Un nuevo informe de Kaspersky alerta sobre las nuevas tácticas que marcarán el rumbo de los ataques de ransomware en 2026.

América Latina se consolidó como la región más afectada por el ransomware a nivel global en 2025, de acuerdo con un nuevo informe de Kaspersky. La compañía advierte que el 8.13% de las organizaciones en la región registró este tipo de ataques, superando a Asia-Pacífico, África, Medio Oriente, la Comunidad de Estados Independientes y Europa. Este panorama no solo confirma el aumento de la presión sobre las empresas latinoamericanas, sino que también anticipa una evolución en las tácticas de los ciberdelincuentes hacia esquemas más sofisticados, como la extorsión sin cifrado, el uso de criptografía postcuántica y la distribución de datos comprometidos a través de canales de Telegram, tendencias que marcarán el rumbo del ransomware en 2026.

En el marco del Día Internacional contra el Ransomware, Kaspersky presentó un informe con una visión general de las tendencias que marcaron 2025 y un análisis de lo que se espera en el panorama de amenazas para 2026. La investigación revela que luego de América Latina, Asia-Pacífico es la región más afectada con 8% de las empresas vulneradas por ataques de ransomware, seguida por África con 7.62%, Medio Oriente con 7.27%, la Comunidad de Estados Independientes con 5.91% y Europa con 3.82% de instituciones perjudicadas.

A pesar de una ligera disminución en la proporción total de organizaciones afectadas por ransomware en 2025 en comparación con 2024, los usuarios siguen enfrentando un riesgo significativo, ya que los atacantes están industrializando sus operaciones, automatizando métodos de intrusión y enfocándose cada vez más en robar y filtrar datos sensibles, en lugar de limitarse a cifrar sistemas.

Los canales de Telegram y los foros de la dark web continúan funcionando como plataformas para la distribución y venta de bases de datos y accesos comprometidos, incluidos aquellos obtenidos como resultado de ataques de ransomware. Un importante foro clandestino, RAMP, que también operaba como plataforma para que distintos actores de amenazas promocionaran sus servicios de ransomware y publicaran actualizaciones relacionadas, fue desmantelado por las autoridades en enero de 2026. Otro foro clandestino, LeakBase, donde los actores maliciosos distribuían datos exfiltrados y comprometidos, fue desmantelado en marzo de 2026. Sin embargo, aunque las agencias de seguridad están cerrando activamente plataformas en la dark web y sitios de filtración de datos, es probable que surjan portales similares con el tiempo.

Una de las tendencias observadas en 2025 es el continuo aumento de los llamados “killers” de EDR (Endpoint Detection and Response), herramientas diseñadas específicamente para desactivar las soluciones de seguridad en los dispositivos antes de ejecutar el malware. Estos “EDR killers” se han convertido en un componente estándar de los ataques, lo que refleja intrusiones más deliberadas y metódicas.

Los investigadores también señalaron la aparición de familias de ransomware que adoptan estándares de criptografía postcuántica, una tendencia que Kaspersky ya había anticipado previamente. Este desarrollo indica un cambio preocupante hacia métodos de cifrado que podrían resistir futuros intentos de descifrado mediante computación cuántica.

El papel de los Initial Access Brokers (IABs) —intermediarios del cibercrimen que venden accesos corporativos previamente comprometidos a través de foros clandestinos y plataformas de mensajería— está en aumento. Los portales RDWeb (sitios web que permiten controlar dispositivos de forma remota) se están convirtiendo en objetivos cada vez más frecuentes, a medida que los grupos de ransomware continúan industrializando sus ataques mediante modelos de “Access-as-a-Service”. Como resultado, la barrera de entrada para lanzar ataques de ransomware sigue disminuyendo.

Grupos activos

Entre los grupos de ransomware más activos en 2025, con base en datos de sitios de filtración de información, Kaspersky identificó a Qilin como el operador dominante bajo el modelo de ransomware-as-a-service (RaaS), tras la interrupción de las operaciones de RansomHub. Clop se ubicó como el segundo grupo más activo, seguido por Akira en tercer lugar.

Si bien varios de los principales grupos de ransomware cesaron operaciones en 2025, continúan surgiendo nuevos actores. De cara a 2026, The Gentlemen se perfila como uno de los grupos emergentes más relevantes debido a su rápido crecimiento, operaciones estructuradas y un enfoque cada vez mayor en la extorsión centrada en datos. Es posible que este grupo incluya atacantes previamente vinculados a otras operaciones importantes de ransomware.

