los CERT, el 32% declaró no saber dónde y cómo reportar un ciberincidente. Además, el 35% de los encuestados expresa un bajo grado de confianza en los CERT nacionales.

Objetivos y consecuencias de los ciberataques

Los países latinoamericanos representaron el 12% del total de ataques en 2022, según un informe de IBM. Hay una clara correlación entre el tamaño de la economía del país, el desarrollo de las tecnologías digitales y el número de ataques. Los atacantes se dirigieron principalmente a organizaciones y personas específicas en Brasil (22% de todos los ataques en la región), México (12%), Argentina (10%), Costa Rica (9%), Colombia (9%) y Chile (8%).

Distribution of successful attacks by country in the region
Figura 5. Distribución de ataques exitosos por país en la región

Según una encuesta del Informe de ciberseguridad LATAM CISO 2023, el 71% de los líderes de ciberseguridad señaló que el número de ataques a sus organizaciones había aumentado en el último año, mientras que solo el 8% informó una disminución. En la encuesta de ESET, el 69% de los encuestados indicó que enfrentó un incidente de seguridad en el último año. El estudio de Fortinet señala que el 58% de los encuestados anticipa un aumento en el número de ataques en un futuro próximo.

Desde principios de 2022 hasta finales del primer semestre de 2023, la mayoría de los ataques exitosos contra organizaciones de la región tuvieron como objetivo agencias gubernamentales (31%), empresas industriales (11%), instituciones financieras (9%) y empresas minoristas (9%).

Categories of victim organizations
Figura 6. Categorías de organizaciones víctimas

chart.png

El 13% de los ataques exitosos fueron dirigidos a individuos.

chart.png

El 78% de los ataques fueron dirigidos, lo que significa que tuvieron como objetivo a organizaciones, industrias o personas específicas.

Brazil
Mexico
Argentina
Costa Rica
Colombia
Figura 7. Las 5 principales categorías de víctimas por país

Los individuos particulares representaron el 13% de los ataques con éxito en la región, porcentaje ligeramente inferior a la media mundial (17%). Sin embargo, en países como México y Brasil, este porcentaje fue superior: 23% y 20% respectivamente.

La mayoría de los ataques contra organizaciones ocasionó la filtración de información confidencial (61%) y la interrupción de las operaciones (52%). Estas consecuencias fueron más frecuentes que la media mundial, probablemente debido al alto grado de actividad de ransomware en la región.

Consequences of attacks (percentage of attacks)
Figura 8. Consecuencias de los ataques (porcentaje de ataques)

El principal motivo de los atacantes es, probablemente, obtener ganancias económicas. Hay numerosos ataques que implican el robo de datos, pero los atacantes no están interesados en la información robada en sí (principalmente datos personales y de cuentas); las investigaciones sugieren que, principalmente, venden esta información en la dark web o la utilizan para otros ataques y extorsiones. Esto se confirma por el uso frecuente de ransomware, que implicó el 63% del total de ataques a organizaciones.

El incidente de mayor repercusión en la región en los últimos dos años fue una serie sin precedentes de ataques de ransomware a organizaciones gubernamentales de Costa Rica, que afectó a los sistemas de TI de 27 instituciones. Debido a la no disponibilidad de una parte significativa de la infraestructura de TI del país, se declaró el estado de emergencia. Solo en las primeras 48 horas del ataque, los delincuentes causaron daños por el valor de 125 millones de dólares, y el proceso de restablecimiento de las infraestructuras de Costa Rica duró varios meses.

Agencias gubernamentales

Las agencias gubernamentales fueron el objetivo más frecuente de los ataques. Son de interés para los ciberdelincuentes por varias razones. Estas instituciones cuentan con extensas bases de datos que incluyen datos personales de los ciudadanos, información sobre seguridad nacional y datos económicos. Esta información puede utilizarse para la extorsión, el espionaje o la venta en el mercado clandestino.

Los sistemas gubernamentales se están digitalizando y cada vez se prestan más servicios en línea, lo que los convierte instantáneamente en objetivos para los hackers. Por ejemplo, tan pronto como el gobierno de Jamaica introdujo un sistema electrónico para completar los formularios de aduanas e inmigración, fue hackeado: los delincuentes exigieron 35 dólares a los usuarios desprevenidos para acceder al sistema.

