Los permisos de las aplicaciones móviles (aún) importan más de lo que crees
Febrero 28, 2026
Registro de permisos de unión mejorado para eventos de auditoría de Google Meet
Marzo 2, 2026
Un análisis de los tres tipos de malware con mayores detecciones en la telemetría de ESET durante el año pasado, con detalles sobre a qué sistemas afectan, qué vectores de distribución utilizan y en qué países tienen más presencia.
27 Feb 2026
•
,
8 min. read
En el último ESET Threat Report se destaca que la inteligencia artificial tuvo un papel relevante en el ecosistema del cibercrimen. Uno de los hitos más significativos del año fue la identificación, por parte de ESET Research, del primer ransomware generado mediante IA, conocido como PromptLock, un punto de inflexión que evidencia cómo esta tecnología comienza a ser aprovechada por actores maliciosos.
Sin embargo, más allá de estos usos emergentes de la IA generativa, fueron los malware tradicionales los que dominaron la actividad maliciosa a escala global. Entre ellos, el infostealer Lumma y los ataques ligados a ClickFlix se ubicaron entre las detecciones más frecuentes dentro de nuestra telemetría.
En Latinoamérica, el interés de los cibercriminales se concentró especialmente en la obtención de datos personales y financieros. En la región, los dispositivos fueron afectados mayoritariamente por troyanos, seguidos por aplicaciones maliciosas capaces de instalar backdoors, y en tercer lugar por gusanos, que continuaron propagándose entre sistemas vulnerables.
A continuación, un repaso por los primeros tres tipos de malware detectados durante 2025 en la telemetría de ESET, con un detalle sobre a qué sistemas afecta, qué vectores de distribución utilizan y en qué países afectan.
Malware 1: Troyano Kryptik
El troyano Kryptik (frecuentemente detectado por nuestra tecnología como variantes de Win32/Kryptik o JS/Kryptik) es una familia de malware diseñada para infiltrarse en sistemas Windows y evadir la detección mediante técnicas avanzadas de ofuscación, cifrado y empaquetado de archivos (packed files).
A menudo funciona como un descargador (downloader) o botnet que, tras infectar el sistema, descarga otras amenazas más peligrosas.
Características principales de este malware
- Ofuscación avanzada: Utiliza técnicas para ocultar su código malicioso, lo que dificulta que los antivirus tradicionales lo detecten inmediatamente.
- Funcionalidad backdoor: Permite a atacantes remotos tomar control del equipo infectado.
- Robo de información: Busca credenciales bancarias, nombres de usuario, contraseñas y datos del portapapeles.
- Descarga de payload: Suele ser la primera etapa de una infección, descargando ransomware, spyware u otro malware (por ejemplo, ha estado relacionado con la botnet Zloader).
- Distribución: Se disfraza de software legítimo o archivos adjuntos en correos electrónicos de spam (phishing).
Malware 2: Backdoor con webshell
Este malware es un script malicioso (generalmente en PHP, ASP o ASPX) que se instala en un servidor web vulnerable para proporcionar acceso remoto y control persistente a los atacantes.
Características principales de este malware
- Puerta de entrada: Es una puerta trasera (backdoor) diseñada para saltarse los procedimientos de autenticación estándar de un servidor.
- Persistencia: Se coloca en un servidor web de acceso público para asegurar que el atacante mantenga acceso a largo plazo.
- Funcionalidades: Permite a los atacantes ejecutar comandos arbitrarios, navegar por el sistema de archivos, subir/descargar archivos maliciosos, modificar bases de datos y gestionar el servidor infectado de forma remota.
- Uso en ciberespionaje: Se han detectado webshells en operaciones de ciberespionaje realizadas por grupos avanzados, a menudo denominadas como backdoors web.
Modus operandi de las webshells
- Explotación inicial: El atacante aprovecha una vulnerabilidad en una aplicación web (ej. un CMS desactualizado, un plugin inseguro o vulnerabilidades como PHP-CGI) para inyectar el script malicioso.
- Acceso remoto: El atacante envía comandos a través de una solicitud HTTP (GET o POST) al script inyectado.
- Ejecución: El webshell recibe el comando y lo ejecuta en el servidor, devolviendo los resultados al atacante.
¿Por qué es difícil detectar este tipo de malware?
Se debe principalmente a las siguientes características:
- Ofuscación: Las webshells a menudo utilizan técnicas para ocultar su código y evitar ser detectadas por escáneres, como el uso de base64_decode, eval o compresión gzinflate.
- Tamaño pequeño: A menudo son scripts muy pequeños y simples, lo que los hace que pasen desapercibidos.
- Alteración de huellas: Tras el éxito de la inyección, los atacantes pueden borrar los archivos o modificar sus atributos para ocultarse.
Un caso relacionado a este tipo de código malicioso fue el que se dio en una de nuestras investigaciones llamada “GhostRedirector” entre diciembre del 2024 y diciembre del 2025. Entre los países afectados estuvieron principalmente en Brasil, Tailandia y Vietnam.