The Gentlemen ejemplifica un cambio más amplio en el ecosistema del ransomware, alejándose de campañas caóticas y de alto ruido hacia modelos de extorsión más escalables y con lógica empresarial, enfocados principalmente en el robo de información sensible, así como en ejercer presión reputacional y regulatoria, en lugar de depender exclusivamente del cifrado disruptivo de archivos.

“El ransomware ha evolucionado hasta convertirse en un ecosistema altamente organizado, enfocado en monetizar datos robados, desactivar defensas y escalar ataques con una eficiencia similar a la de un negocio. Los actores de amenazas se están adaptando rápidamente, utilizando herramientas legítimas como armas, explotando infraestructuras de acceso remoto e incluso adoptando criptografía postcuántica mucho antes de lo esperado. El propósito del Día Mundial contra el Ransomware es generar conciencia global sobre las amenazas que representa este tipo de ataques y promover mejores prácticas de prevención y respuesta. Por ello, instamos a empresas y todos los usuarios a mantenerse protegidos, implementar defensas en capas, invertir en respaldos de información y fortalecer sus niveles de cultura digital para hacer frente a estos ataques”, comenta Fabio Assolini, investigador líder en Seguridad para América Latina en Kaspersky.

Los expertos de Kaspersky recomiendan a las organizaciones seguir estas buenas prácticas para protegerse frente a este tipo de ataques:

• Activar la protección contra ransomware en todos los endpoints. Existe una herramienta gratuita, Kaspersky Anti-Ransomware Tool for Business, que protege computadoras y servidores frente a ransomware y otros tipos de malware, previene exploits y es compatible con soluciones de seguridad ya instaladas.
• Mantener siempre actualizado el software en todos los dispositivos que se utilicen para evitar que los atacantes exploten vulnerabilidades y se infiltren en su red.
• Enfocar su estrategia de defensa en la detección de movimientos laterales y la exfiltración de datos hacia internet. Es importanteprestar atención al tráfico saliente para identificar posibles conexiones de ciberdelincuentes a su red; así como configurar copias de seguridad fuera de línea que no puedan ser manipuladas por intrusos y asegurarse de poder acceder a ellas rápidamente cuando sea necesario o en caso de emergencia.
• Las empresas de sectores no industriales pueden protegerse implementando soluciones anti-APT y EDR, que permiten capacidades avanzadas para la detección de amenazas, la investigación y la remediación oportuna de incidentes. Asimismo, las organizaciones pueden proporcionar a sus equipos SOC acceso a la información de inteligencia de amenazas más reciente y fortalecer continuamente sus habilidades mediante capacitación profesional. Todo lo anterior está disponible dentro de Kaspersky Next.

Origen

Por Fabio Assolini, Director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky

El impacto económico del ransomware podría ser abrumador. VDC Research y Kaspersky realizaron una estimación que mostró que, tan solo en el sector manufacturero, las pérdidas potenciales por ataques de ransomware (si hubieran tenido éxito) habrían superado los 18 mil millones de dólares durante los primeros tres trimestres de 2025. A nivel regional, Asia-Pacífico concentra la mayor parte de este impacto, con 11.5 mil millones de dólares en pérdidas potenciales, lo que subraya cómo la rápida digitalización en economías emergentes amplía las superficies de ataque.

En 2025, el ransomware demostró resiliencia, evolución y capacidad de adaptación. Los modelos de “Ransomware como Servicio” (Ransomware-as-a-Service o RaaS) dominaron el panorama. Estos redujeron significativamente las barreras de entrada para ciberdelincuentes novatos, al ofrecer malware, programas de afiliados e incluso intermediación de accesos iniciales, lo que ha dado lugar a una división de rescates 90/10 a favor de los operadores. Plataformas como RansomHub (actualmente desmantelada) fueron rápidamente sustituidas por otros grupos como Qilin, Akira, Cl0p y Sinobi.

Las tácticas también han evolucionado de forma alarmante, especialmente aquellas que utilizan controladores vulnerables firmados. Estas se apoyan en la técnica BYOVD (Bring-Your-Own-Vulnerable-Driver o "Trae tu propio controlador vulnerable"), como se ha visto en los ataques realizados por MedusaLocker. La doble y triple extorsión, es decir, cifrar la información mientras se roba en tiempo real para después difundirla entre clientes, reguladores o competidores, se ha convertido en una práctica habitual.