Algunas agencias gubernamentales de la región también utilizan sistemas de información anticuados o sin protección suficiente, lo que las transforma en objetivos fáciles para los ciberataques. La financiación insuficiente y los bajos niveles de formación en ciberseguridad entre el personal también pueden influir en este aspecto. Por ejemplo, en septiembre de 2022, el grupo Guacamaya penetró en los servidores de estructuras estatales de México, Chile, Perú, Colombia y El Salvador a través de la vulnerabilidad ProxyShell del servicio Exchange. La actualización de seguridad oficial se publicó a principios de 2021, pero las organizaciones comprometidas no instalaron este parche. En el caso del ataque a la Secretaría de la Defensa Nacional de México, los atacantes explotaron vulnerabilidades en el servidor de correo gratuito Zimbra; presuntamente, se utilizó este software debido a recortes presupuestarios.

Los ciberataques pueden ser una herramienta de presión política, desestabilización o exhibición de poder. También pueden utilizarse para interferir en las elecciones u otros procesos gubernamentales. Algunos grupos pueden atacar instituciones gubernamentales para promover sus creencias ideológicas. Por ejemplo, el mencionado Guacamaya es un grupo de hacktivistas que afirman apoyar la protección del medioambiente en Sudamérica. Roban y publican datos de agencias gubernamentales y empresas industriales. Desde 2022, estos hacktivistas han publicado más de 20 TB de datos robados.

Empresas industriales y energéticas

Las industrias de fabricación y energéticas, en particular la industria petrolera, son esenciales para el crecimiento económico y el desarrollo de América Latina. Las interrupciones en estos sectores pueden convertirse en una bola de nieve de problemas económicos y sociales. Los ataques exitosos han provocado interrupciones en la infraestructura de TI en el 58% de los casos para las empresas industriales.

Las organizaciones industriales suelen poseer valiosa propiedad intelectual. En el 77% de los ataques exitosos, los atacantes lograron robar datos y, en la mitad de los casos, esta información robada contenía secretos comerciales. Guacamaya estuvo especialmente activo en este sentido: en 2022, el grupo publicó más de 2 TB de información robada a empresas mineras de América Central y del Sur.

Aproximadamente el 6% de todos los listados de la dark web relacionados con la región implican la venta de acceso a las redes de empresas de los sectores de energía y fabricación. El precio medio de dicho acceso oscila entre 600 y 800 dólares, dependiendo del tamaño de la empresa y del nivel de privilegios de acceso. Un caso aislado fue la venta de acceso a una empresa del sector energético en Argentina por 1700 dólares.

Sale of access to an Argentine energy company
Figura 9. Venta de acceso a una empresa energética argentina

Finanzas

El sector financiero sigue siendo el objetivo principal para los ciberdelincuentes en América Latina debido a su amplia transformación digital y a los beneficios potenciales para los atacantes. Sin embargo, las organizaciones financieras están relativamente bien protegidas. En los últimos dos años, no se han producido ataques importantes que hayan provocado interrupciones significativas del servicio o robos de fondos a gran escala. Los delincuentes están interesados sobre todo en el robo de datos confidenciales y la extorsión: en el 70% de los ataques exitosos contra organizaciones financieras, robaron información confidencial sobre los clientes de las víctimas.

En el 45% de los ataques se utilizó ransomware, más comúnmente de las familias LockBit y BlackCat. Por ejemplo, en octubre de 2022, un grupo de ransomware atacó un banco en Brasil utilizando el malware LockBit y pidió un rescate de 50 bitcoins, lo que en aquel momento equivalía a un millón de dólares. El ataque provocó una fuga de datos e interrupciones temporales de los servicios a los clientes.

En 2023, un malware para cajeros automáticos llamado FiXS comenzó a propagarse en América Latina, especialmente en México. Este malware permite a los delincuentes retirar dinero de los cajeros automáticos. Aunque el número de ataques a cajeros automáticos había disminuido progresivamente en los últimos años, a principios de este año se produjo un resurgimiento del uso de este tipo de malware.

Además, los atacantes no solo tienen a los bancos como objetivo, sino también a sus usuarios, especialmente a los clientes de bancos brasileños que utilizan el popular sistema de pago instantáneo PIX. Varios troyanos bancarios han surgido específicamente para atacar este sistema. En general, a medida que los pagos electrónicos y la banca digital siguen evolucionando, podemos esperar un aumento del número de amenazas para los usuarios que sean laxos en cuanto a su seguridad y, por tanto, más vulnerables a los ataques de phishing. En consecuencia, los bancos deberían centrarse en proteger sus aplicaciones y aumentar la toma de conciencia sobre la ciberseguridad entre sus clientes.

