Nueva funcionalidad y campos de eventos ampliados
Marzo 19, 2026
Presentamos la nueva sección Reuniones en Google Chat
Marzo 20, 2026
En este artículo analizamos el mapa del cibercrimen en América Latina basándonos en la telemetría de ESET, con datos recopilados durante el último año.
Este análisis complementa a nuestro artículo anterior en el que revisamos los tipos de malware más activos en la región. En esta ocasión, el objetivo es observar cómo se distribuyen estas amenazas en los distintos países de América Latina.
Además, repasaremos qué países presentan la mayor incidencia de detección de amenazas y cuáles son las más detectadas en cada país. A partir de este análisis fue posible observar patrones comunes entre países, como la presencia recurrente de ciertas familias de malware utilizadas en distintas campañas en la región.
La idea no será describir en profundidad cada una de las amenazas, sino resaltar sus características principales para ofrecer una visión general del escenario de ciberseguridad en los países mencionados.
Países más afectados por malware en LATAM
Aunque cada país tiene sus características, es posible observar que existen amenazas en varios territorios, lo que puede indicar cooperación entre grupos que operan en la región o que el mismo grupo está difundiendo una variante específica en varios países.
Entre los países más afectados por malware en nuestra región se encuentran:
- Perú
- México
- Argentina
- Brasil
- Colombia
Detalle de la actividad malware por país
A continuación, un detalle de cada uno de los cinco países:
Perú
Ha mostrado un crecimiento gradual en las detecciones, siendo en algunos casos el punto inicial de campañas que luego se extenderán a varios países latinoamericanos. Muchos de los ataques están dirigidos a organismos gubernamentales y sectores críticos.
Amenazas más detectadas:
- @Backdoor.Win32/Tofsee. – 14,00%
- @Trojan.PDF/Phishing.D.Gen – 10,57%
- @Trojan.Win32/TrojanDownloader.Rugmi.AOS – 4,26%
Un incidente emblemático ocurrido en los últimos meses se llamó Dirin Leaks , donde ciberdelincuentes accedieron a la Dirección de Inteligencia de la Policía Nacional del Perú. La filtración expuso la información personal de agentes encubiertos a los protocolos de seguridad utilizados por el presidente.
México
El segundo lugar en nuestra lista de detecciones es México, que representa un objetivo muy significativo y potencialmente rentable para los ciberdelincuentes. Tiene una fuerte incidencia de phishing y ransomware impulsados por campañas de ingeniería social.
Amenazas más detectadas:
@Trojan.Win32/TrojanDownloader.Rugmi.AOS
@Trojan.PDF/Phishing.A.Gen
@Trojan.Win32/Spy.Banker.AEHQ
Un incidente destacado en el país ocurrió ocurrió en los últimos meses de 2025, cuando el grupo APT Tekir comprometió el entorno de una oficina estatal, extrayendo más de 250 GB de datos en un incidente de ransomware.
Argentina
Ha incrementado consistentemente los ataques que ha colocado a Argentina en el tercer lugar de nuestra lista; entre los sectores más afectados están el área de salud y los sectores público.
Amenazas más detectadas:
- @Trojan.Win32/TrojanDownloader.Rugmi.AOS
- @Trojan.Win32/Exploit.CVE-2012-0143.A
- @Trojan.HTML/Phishing.Agent.AUW
Ocurrido en el primer trimestre de 2025, el ataque que considero más significativo afectó al ejército argentino. El grupo de ransomware MONTI logró atacar el organismo de Fabricaciones Militares Sociedad del Estado robando 300 GB de información, incluidos proyectos militares estratégicos.
Brasil
Ocupa el cuarto lugar entre los países con más detecciones de amenazas y, como ya se mencionó en un análisis anterior, era de espera que el tipo de amenaza que más afecta al país sea el troyano bancario.
Amenazas más detectadas:
- @Trojan.JS/Spy.Banker.KN
- @Trojan.Win32/TrojanDownloader.Rugmi.AOS
- @Trojan.HTML/Phishing.Agent.BGB
No sería posible citar ningún otro incidente de seguridad que no sea el de C&M Software. Este caso emblemático que se reportó en todo el mundo mostró la importancia de las credenciales en cualquier entorno. En él, un empleado de la empresa vendió sus datos de acceso a criminales y esto resultó en una desviación de fondos por más de 800 millones de R$.