Los atacantes están evadiendo las defensas tradicionales al dirigirse a puntos de entrada poco convencionales: dispositivos IoT, electrodomésticos inteligentes e incluso cámaras web, como ocurrió con el grupo criminal Akira. La integración de la inteligencia artificial, en particular los modelos de lenguaje de gran tamaño (LLM, por sus siglas en inglés), ha acelerado este fenómeno. Grupos como FunkSec, surgido a finales de 2024, utilizan códigos generados por IA para llevar a cabo ataques de bajo costo y alto volumen contra los sectores gubernamental, financiero y educativo en regiones como India y Europa.

Grupos hacktivistas como Head Mare y Twelve han convertido el ransomware en un arma contra la industria manufacturera y otros objetivos. En África, aunque la prevalencia es menor debido a una digitalización limitada, focos como Sudáfrica y Nigeria registran un aumento de incidentes en el sector financiero. Europa, respaldada por regulaciones como el Reglamento General de Protección de Datos (GDPR), ha resistido mejor, pero interrupciones como el ataque de RansomHub a oficinas de Kawasaki evidencian las vulnerabilidades en la cadena de suministro.

De cara a 2026, el ransomware no solo persiste, se prepara para dar un salto impulsado por la rápida integración de la IA en el cibercrimen. Los sistemas de IA agéntica, capaces de razonar de forma autónoma y adaptarse en tiempo real, probablemente automatizarán toda la cadena de ataque, desde el reconocimiento inicial hasta las demandas finales de extorsión, ejecutándose a velocidades muy superiores a las humanas.

Las plataformas de Ransomware-as-a-Service potenciadas por IA podrían permitir que incluso hackers inexpertos lancen malware polimórfico que muta sobre la marcha o utilicen videos deepfake para chantajear a ejecutivos. El número de víctimas podría dispararse, a medida que los atacantes escalan operaciones de alto volumen contra proveedores externos. Las tácticas de extorsión podrían evolucionar hacia la manipulación encubierta de datos y el sabotaje reputacional, erosionando la confianza en las marcas de la noche a la mañana.

Para mantenerse un paso adelante, las organizaciones deben invertir en inteligencia de amenazas y detección proactiva, así como implementar respaldos inmutables y aislados. También es clave realizar auditorías exhaustivas a la cadena de suministro y adoptar autenticación multifactor avanzada. Deben implementarse capacitaciones específicas para contrarrestar esquemas de phishing potenciados por IA.

El auge del ransomware en 2025, marcado por el impulso de la IA, ataques dirigidos y costos desbordados, sirve como advertencia para el mundo empresarial. En 2026, las amenazas autónomas podrían rebasar a quienes no estén preparados, pero con modelos de protección resilientes, las empresas no solo pueden sobrevivir, sino prosperar. La elección es clara: evolucionar más rápido que los atacantes o arriesgarse a convertirse en la próxima noticia de portada.

Para contrarrestar eficazmente el ransomware, se debe comenzar habilitando protección dedicada en todos los endpoints. En empresas no industriales, es recomendable implementar herramientas contra Amenazas Persistentes Avanzadas (anti-APT), así como de Detección y Respuesta de Endpoints (EDR) para fortalecer el descubrimiento de amenazas, su detección, investigación y remediación rápida de incidentes. Además, es fundamental dotar a los equipos SOC de inteligencia de amenazas actualizada y capacitación continua, accesibles mediante plataformas integrales como Kaspersky Next, para construir una estrategia de defensa sólida.

En el caso de organizaciones del sector industrial, es necesario adoptar un ecosistema especializado como Kaspersky Industrial CyberSecurity (KICS), que combina tecnologías diseñadas para entornos de tecnología operativa (OT), conocimiento experto y una plataforma nativa de Detección y Respuesta Extendidas (XDR) pensada para infraestructura crítica. Esta solución ofrece análisis robusto del tráfico de red, protección de endpoints y capacidades de respuesta, integrando la seguridad TI tradicional con medidas específicas para entornos industriales, a fin de frenar amenazas sofisticadas.