Minoristas

Entre los ataques dirigidos a organizaciones, el 9% se realizó en el sector minorista. Los afectados fueron principalmente empresas de los países más grandes de la región: Brasil, Argentina y México; por ejemplo, Mercado Libre, Fast ShopRede Top.

Los sistemas de TI de estas empresas procesan y almacenan una enorme cantidad de datos de los usuarios, información de gran interés para los ciberdelincuentes. Además, varios sistemas de pago están vinculados a las tiendas en línea, lo que crea oportunidades para el robo de fondos y la interceptación de datos de tarjetas bancarias. Durante el periodo analizado, el 68% de los ataques exitosos dieron lugar a filtraciones de datos, principalmente de información personal de clientes.

El ransomware representa la principal amenaza para el sector minorista, ya que este último está implicado en el 84% de los ataques exitosos. Al mismo tiempo, las plataformas en línea son muy sensibles a las interrupciones: un día de inactividad puede costar millones de dólares a una empresa. Por ejemplo, el conglomerado brasileño Americanas.com declaró pérdidas de 184 millones de dólares a causa de ciberataques que paralizaron las ventas en línea durante varios días. En total, el 58% de los ataques exitosos interrumpieron las operaciones de las empresas.

El comercio electrónico es uno de los sectores de mayor crecimiento en América Latina, y el mercado minorista representa una parte importante (53%) de dicho sector. Las previsiones auguran una tasa media de crecimiento anual del comercio minorista en línea del 21% de 2023 a 2026, con el correspondiente aumento de los ataques a este sector.

Principales amenazas

Los ataques a organizaciones comprometen, principalmente, a computadoras, servidores y equipos de red (87%). Los ataques exitosos a recursos web representaron el 15%, y el 54% de estos incidentes involucró la explotación de vulnerabilidades conocidas y disponibles públicamente.

Más de un tercio de los ataques a individuos (34%) se dirigen a dispositivos móviles, una tasa superior a la media mundial (22%) y cercana a las cifras de los países asiáticos (37%). La popularidad de este vector de ataque se debe al alto nivel de penetración de Internet móvil y al gran uso de dispositivos móviles en la región. El informe titulado The 2023 Latin America E-commerce Blueprint señala que, en 2023, el 70% de las compras en línea y otros pagos se realizó a través de teléfonos inteligentes, cifra que crece anualmente. Además, el número de usuarios de dispositivos móviles aumenta cada año y se espera que alcance el 74% de la población en 2025. En consecuencia, también aumentará el número de ataques a dispositivos móviles.

Attack targets (percentage of attacks)
Figura 10. Objetivos de ataque (porcentaje de ataques)

Uno de cada dos ataques dirigidos a organizaciones utiliza la ingeniería social (53%). La explotación de vulnerabilidades se registró en el 27% de los casos, y el compromiso de credenciales en el 19% de los ataques. El malware se utiliza con la misma frecuencia en los ataques a organizaciones (80%) que en los ataques a individuos (78%).

Attack methods (percentage of attacks)
Figura 11. Métodos de ataque (porcentaje de ataques)

Malware

Los países latinoamericanos presentan el mayor porcentaje de uso de ransomware en los ataques a organizaciones (79%) en comparación con la media mundial (53%).

Types of malware (percentage of successful malware attacks
Figura 12. Tipos de malware (porcentaje de ataques de malware exitosos)

El malware se utiliza con más frecuencia que en cualquier otra región del mundo: El 78% de los ataques incluyen malware, principalmente software espía (40%) y troyanos bancarios (32%). Varios factores contribuyen a esta tendencia: el uso generalizado de software pirateado, el uso de programas VPN no verificados para acceder a recursos bloqueados y un nivel generalmente bajo de conciencia sobre la ciberseguridad.

Los principales métodos de propagación de malware en las organizaciones son el correo electrónico (54%) y las computadoras y servidores puestos en riesgo (35%). El malware llega a los dispositivos de las personas cuando los usuarios visitan sitios web infectados (55%) o abren archivos adjuntos y enlaces en correos electrónicos (29%). Las tiendas de aplicaciones oficiales también pueden convertirse en fuentes de infección cuando los atacantes consiguen burlar los sistemas de seguridad y hacer pasar sus programas por legítimos.

