valerybrozhinsky - stock.adobe.c

Noticias

Lumu: Crecen los ciberataques más silenciosos y persistentes

El “Compromise Report 2026” de Lumu revela un giro de los ciberdelincuentes hacia priorizar la evasión y el sigilo en lugar de realizar ataques de fuerza bruta.

Melisa Osores
por
Publicado: 20 feb 2026

En los últimos años, la actividad maliciosa en Latinoamérica muestra un aumento sostenido, impulsado por la rápida digitalización de sectores estratégicos y brechas persistentes en los controles de seguridad. Pero este año, los métodos de ataque están cambiando estratégicamente, pasando de malware altamente visible a técnicas mucho más sigilosas, alerta Ricardo Villadiego, fundador y CEO de la compañía de ciberseguridad Lumu.

De hecho, las cuatro grandes tendencias de ciberseguridad que identificó el reciente informe “Compromise Report 2026”de la empresa –asociadas al uso de herramientas y técnicas por parte de los delincuentes– son los anonymizers, los droppers y downloaders, los infostealers y el ransomware.

Ricardo Villadiego

“Ya no buscamos al enemigo en la puerta; debemos asumir que ya está dentro. Los atacantes han perfeccionado la capacidad de camuflar su actividad dentro de herramientas legítimas y del ruido normal de la red, sustituyendo la fuerza bruta por evasión basada en comportamiento, y favoreciendo el uso de anonymizers, DNS tunneling y dominios generados con IA”, afirma Villadiego.

El informe de Lumu revela que los atacantes han dejado atrás las brechas “ruidosas” para adoptar estrategias de evasión “lentas y silenciosas” (low-and-slow), dominando las tácticas de Living-off-the-Land y ocultándose dentro de herramientas ya existentes. Para ello, pueden utilizar VPN, sistemas legítimos de distribución de tráfico o canales de DNS cifrado. La evidencia más clara de este cambio, señala el reporte, se refleja en las tácticas, técnicas y procedimientos (TTP, por sus siglas en inglés).

Además, los datos del marco MITRE ATT&CK muestran que los atacantes están priorizando la evasión por encima de todo. De forma notable, el Comando y Control (C2) ha reemplazado a “Execution” (ejecución de código o comandos dentro de la red) entre las tres principales TTP, lo que indica que los adversarios están menos enfocados en ejecutar código destructivo de inmediato y más en mantener un canal persistente y silencioso dentro de las redes, sin activar alertas.

A nivel geográfico, la investigación encontró que:

  • En Centroamérica y el Caribe, los sectores de Gobierno (27,1 %) y Telecomunicaciones (22,9 %) concentran la mayor exposición a infostealers, así como el mayor impacto en ransomware, con 27,7 % y 16,6 %, respectivamente.
  • En Sudamérica, Telecomunicaciones (22,1 %) y Gobierno (17,5 %) están más afectados por infostealers, mientras que el ransomware se dirige principalmente a Telecomunicaciones (23,3 %) y Educación (23,3 %).
  • En México, en particular, Telecomunicaciones (22,2 %) y Educación (20,2 %) son los sectores que reciben el mayor impacto de los infostealers, y también de ransomware, solo que a la inversa: Educación (35,7 %) y Telecomunicaciones (32,1 %).

“Nuestro informe más reciente funciona como un plan de batalla para los líderes de seguridad, al desglosar la anatomía de estas nuevas amenazas invisibles, desde Keitaro hasta DeathRansom. Además, resalta la importancia del monitoreo continuo, la integración fluida de herramientas y el uso de inteligencia de amenazas accionable”, añade Villadiego.

Datos importantes que revela el informe

El reporte de Lumu destaca que la anonimización se mantuvo durante todo el año pasado como el principal indicador de compromisos (IoC, por sus siglas en inglés), con servicios como Tor y VPN privadas como los ‘anonymizers’ con más presencia a nivel global.

Lumu también indica que detectó con mayor frecuencia el dropper Keitaro, un sistema de distribución de tráfico (TDS, por sus siglas en inglés) legítimo utilizado por equipos de marketing para redirigir tráfico web que utilizan los atacantes para entregar malware.

Otro hallazgo es que, a pesar de las acciones de desmantelamiento contra el infostealer Lumma Stealer –basado en el modelo de malware como servicio–, los sensores de Lumu Technologies detectaron nuevas infecciones más resilientes con este malware a finales de julio de 2025. Sin embargo, aparecieron nuevos ladrones de credenciales financieras como MagentoCore, Remo y Ramnit.

Finalmente, el ecosistema de ransomware en 2025 estuvo marcado por la fragmentación de grupos que se separaron de bandas grandes y conocidas, con DeathRansom como el grupo más relevante.

¿Cuál es el panorama de amenazas para América Latina?

  • DeathRansom fue la principal familia de ransomware, con 63 % de las detecciones en Centroamérica y el Caribe y 53 % en Sudamérica.
  • Por países, la mayor concentración de actividad asociada a DeathRansom se registró en: Guatemala (47 %), México (43 %), Brasil (33 %), Argentina (23 %), Colombia (21 %), República Dominicana (13 %) y Costa Rica (13 %).
  • En la región, Keitaro afectó principalmente a Guatemala (38 %), México (33 %) y Argentina (29 %).
  • Las campañas de infostealers dominaron gran parte de la actividad maliciosa en la región, con Lumma Stealer como la familia más detectada tanto en Centroamérica y el Caribe (29 %) como en Sudamérica (43 %).

    Investigue más sobre Gestión de la seguridad