Origen

El Panorama de Amenazas de Kaspersky 2025 revela que América Latina registró una disminución del 7% en los ataques de ransomware en comparación con el año anterior. En los últimos 12 meses, entre agosto de 2024 y junio de 2025, la región llegó a registrar más de 1,1 millones de intentos – alrededor de 3,000 al día, con un promedio de 2 ataques por minuto. Brasil lidera el ranking con 549 mil registros, seguido por México (237 mil), Chile (43 mil), Ecuador (37 mil) y Colombia (35 mil), conformando el top 5 de países más afectados por esta ciberamenaza. Por detrás, se ubican Perú (25 mil), Panamá (22 mil) y Argentina (16 mil).

Uno de los motivos de la caída en los ataques de ransomware en la región fue la detención del grupo cibercriminal Phobos. Durante la operación policial se interceptaron más de 100 servidores que formaban parte de la red criminal, desmantelando su infraestructura. El grupo Phobos era responsable de una de las familias de ransomware más activas, que figuraba entre las cinco que más afectaban a usuarios en América Latina, alcanzando al 4.44% de las organizaciones de la región.

“Si bien todos los países de América Latina –excepto Brasil (+12%)– mostraron una reducción en el número de ataques de ransomware, la región aún enfrenta un escenario preocupante. Son 3 mil ataques al día y 2 por minuto de un tipo de amenaza que bloquea el acceso a datos críticos y exige rescates, generando potenciales perjuicios financieros y reputacionales para las organizaciones –desde empresas hasta entidades gubernamentales. No debemos interpretar cualquier disminución en los ataques como un alivio, sino como una advertencia para reforzar la prevención ante las tácticas cada vez más sofisticadas de los cibercriminales”, destacó Fabio Assolini, director del Equipo Global de Investigación y Análisis de Kaspersky para América Latina.

Los daños no se limitan a gobiernos. Empresas de todos los tamaños y sectores son objetivos constantes, y los impactos pueden ser devastadores. Los ataques de ransomware ya han llevado a compañías centenarias a cerrar sus puertas y han hecho que empresas de salud, por ejemplo, quiebren tras filtraciones masivas de datos, comprometiendo información sensible y la confianza del público. Organizaciones de tecnología, bases de datos públicas e incluso empresas mixtas también pueden verse afectadas, evidenciando la fragilidad de modelos de negocio complejos frente a ciberincidentes.

Para evitar este tipo de infecciones por ransomware, Kaspersky recomienda:

• Mantener todos los programas actualizados, tanto en los dispositivos (computadoras, celulares, tabletas) como en los servidores. De esta forma, se evita que los cibercriminales exploten fallas del sistema para invadir la red de la empresa.
• Para prevenir filtraciones de datos, seguir las normas internas: nunca compartir o enviar información sensible sin autorización y reportar de inmediato cualquier actividad sospechosa al equipo de TI o de seguridad. Utilizar únicamente los sistemas y herramientas oficiales de la empresa para acceder o transferir datos.
• Realizar copias de seguridad (backups) y mantenerlas seguras y fuera de línea, protegidas con contraseña, cifrado y control de acceso. Así, incluso en caso de ataque, la empresa puede recuperar sus datos rápidamente.
• Activar la protección contra ransomware en todos los dispositivos de la empresa (computadoras, celulares, tabletas) para evitar que los archivos sean secuestrados o cifrados por hackers.
• Instalar soluciones de seguridad, como anti-APT y EDR de Kaspersky, que ayudan a identificar ataques, investigar lo ocurrido y bloquear problemas de forma rápida. Los anti-APT detectan ataques avanzados y planificados, mientras que el EDR monitorea los dispositivos, detecta problemas, investiga y ayuda a resolver incidentes.

Origen

Serengeti 2.0 desmanteló más de 11,000 infraestructuras maliciosas y desarticuló redes de ransomware, fraudes en línea y compromisos de correo empresarial.

Como parte de su colaboración con INTERPOL, Kaspersky participó recientemente en la operación internacional Serengeti 2.0, destinada a combatir el ciberdelito a gran escala. La acción, que se extendió de junio a agosto de 2025, reunió a investigadores de 18 países*, incluyendo el Reino Unido, y resultó en la detención de 1,209 presuntos ciberdelincuentes, la recuperación de 97.4 millones de dólares estadounidenses y el desmantelamiento de 11,432 infraestructuras maliciosas, responsables de atacar a cerca de 88,000 víctimas.