Malware distribution methods in successful attacks on organizations
Figura 13. Métodos de distribución de malware en ataques exitosos a organizaciones
Malware distribution methods in successful attacks on individuals
Figura 14. Métodos de distribución de malware en ataques exitosos a individuos

Ataques de ransomware

Mientras que en el mundo en general se observa una tendencia a la baja de los ataques de ransomware, esta amenaza está creciendo en América Latina. Según el Índice de inteligencia de amenazas X-Force publicado por IBM, el número de incidentes relacionados con ransomware en América Latina aumentó un 3% en 2022. Además, los métodos de los delincuentes están evolucionando: la duración media de los ataques ha disminuido de dos meses a cuatro días. Si comparamos los primeros semestres de 2022 y 2023, el aumento en los ataques de ransomware en la región se mantiene en el mismo nivel, un 3%.

Casi un tercio de los ataques de ransomware (31%) se dirigieron a agencias gubernamentales. Este porcentaje es significativamente más alto que en otras regiones: 2,2 veces la media mundial del 14%. Las empresas industriales, el comercio minorista, las instituciones médicas y entidades educativas también se encuentran entre las cinco principales categorías de víctimas de ransomware.

Categories of ransomware victims
Figura 15. Categorías de las víctimas de ransomware

Las empresas aún no están totalmente preparadas para afrontar por sí mismas las consecuencias de los ataques de ransomware. Por ejemplo, en una encuesta realizada por Veeam en países latinoamericanos, el 58% de los encuestados indicó que su organización pagó el rescate y logró recuperar los datos, mientras que el 14% pagó el rescate, pero no pudo recuperar los datos. Solo el 21% de los encuestados dijo que no pagó el rescate porque pudo restaurar los datos a partir de copias de seguridad. Según Veeam, las organizaciones pagaron el rescate a través de un seguro en el 77% de los casos. Sin embargo, últimamente las condiciones de los seguros contra ciberriesgos están cambiando: las empresas de seguros han empezado a aumentar los deducibles y las primas. Algunas empresas de seguros excluyen ahora los ataques de ransomware de su cobertura, como afirma el 20% de los encuestados.

Posiblemente, debido al gran número de organizaciones víctimas de ataques de ransomware y otras amenazas que afectan directamente a los datos, la tecnología de seguridad más común en las redes corporativas son los sistemas de copias de seguridad, utilizados por el 88% de las organizaciones. Sin embargo, según otro estudio, el Thales Data Threat Report, solo el 60% de los encuestados afirma que su organización cuenta con un plan de respuesta ante ataques de ransomware (lo que ya supone una mejora importante en comparación con 2021, cuando solo el 42% de los encuestados afirmaba contar con un plan de este tipo).

En la región operan muchos grupos de ransomware. Los más activos en los dos últimos años han sido los siguientes:

  • LockBit

El grupo de ransomware LockBit, que ha estado activo desde 2019, ha tenido como objetivo tanto a organizaciones gubernamentales como a corporaciones privadas en Sudamérica. No todos los ataques fueron realizados directamente por el grupo: LockBit propaga su malware homónimo utilizando el modelo de ransomware como servicio (RaaS).

  • BlackCat (ALPHV, UNC4466, Noberus)

El grupo de ransomware BlackCat lleva activo desde 2021. Estos ciberdelincuentes tienen como objetivo organizaciones tanto privadas como gubernamentales en Sudamérica y en todo el mundo.

  • Cl0p

El grupo de ransomware Cl0p se detectó por primera vez en 2019. Los atacantes tienen como objetivo a una amplia gama de industrias a nivel mundial, pero en América Latina se han centrado en atacar universidades y organizaciones financieras en México, Colombia y Puerto Rico.

  • BlackByte

El grupo de ransomware BlackByte fue advertido por primera vez en 2019. Los ciberdelincuentes operan en todo el mundo, y en América Latina se han enfocado en atacar organizaciones industriales y gubernamentales en México, Argentina y Perú. Al igual que LockBit, distribuyen su ransomware utilizando el modelo RaaS.

  • Rhysida

El grupo cibercriminal Rhysida apareció en mayo de 2023. Se hacen pasar por un equipo de ciberseguridad que ofrece asistencia a las víctimas. En Sudamérica, Rhysida ha atacado organizaciones gubernamentales y médicas. En mayo de 2023, el grupo atacó la infraestructura de TI del ejército chileno, lo que provocó importantes interrupciones del sistema y fugas de información confidencial.