Colombia
Registra un crecimiento acelerado en el volumen de ataques por organización, con énfasis en campañas de malware y la explotación de vulnerabilidades conocidas.
Amenazas más detectadas:
- @Trojan.Win32/TrojanDownloader.Rugmi.AOS
- @Trojan.PDF/Phishing.D.Gen
- @Trojan.Win64/Kryptik.EDF
El incidente más destacado en Colombia fue con una empresa de aviación, atacada por el grupo APT Blind Eagle. El grupo utilizó, entre otros recursos, la explotación de una vulnerabilidad antigua (CVE-2024-43451) para ayudar a comprometer el entorno.
Características de los principales malware
Las principales detecciones observadas en varios países presentan características similares, con un destaque especial para Rugmi, que se utiliza ampliamente como downloader.
Por definición, los downloaders permiten analizar la infraestructura de un entorno objetivo, identificando si el host comprometido resulta adecuado para que el ataque continúe. Su fuerte presencia sugiere que los ciberdelincuentes adoptan un enfoque más cauteloso antes de desplegar la carga maliciosa final en el objetivo.
El uso de etapas previas a la infección ofrece varias ventajas para los atacantes. Por ejemplo, dificulta que los responsables de seguridad identifiquen rápidamente qué tipo de ataque están enfrentando y complica el análisis del artefacto principal, lo que a su vez limita el desarrollo de mejoras de seguridad basadas en el modelo de “lecciones aprendidas”.
Otro aspecto relevante es la alta presencia de detecciones de phishing genérico, identificadas como @Trojan.PDF/Phishing y @Trojan.HTML/Phishing. Las letras añadidas al final del nombre de la detección indican variantes específicas, pero continúan considerándose genéricas porque no es posible asociarlas directamente con amenazas más estructuradas.
Finalmente, otro punto destacado es la detección del exploit CVE-2012-0143 procedente de Argentina. Esta amenaza aprovecha un manejo inadecuado de la memoria en herramientas de la suite Office. A pesar de su antigüedad —más de catorce años—, sigue siendo efectiva para los ciberdelincuentes debido al número de detecciones observadas.
Conclusión
El panorama tecnológico de cada región es, por definición, heterogéneo. Sin embargo, es posible observar similitudes en los enfoques utilizados por los ciberdelincuentes, lo que sugiere que estrategias similares destinadas a proteger los entornos también pueden aplicarse de forma eficiente.
Actualizar el entorno: Entre los puntos más vulnerables de una infraestructura, uno de los más relevantes es el uso de software obsoleto. Es fundamental actualizar los sistemas operativos, el firmware y todas las aplicaciones que lo permitan; de lo contrario, los ciberdelincuentes pueden aprovechar vulnerabilidades conocidas para comprometer el entorno. Si alguno de estos sistemas no puede actualizarse, lo ideal es implementar medidas de protección compensatorias que mitiguen el riesgo.
Proteger todos los hosts: Muchas amenazas pueden comprometer un entorno incluso sin explotar vulnerabilidades específicas. Para reducir el riesgo de infección, es necesario que todos los hosts —ya sean estaciones de trabajo utilizadas por personas, servidores, terminales u otros dispositivos— cuenten con un software de protección confiable correctamente configurado.
También es importante recordar que las soluciones de seguridad pueden ser objetivos de ataque: si están mal configuradas o desactualizadas, su efectividad puede verse seriamente comprometida.
Utilizar inteligencia externa: Durante mucho tiempo, el uso de inteligencia de amenazas se ha considerado un nivel avanzado de madurez en seguridad, lo que ha llevado a muchas organizaciones a pensar que no pueden implementarla por falta de recursos, ya sea personal especializado o presupuesto. Sin embargo, esta realidad está cambiando. Actualmente existen numerosas fuentes gratuitas de alta calidad que pueden aportar información valiosa a las organizaciones, y una recopilación adecuada de estas fuentes puede ofrecer resultados significativos.
¡Para todos nuestros lectores!
Aprovechen esta oportunidad de obtener un trial gratuito de 30 días para Google Workspace, la mejor solución para tu empresa. Disfruta de todas sus funcionalidades, como correo electrónico personalizado, almacenamiento en la nube y herramientas de colaboración.