Kaspersky contribuyó con su inteligencia de amenazas y IoCs (indicadores de compromiso) sobre las amenazas investigadas, incluyendo datos sobre sitios de phishing, botnets, infraestructuras de DDoS maliciosas y estadísticas de ransomware. Entre enero y mayo de 2025, los productos de Kaspersky detectaron aproximadamente 10,000 muestras únicas de ransomware en la región donde se desarrolló la operación.

Además, a solicitud de INTERPOL, el centro de investigación de amenazas de Kaspersky analizó un esquema fraudulento de inversión en criptomonedas, que engañaba a usuarios para invertir en un negocio ficticio. La investigación permitió identificar nuevos IoCs de red y llevar a las autoridades a desarticular la campaña, que había afectado a 65,000 víctimas con pérdidas estimadas en 300 millones de dólares. Como resultado, las autoridades arrestaron a 15 personas, y las indagaciones continúan para ubicar a colaboradores internacionales.

La primera edición de la operación Serengeti se realizó entre septiembre y octubre de 2024 y tuvo un impacto similar: más de 1,000 sospechosos arrestados y daños evitados por 193 millones de dólares, tras actuar contra operaciones de ransomware, extorsión digital y estafas en línea.

Valdecy Urquiza, Secretario General de INTERPOL, declaró:

“Cada operación coordinada por INTERPOL se construye sobre la anterior, profundizando la cooperación, aumentando el intercambio de información y desarrollando habilidades investigativas entre los países miembros. Con más contribuciones y experiencia compartida, los resultados siguen creciendo en escala e impacto. Esta red global es más fuerte que nunca, entregando resultados reales y protegiendo a las víctimas.”

Por su parte, Claudio Martinelli, director general para Américas en Kaspersky, señaló:

“El proceso de digitalización acelerada puede ser un arma de doble filo: mientras abre nuevas oportunidades de desarrollo, también trae consigo riesgos emergentes. Es fundamental impulsar asociaciones público-privadas eficaces que fortalezcan la cooperación existente y creen nuevas formas de construir un ciberespacio más saludable. El éxito de las operaciones coordinadas por INTERPOL demuestra lo efectivo que puede ser el diálogo permanente y el intercambio de datos entre actores privados y fuerzas del orden para reducir las tasas de ciberdelito y que la seguridad digital es más efectiva con la colaboración de varios actores. Al ampliar este tipo de iniciativas, podemos asegurar que el mundo digital sea un espacio de oportunidades y no de amenazas.”

Gracias a este tipo de acciones coordinadas, se han logrado avances concretos como el desmantelamiento de infraestructuras maliciosas y la captura de responsables. Además de las dos ediciones de la operación Serengeti, Kaspersky ha colaborado previamente en Africa Cyber Surge, Africa Cyber Surge II y Red Card, todas con el objetivo de construir un entorno digital más seguro.

*Serengeti 2.0, fue una operación destinada a combatir el ciberdelito en África. Países participantes: Angola, Benín, Camerún, Chad, Costa de Marfil, República Democrática del Congo, Gabón, Ghana, Kenia, Mauricio, Nigeria, Ruanda, Senegal, Sudáfrica, Seychelles, Tanzania, Reino Unido, Zambia y Zimbabue.

Origen

Este actor ha superado rápidamente a muchos agentes de amenazas establecidos y tiene como víctimas a los sectores gubernamental, tecnológico, financiero y educativo.

Expertos de Kaspersky revelaron el funcionamiento interno de FunkSec, un grupo de ransomware que ilustra el futuro del cibercrimen masivo: es impulsado por Inteligencia Artificial (IA) y multifuncional, sumamente flexible y actúa en volumen, con rescates tan bajos como 10,000 dólares, para obtener ganancias máximas. El enfoque usado por este grupo refleja el panorama cambiante de la ciberdelincuencia masiva, que combina herramientas y tácticas avanzadas.

FunkSec, que lleva menos de un año activo desde su aparición a finales de 2024, ha superado rápidamente a muchos agentes de amenazas establecidos al escoger como objetivos los sectores gubernamental, tecnológico, financiero y educativo principalmente en países de Europa y Asia.