  • Conti

El grupo de ransomware Conti realizó ataques contra organizaciones privadas y gubernamentales de todo el mundo. En abril de 2022, lanzaron una campaña que tenía como objetivo las agencias gubernamentales de Costa Rica. Una serie de ciberataques provocaron el cierre de muchos sistemas gubernamentales durante casi un mes, una fuga de datos de 672 GB y la declaración del estado de emergencia en el país. Pero a finales de junio de 2022, el grupo Conti cerró sus sitios web y dejó de existir. Se presume que se dividieron en varias organizaciones más pequeñas.

Desarrollo de mercados clandestinos

En las plataformas clandestinas, los delincuentes comercian e intercambian acceso a redes de organizaciones, datos robados, herramientas y servicios para llevar a cabo ataques. El interés por las organizaciones de países latinoamericanos está creciendo: el número de mensajes de la dark web relacionados con esta región durante los tres primeros trimestres de 2023 ya ha superado en un 32% el número total de mensajes de 2022. En más de la mitad de los listados (53%) en los que se especifica un país concreto de la región, se menciona a Brasil, Argentina o México.

Distribution of advertisements by country in the region
Figura 16. Distribución de anuncios por país en la región

La mayoría de los mensajes de la dark web (70%) contienen anuncios de venta o compra de accesos a las infraestructuras de las organizaciones. Una quinta parte (22%) de los anuncios implican la venta, compra o distribución de bases de datos que contienen información confidencial. Aproximadamente el 6% de los mensajes contienen noticias sobre recursos vulnerados.

Distribution of advertisements by topic
Figura 17. Distribución de los anuncios por tema

Lo que más se vende en la dark web es el acceso a las redes de instituciones financieras, agencias gubernamentales, empresas de TI, empresas industriales y organizaciones de servicios. Las bases de datos vendidas o distribuidas gratuitamente suelen contener información que ha sido filtrada de agencias gubernamentales, empresas de telecomunicaciones, tiendas en línea e instituciones financieras.

Distribution of advertisements by topic and industry
Figura 18. Distribución de los anuncios por tema y sector

El costo del acceso depende de varios factores: las características de la propia organización, como el sector al que pertenece y los ingresos anuales, así como el tipo de acceso ofrecido y el nivel de privilegios de la cuenta. El costo medio ronda los 600 dólares. El tipo de acceso más caro corresponde a las credenciales de cuenta para entrar en la infraestructura de organizaciones financieras: el acceso a un banco se ofrece a una media de 1400 dólares, con precios que llegan hasta los 18 000 dólares.

Average cost of access to an organization's network on the dark web ($)
Figura 19. Costo medio del acceso a la red de una organización en la dark web ($)
Sale of access to three Latin American organizations
Figura 20. Venta de acceso a tres organizaciones latinoamericanas
Sale of access to two Latin American organizations
Figura 21. Venta de acceso a dos organizaciones latinoamericanas

Ingeniería social

Los ataques realizados con ingeniería social representan una de las principales amenazas en la región, tanto para organizaciones como para individuos particulares. Por ejemplo, el ransomware se infiltró en redes corporativas a través de correo electrónico en el 53% de los ataques exitosos. El informe Fraud Outlook de KPMG indica que el 32% de los encuestados latinoamericanos vio un aumento en los intentos de ataques de phishing en 2022, mientras que el informe LATAM CISO Report: Cybersecurity Insights From Industry Leaders señala que el 88% de los líderes de ciberseguridad considera que las diversas formas de ingeniería social son la principal amenaza para las empresas.

Una investigación llevada a cabo por KnowBe4 muestra que el nivel de conciencia de los empleados en las organizaciones latinoamericanas es menor en comparación con otras regiones; el 41% de los usuarios manifiesta que sería incapaz de reconocer un ataque de phishing. Esto significa que cuatro de cada diez empleados podrían descargar y abrir archivos adjuntos de correos electrónicos de phishing, hacer clic en enlaces maliciosos o entregar credenciales a los atacantes. En otras regiones, esta cifra no supera el 35%.

Social engineering channels
Figura 22. Canales de ingeniería social

Los ataques de ingeniería social tienen como objetivo a individuos y suelen llevarse a cabo a través de redes sociales, aplicaciones de mensajería y campañas de correo electrónico. Sin embargo, lo más habitual es que se produzcan a través de phishing o sitios web riesgosos (58%). El mayor número de sitios de phishing se ha observado en Brasil. Según SocRadar, entre octubre de 2022 y octubre de 2023, se registraron más de 2600 dominios potenciales de phishing que tenían como objetivo suplantar los sitios web de organizaciones brasileñas. El Anuario Brasileño de Seguridad Pública indica un aumento del 66% en los casos de fraude en línea en 2022. Esta amenaza también es importante para otros países de la región: se registraron alrededor de 1000 dominios de phishing en Colombia, más de 800 en Argentina y más de 500 en México y Perú durante el mismo periodo. Los delincuentes imitan, principalmente, los sitios de bolsas de criptomonedas, instituciones financieras y servicios gubernamentales.