Malware 3: Gusanos
Los gusanos (worms) tipo Autorun son una familia de códigos maliciosos identificados bajo las variantes Win32/AutoRun o INF/Autorun que se caracterizan por su alta capacidad de autopropagación, principalmente a través de dispositivos de almacenamiento extraíbles como memorias USB, tarjetas SD y unidades de red.
Características principales de este malware
Mecanismo de infección: Aprovechan la funcionalidad “Autorun” (ejecución automática) de Windows. Crean un archivo oculto llamado autorun.inf en la raíz de la unidad USB y un ejecutable malicioso.
Propagación automática: Cuando un usuario conecta una memoria USB infectada a un equipo nuevo, el archivo autorun.inf ordena a Windows ejecutar el archivo malicioso de forma automática sin que el usuario haga clic en nada.
Entre las acciones maliciosas que tiene un gusano son:
- Ocultamiento de archivos: Suelen ocultar carpetas reales del usuario y las reemplazan por ejecutables con el mismo nombre e icono para engañar al usuario y lograr su ejecución.
- Autoreplicación: Se copian a sí mismos en todas las unidades extraíbles conectadas, perpetuando la infección.
- Payload: Además de propagarse, pueden descargar otros malwares, abrir puertas traseras (backdoors), robar información o ralentizar el sistema.
Para prevenir infecciones de Autorun, ESET sugiere deshabilitar la función de reproducción automática (AutoRun/AutoPlay) en Windows y realizar análisis preventivos de las unidades USB antes de abrir su contenido.
Phishing en Latam durante 2025
Por último, pero no menos importante, las detecciones sobre phishing son en la mayoría de las ocasiones el principal vector de infección de cualquier código malicioso, por lo que es importante mencionar cuales fueron los países más afectados por ataques de ingeniería social:
En el top 5 de marcas, plataformas o software suplantadas para campañas de ingeniería social durante el 2025 fueron:
NOTA: A pesar de haber poco más de 42 mil detecciones de phishing en WeTransfer, no quiere decir que todas hayan formado parte de la misma campaña. Las detecciones son únicas por cada marca/plataforma o software afectado.
Conclusiones
Durante 2025, la tendencia general en Latinoamérica dejó claro que los cibercriminales continúan enfocándose en obtener información sensible (especialmente datos personales y financieros) mediante técnicas cada vez más sofisticadas.
Aunque el ransomware impulsado por IA tuvo un papel relevante a nivel global, en la región predominaron amenazas más silenciosas, pero igual de peligrosas, como los troyanos orientados al robo de información, los backdoors que permiten el control remoto de servidores comprometidos y los gusanos que aprovechan hábitos de uso inseguros, particularmente en dispositivos extraíbles.
El constante crecimiento del phishing sigue siendo el principal vector de infección y un facilitador clave para la distribución de malware en toda la región.
Recomendaciones de seguridad para usuarios y empresas
Para usuarios:
- Mantener actualizados los sistemas operativos, navegadores y aplicaciones, ya que muchas infecciones explotan vulnerabilidades conocidas.
- Evitar descargar software de fuentes no verificadas y desconfiar de instaladores “gratuitos” o enlaces compartidos por redes sociales o mensajería instantánea.
- Realizar análisis periódicos de memorias USB antes de abrir archivos, especialmente en equipos de uso compartido.
- Verificar cuidadosamente correos y mensajes sospechosos, prestando atención a remitentes, errores ortográficos o enlaces inusuales para evitar caer en phishing.
- Utilizar contraseñas fuertes y habilitar la autenticación en dos pasos siempre que sea posible.
Para empresas:
- Implementar políticas de actualización y parches de seguridad para servidores, aplicaciones y dispositivos de los empleados.
- Utilizar soluciones de seguridad capaces de detectar malware ofuscado, webshells y comportamientos anómalos en la red.
- Establecer controles de acceso robustos, segmentación de red y monitoreo constante de servidores expuestos a Internet.
- Capacitar de manera continua a colaboradores sobre phishing, ingeniería social y buenas prácticas de ciberseguridad.
- Realizar auditorías periódicas, pruebas de penetración y simulaciones de campañas de phishing para detectar debilidades antes que los atacantes.
En definitiva, la combinación de amenazas automatizadas, técnicas de engaño más creíbles y la explotación de vulnerabilidades demuestra que la ciberseguridad debe considerarse como un proceso continuo. La adopción de medidas preventivas, junto con la educación constante de usuarios y organizaciones, será clave para reducir el impacto de estas amenazas en los próximos años.
¡Para todos nuestros lectores!
Aprovechen esta oportunidad de obtener un trial gratuito de 30 días para Google Workspace, la mejor solución para tu empresa. Disfruta de todas sus funcionalidades, como correo electrónico personalizado, almacenamiento en la nube y herramientas de colaboración.