Según el informe de Kaspersky El Estado del Ransomware, la proporción de usuarios afectados por ataques de ransomware a nivel mundial aumentó al 0.44% entre 2023 y 2024, un incremento de 0.02 puntos porcentuales. Si bien este porcentaje puede parecer modesto en comparación con otras ciberamenazas, refleja que los atacantes suelen priorizar objetivos de alto valor en vez de la distribución masiva, lo que hace que cada incidente sea potencialmente devastador. En este panorama en constante evolución, FunkSec se ha convertido en una amenaza particularmente preocupante.

Lo que distingue a FunkSec es su compleja arquitectura técnica y su desarrollo asistido por IA. El grupo integra cifrado a gran escala y exfiltración agresiva de datos en un único ejecutable basado en Rust, capaz de desactivar más de 50 procesos en los equipos de las víctimas y equipado con funciones de autolimpieza para evadir las defensas. Además de su funcionalidad principal contra el ransomware, FunkSec ha ampliado su conjunto de herramientas para incluir un generador de contraseñas y una herramienta básica contra DDoS; ambos muestran claros indicios de síntesis de código mediante modelos de lenguaje grandes (LLMs).

El enfoque de FunkSec refleja el panorama cambiante de la ciberdelincuencia masiva, que combina herramientas y tácticas avanzadas.

Los expertos de Kaspersky destacan las cinco características clave que definen las operaciones de este grupo y que ejemplifican el dinámico panorama actual de los ciberdelincuentes que hoy, combinan herramientas y técnicas avanzadas en su beneficio:

1. Funcionalidad controlada por contraseña

El ransomware FunkSec cuenta con un mecanismo singular basado en contraseñas que controla sus modos de operación. Sin contraseña, el malware realiza un cifrado básico de archivos, mientras que al proporcionarle una contraseña se activa un proceso más agresivo de exfiltración de datos, además del cifrado, para robar datos confidenciales.

FunkSec integra cifrado a gran escala, exfiltración local y autolimpieza en un único Rust binario, sin necesidad de carga lateral ni script complementario. Este nivel de consolidación es poco común y ofrece a los afiliados una herramienta lista para usar que pueden implementar prácticamente en cualquier lugar.

2. Uso de IA en el desarrollo

El análisis de código muestra que FunkSec utiliza activamente Inteligencia Artificial generativa para crear sus herramientas. Muchas partes del código parecen generarse automáticamente en lugar de escribirse manualmente. Señales de esto son los comentarios genéricos de marcadores de posición (por ejemplo, “marcador de posición para la comprobación real”) e inconsistencias técnicas, como órdenes para diferentes sistemas operativos que no se alinean correctamente. Además, la presencia de funciones declaradas, pero no usadas (como los módulos incluidos inicialmente, pero nunca utilizados) refleja cómo los grandes modelos de lenguaje combinan múltiples fragmentos de código sin eliminar elementos redundantes.

3. Estrategia de gran volumen y pagos de rescate low cost

FunkSec exige pagos de rescate inusualmente bajos, a veces de tan sólo 10,000 dólares, y lo combina con la venta a terceros de datos robados a precios reducidos. Esta estrategia parece diseñada para permitir un gran volumen de ataques, lo que ayuda al grupo a consolidar rápidamente su reputación en el mundo clandestino del cibercrimen. A diferencia de los grupos tradicionales de ransomware que buscan rescates millonarios, FunkSec emplea un modelo de alta frecuencia y bajo costo, lo que confirma el uso de la IA para optimizar y escalar sus operaciones.

4. Se expande más allá del ransomware

FunkSec ha ampliado sus capacidades más allá del binario de ransomware. El sitio de sus filtraciones oscuras (DLS) alberga herramientas adicionales (como un generador de contraseñas basado en Python que ha sido diseñado para soportar ataques de fuerza bruta y de rociado de contraseñas), así como una herramienta DDoS básica.

5. Evasión avanzada

FunkSec emplea técnicas avanzadas de evasión para evitar la detección y dificultar el análisis forense. El ransomware es capaz de detener más de 50 procesos y servicios para garantizar el cifrado completo de los archivos objetivo. Además, incluye un mecanismo de respaldo para ejecutar ciertas órdenes incluso si el usuario que inicia FunkSec no tiene los privilegios suficientes.