En mayo de 2023, los investigadores identificaron una campaña de phishing a gran escala dirigida a individuos particulares y organizaciones en México. Los atacantes enviaron correos electrónicos con un archivo adjunto que imitaba un formato de recibo de impuestos CFDI de uso común en México. Al abrir el archivo adjunto, el dispositivo del usuario se infectaba con malware capaz de capturar credenciales de inicio de sesión de cuentas bancarias. Los expertos creen que esta campaña comenzó en 2021 y que, en los últimos dos años, los estafadores ganaron más de 55 millones de dólares al engañar a más de 4000 víctimas.

Troyanos bancarios

Los troyanos bancarios representan una amenaza importante para las personas en América Latina, constituyendo un tercio (32%) de todo el malware utilizado que se ha detectado. La región está siendo testigo de la propagación de numerosos troyanos bancarios como BBTok, GoatRAT, PixBankBotGrandoreiro. Los residentes de Brasil y México son particularmente vulnerables: es probable que estos países sean de mayor interés para los atacantes debido al tamaño de su población y al uso generalizado de la banca en línea.

En septiembre de 2023, el troyano bancario BBTok comenzó a propagarse en América Latina, teniendo como objetivo a residentes de México y Brasil. Este troyano imita las interfaces de más de 40 bancos mexicanos y brasileños, incluidos Citibank, Scotiabank, Banco Itaú y HSBC. Esto permite a los estafadores engañar a los usuarios para que introduzcan códigos de autenticación de dos factores y así obtener el control de sus cuentas. Además, este malware puede robar números de tarjetas de pago.

En Brasil, los ataques se han dirigido recientemente a los sistemas de pago instantáneo PIX. Por ejemplo, el troyano GoatRAT tiene como objetivo a los usuarios de tres bancos brasileños: Nubank, Banco Inter y PagBank. Este troyano intercepta la clave PIX necesaria para las transferencias de dinero y roba fondos de la cuenta bancaria de la víctima.

Filtraciones de datos

Según IBM, el costo medio de los daños por filtración de información en los países latinoamericanos aumentó un 32% a lo largo del año, llegando a 3,69 millones de dólares a principios de 2023. La mayoría de los ataques que resultaron en filtraciones de datos ocurrieron en el sector gubernamental (27%), seguido por la industria manufacturera (15%), el sector financiero (10%), el comercio minorista (10%) y la educación (7%).

Industries with the highest number of data leaks (percentage of successful attacks resulting in data theft)
Figura 23. Sectores con mayor número de filtraciones de datos (porcentaje de ataques exitosos que resultaron en robo de datos)

En los ataques a organizaciones, los delincuentes robaron, principalmente, datos personales (40% del volumen total de información robada) e información que contenía secretos comerciales (21%). En la mayoría de los casos, los datos personales de los ciudadanos se filtraron de los sistemas de agencias gubernamentales, organizaciones financieras e instituciones educativas. La causa principal de las filtraciones de datos en organizaciones fueron los ataques de ransomware que exigían un pago a cambio de no revelar la información robada. Los ataques a individuos particulares provocaron robos de datos de cuentas y datos personales (38% y 25%, respectivamente) y datos de tarjetas de pago (25%).

Types of data stolen in attacks on organizations
Figura 24. Tipos de datos robados en ataques a organizaciones
Types of data stolen in attacks on individuals
Figura 25. Tipos de datos robados en ataques a individuos

Los atacantes pueden vender los datos comprometidos en la dark web o ponerlos a disposición del público. Por ejemplo, los datos del hospital argentino Garrahan, afectado por un ciberataque en 2022, se pusieron a la venta en la dark web por 1500 dólares.

Sale of the Argentine hospital's database
Figura 26. Venta de la base de datos del hospital argentino

Entre las bases de datos encontradas en la dark web, el 28% fueron robadas a agencias gubernamentales, el 20% a empresas de TI y el 8% a organizaciones financieras.