“Vemos cada vez con más frecuencia que los ciberdelincuentes utilizan la IA para desarrollar herramientas maliciosas. La IA generativa reduce las barreras y acelera la creación de malware, lo que permite a los ciberdelincuentes adaptar sus tácticas con mayor rapidez. Al reducir el umbral de entrada, la IA permite que incluso los atacantes menos experimentados desarrollen rápidamente malware complejo a gran escala”, comenta Marc Rivero, investigador principal de seguridad de GReAT de Kaspersky.

Para mantenerse protegidos de los ataques de ransomware, los expertos de Kaspersky recomiendan que las organizaciones sigan estas prácticas para protegerse contra el ransomware:

• Concentra tu estrategia de defensa en detectar movimientos laterales y la exfiltración de datos a internet. Presta especial atención al tráfico saliente para detectar así las conexiones de los ciberdelincuentes a tu red. Implementa copias de seguridad fuera de línea que los intrusos no puedan manipular. Asegúrate de que puedes acceder a ellas rápidamente cuando sea necesario o en caso de emergencia.
• Mantén siempre el software actualizado en todos los dispositivos para evitar que los atacantes exploten vulnerabilidades e infiltren tu red.
• Activa la protección contra ransomware en todas las terminales. Existen en el mercado herramientas como Kaspersky Anti-Ransomware Tool for Business que protege computadoras y servidores contra ransomware y otros tipos de malware, previene exploits y es compatible con las soluciones de seguridad ya instaladas.
• Instala soluciones anti-APT y EDR que permiten la detección y el descubrimiento avanzados de amenazas, la investigación y el remedio oportuno de incidentes. Proporciona a tu equipo de SOC acceso a la información más reciente sobre amenazas y actualízalo periódicamente con formación profesional. Todo lo anterior está disponible en el portafolio Kaspersky Industrial Cybersecurity.
• Utilice la información de Inteligencia de Amenazas más reciente para mantenerse al tanto de las tácticas, técnicas y procedimientos (TTP) reales que utilizan los agentes de amenazas.
• Para proteger a su empresa contra una amplia gama de amenazas, utilice las soluciones de la línea de productos Kaspersky Next, que ofrecen protección en tiempo real, visibilidad de amenazas, investigación y capacidad de respuesta de EDR y XDR para organizaciones de cualquier tamaño e industria. Según sus necesidades actuales y los recursos disponibles, puede elegir el nivel más adecuado del producto y migrar fácilmente a otro si sus requisitos de ciberseguridad cambian.

Los productos de Kaspersky detectan esta amenaza como HEUR:Trojan-Ransom.Win64.Generic.

Origen

El uso de inteligencia artificial, ataques más difíciles de detectar y el ‘ransomware como servicio’ están elevando los riesgos de seguridad para las empresas, incluidas las latinoamericanas.

Con motivo del Día Internacional contra el Ransomware, que se conmemora el 12 de mayo, Kaspersky presenta su informe anual sobre la evolución del panorama global y regional de esta amenaza. Este día fue establecido en 2020 por INTERPOL en colaboración con Kaspersky para conmemorar el aniversario del ataque de ransomware WannaCry, ocurrido en 2017 y busca crear conciencia global sobre los riesgos del ransomware y promover prácticas efectivas para su prevención y respuesta.

En América Latina, la proporción de usuarios afectados por ataques de ransomware aumentó a 0,33 % entre 2023 y 2024, según datos de Kaspersky Security Network. Si bien este porcentaje puede parecer bajo, es un comportamiento típico del ransomware, ya que los cibercriminales prefieren enfocarse en objetivos de alto valor en lugar de ejecutar campañas masivas, lo que reduce el número total de incidentes, pero incrementa significativamente el impacto de cada ataque.

El informe también muestra que, a nivel global, las regiones con mayor porcentaje de usuarios atacados son Medio Oriente, Asia-Pacífico y África, seguidas por América Latina, la CEI (Comunidad de Estados Independientes) y Europa.

“En América Latina, vemos un aumento sostenido en los ataques de ransomware, especialmente en países como Brasil, Argentina, Chile y México. Sectores estratégicos como manufactura, gobierno, agricultura, energía y retail se han convertido en objetivos frecuentes. Si bien las limitaciones económicas y los rescates relativamente bajos pueden disuadir a ciertos actores, la acelerada transformación digital en la región amplía la superficie de ataque y expone a más organizaciones a este tipo de amenazas”, asegura Fabio Assolini, director del Equipo Global de Investigación y Análisis (GReAT) para América Latina en Kaspersky.