Sale of databases on the dark web (victim categories among companies)
Figura 27. Venta de bases de datos en la dark web (categorías de víctimas entre las empresas)

Conclusión y recomendaciones

En los últimos años, los países latinoamericanos han sufrido una serie de ataques que afectaron al funcionamiento de sectores críticos e incluso a todo un estado. La región resultó estar muy poco preparada para las ciberamenazas debido a factores económicos y sociales, así como a la rápida adopción de tecnologías digitales sin garantizar la protección necesaria. Creemos que la cooperación entre países, la inversión en seguridad, el apoyo político para implementar cambios y las mejoras en la educación son pasos cruciales a realizar. Proponemos una serie de medidas para mejorar la ciberseguridad de organizaciones individuales, sectores generales y de toda la región.

Recomendaciones para los gobiernos

Adoptar estrategias de seguridad de la información a nivel nacional

Solo una parte de los países latinoamericanos ha adoptado estrategias nacionales de ciberseguridad. Aunque la adopción de una estrategia en sí misma no garantiza un aumento de los niveles de seguridad, estos documentos marcan la dirección que se debe seguir y resaltan la importancia de la ciberseguridad a nivel estatal. Los gobiernos deberían desarrollar, implementar y actualizar periódicamente políticas y estrategias nacionales de ciberseguridad, e involucrar a un gran rango de partes interesadas en el proceso. El desarrollo de estas estrategias debe contar con la financiación y el apoyo político necesarios para garantizar una coordinación eficaz y una asignación clara de las responsabilidades.

Una estrategia nacional de seguridad de la información debe incluir una evaluación de las amenazas y la definición de los objetivos y los pasos necesarios para lograrlos. Los representantes de las organizaciones gubernamentales, las empresas y el sector de la ciberseguridad deben involucrarse en el desarrollo de dicha estrategia, y los proyectos se deben revisar y analizar públicamente.

Armonizar la legislación sobre ciberseguridad y protección de datos personales

Los países de la región deben considerar la posibilidad de acordar normas compartidas de ciberseguridad para una colaboración más eficaz o establecer mecanismos comunes de intercambio de información y lucha contra las ciberamenazas internacionales.

La legislación sobre ciberseguridad y protección de datos debe actualizarse periódicamente para estar a la altura de las últimas ciberamenazas y avances tecnológicos. También debe facilitar la coordinación efectiva entre los diferentes organismos encargados de la seguridad y de hacer cumplir la ley.

Proteger la infraestructura de información crítica

Los gobiernos deben identificar los eventos inadmisibles a nivel industrial y nacional. Este enfoque ayuda a asignar recursos para asegurar la protección de los sistemas más críticos de la forma más eficaz posible. La prioridad debe ser la infraestructura de sectores como el gobierno, las telecomunicaciones, la fabricación y las finanzas, así como otros sectores vitales para la economía y la seguridad nacional, como el comercio electrónico y la agricultura. También deben tenerse en cuenta la velocidad de la transformación digital y el nivel de madurez de la seguridad de la información en el país.

Crear centros de respuesta a incidentes cibernéticos a nivel nacional e industrial y mejorar los mecanismos de cooperación con las organizaciones

Los equipos nacionales de respuesta a ciberincidentes se encargan de monitorear las amenazas y ayudar a las organizaciones a recuperarse de ciberataques graves. La creación de dichas estructuras de respuesta debe ser una prioridad a la hora de aplicar una estrategia de seguridad nacional y de seguridad de las infraestructuras críticas. En 2023, solo 24 países de la región contaban con CERT/CSIRT nacionales. Los países que ya cuentan con este tipo de estructuras deberían crear CERT industriales y colaborar para apoyar la creación de centros de respuesta regionales. También hay que señalar que los mecanismos de notificación de incidentes pueden no ser lo suficientemente claros para los profesionales de la seguridad. Deben desarrollarse mecanismos claros y transparentes para notificar los ciberincidentes que se produzcan en las organizaciones, y deben realizarse esfuerzos para aumentar la confianza en los CERT nacionales y la interacción con las estructuras gubernamentales. La mejora del intercambio de información entre las organizaciones y los centros de ciberseguridad puede ayudar a prevenir los ataques y responder a tiempo ante las nuevas amenazas.

Las respuestas a las ciberamenazas se deben integrar en la estrategia general para proteger y restaurar la infraestructura nacional crítica.

Crear conciencia y promover la educación en materia de ciberseguridad

Los gobiernos deben invertir en campañas de conciencia pública sobre las amenazas actuales y cómo protegerse contra estas. En esta región, como en el resto del mundo, hay escasez de profesionales calificados en ciberseguridad. Por lo tanto, promover este campo y las profesiones relacionadas, así como desarrollar programas de aprendizaje en las instituciones educativas debería ser una prioridad gubernamental.

Cooperar internacionalmente

Desde hace tiempo, la ciberdelincuencia trasciende las fronteras de los estados, por lo que es crucial que los países cooperen entre sí para combatir las ciberamenazas. Al compartir información, recursos y experiencias, los países pueden reforzar colectivamente sus defensas y mitigar los riesgos que presentan los ciberdelincuentes en todas las jurisdicciones. Las estrategias nacionales de ciberseguridad deben incluir objetivos para el desarrollo de las relaciones internacionales en el ámbito de la ciberseguridad.

Recomendaciones para empresas

Identificar eventos inadmisibles y activos fundamentales

Para garantizar la ciberresiliencia de una empresa, es necesario, antes que nada, analizar los riesgos más importantes y elaborar una lista de eventos inadmisibles que podrían causar daños importantes en sus actividades. Este paso ayudará a identificar activos fundamentales y centrarse en proteger los recursos más valiosos. Las estrategias deben desarrollarse para prevenir eventos inadmisibles, incluidas las medidas de seguridad necesarias y el monitoreo de la actividad de red con el uso de herramientas de seguridad modernas.

Monitorear los incidentes y responder a las ciberamenazas

Se necesitan sistemas de monitoreo y detección de incidentes para responder a posibles amenazas y ataques de manera oportuna. Para esto, recomendamos el uso de sistemas de información de seguridad y gestión de eventos (SIEM) que recopilen y analicen información sobre eventos de seguridad de diversas fuentes en tiempo real. Estos sistemas, junto con las soluciones de detección y respuesta extendidas a amenazas (XDR) y análisis de tráfico de red (NTA), ayudarán a detectar los ataques en las primeras etapas y garantizar respuestas rápidas, lo que reduce los riesgos para la organización.

Evaluar la eficacia de la ciberseguridad

La efectividad de las medidas de ciberseguridad adoptadas debe probarse regularmente para evaluar el desempeño de la estrategia y las defensas. Recomendamos prestar especial atención a la verificación de los eventos que son inadmisibles para la organización.

También vale la pena participar en programas de bug bounty para que los investigadores de seguridad externos puedan encontrar nuevas vulnerabilidades. Estos programas ayudarán a detectar y eliminar vulnerabilidades antes de que los atacantes puedan explotarlas.

Formar empleados y desarrollar especialistas en seguridad de la información

Esto es esencial para educar a los empleados en aspectos fundamentales de ciberseguridad y realizar sesiones de capacitación con el fin de aumentar la conciencia sobre las ciberamenazas actuales, así como para protegerse contra las técnicas de ataques a través de ingeniería social.

Para combatir eficazmente las ciberamenazas, las organizaciones deberían invertir en la formación de sus expertos en ciberseguridad. La formación y certificación periódicas de los empleados en materia de ciberseguridad mejorarán sus habilidades y conocimientos, e impulsarán a la empresa hacia adelante con el apoyo de expertos en la prevención y respuesta frente a los ciberataques. Una de las formas más efectivas de hacer esto es participar en ciberejercicios en plataformas dedicadas, donde los especialistas en seguridad de la información pueden practicar el reconocimiento de técnicas de ataque y contrarrestarlas.

Metodología

Los datos y conclusiones presentados en este informe se basan en la experiencia propia de Positive Technologies, así como en el análisis de recursos disponibles públicamente, incluidas publicaciones gubernamentales e internacionales, trabajos de investigación e informes del sector.

Estimamos que la mayoría de los ciberataques no se hacen públicos debido a los riesgos que esto supone para la reputación. Como consecuencia, incluso las empresas especializadas en investigación de incidentes y análisis de la actividad de los hackers no pueden cuantificar la cantidad exacta de amenazas. Esta investigación tiene como objetivo llamar la atención de empresas y personas que se preocupan por el estado de la seguridad de la información e informar acerca de los motivos y métodos claves de los ciberataques, además de resaltar las principales tendencias en el cambiante panorama de las ciberamenazas.

En este informe, se considera que cada ataque masivo (por ejemplo, correos electrónicos de phishing enviados a múltiples direcciones) representa un incidente, no varios. Para obtener explicaciones sobre los términos utilizados en este informe, consulte el glosario de Positive Technologies.

Póngase en contacto

Complete el formulario y nuestros especialistas
se pongán en contacto con usted en breve