Tendencias actuales y nuevas formas de ransomware

El uso de inteligencia artificial en los ataques de ransomware está creciendo rápidamente. Un ejemplo es FunkSec, un grupo que apareció a finales de 2024 y que en poco tiempo superó a bandas conocidas como Cl0p y RansomHub, acumulando muchas víctimas solo en diciembre. FunkSec opera bajo un modelo llamado “Ransomware como Servicio” (RaaS), donde crean programas maliciosos y los ofrecen a otros delincuentes a cambio de una parte del rescate. Además, usan inteligencia artificial para desarrollar su ransomware, generando códigos complejos de forma más rápida y difícil de detectar. A diferencia de otros grupos que piden millones, FunkSec exige montos más bajos, pero ataca a muchas más víctimas, lo que hace más rentable su operación.

Este modelo de “ransomware como servicio” sigue siendo la forma más común de ataque, porque permite que incluso personas con pocos conocimientos técnicos puedan lanzar ataques sofisticados. En 2024, plataformas como RansomHub ofrecían todo lo necesario: el programa malicioso, ayuda técnica y una forma de repartir el dinero del rescate. Esto hizo que aparecieran muchos nuevos grupos de ransomware durante el año.

Para 2025, se espera que los ataques de ransomware sean aún más creativos y difíciles de detectar. Por ejemplo, el grupo Akira logró ingresar a redes internas de empresas utilizando una cámara web común para evitar los sistemas de seguridad. Los ciberdelincuentes están buscando nuevas formas de entrar, como usando electrodomésticos inteligentes, dispositivos conectados a internet o equipos de oficina mal configurados. A medida que las empresas mejoran sus sistemas de defensa, los atacantes están afinando sus métodos para moverse silenciosamente dentro de las redes y causar el mayor daño posible sin ser detectados a tiempo.

Otro riesgo creciente es el uso de modelos de inteligencia artificial (LLM por sus siglas en inglés) entrenada especialmente para el cibercrimen. En la dark web ya se venden herramientas que permiten a cualquier persona crear virus, correos falsos o mensajes engañosos con solo unos clics. También se están usando tecnologías como la automatización robótica (RPA) o plataformas visuales de desarrollo rápido (LowCode), que permiten crear software de forma muy sencilla. Estas mismas herramientas podrían ser aprovechadas por los delincuentes para lanzar ataques aún más rápidos y frecuentes.

“El ransomware es una de las amenazas de ciberseguridad más urgentes que enfrentan las organizaciones actualmente. Los atacantes están apuntando a empresas de todos los tamaños y en todas las regiones del mundo. En nuestro informe destacamos un cambio preocupante: los ciberdelincuentes están aprovechando puntos de entrada que suelen pasarse por alto, como dispositivos conectados a internet (IoT), electrodomésticos inteligentes y equipos de oficina mal configurados o desactualizados. Estos puntos débiles muchas veces no se monitorean, lo que los convierte en blancos fáciles. Para mantenerse protegidas, las organizaciones necesitan una defensa en capas que incluya sistemas actualizados, segmentación de red, monitoreo en tiempo real, copias de seguridad sólidas y educación continua para los usuarios. Crear conciencia cibernética en todos los niveles es tan importante como invertir en la tecnología adecuada”, agrega Assolini.

Kaspersky recomienda a las organizaciones seguir estas buenas prácticas para protegerse de este tipo de amenazas:

• Activa la protección contra ransomware en todos los endpoints. Kaspersky ofrece de forma gratuita una herramienta anti-ransomware para empresas, que protege computadoras y servidores frente a este tipo de malware, previene vulnerabilidades y es compatible con otras soluciones de seguridad ya instaladas.
• Mantén siempre actualizado el software en todos los dispositivos que utilices, para evitar que los atacantes aprovechen fallas de seguridad y se infiltren en tu red.
• Centra tu estrategia de defensa en detectar movimientos laterales y exfiltración de datos hacia internet. Revisa el tráfico saliente para identificar conexiones sospechosas con ciberdelincuentes. Configura copias de seguridad offline que no puedan ser alteradas por intrusos y asegúrate de poder acceder a ellas rápidamente en caso de emergencia.
• Instala soluciones anti-APT y EDR que permitan descubrir amenazas avanzadas, investigarlas y resolver incidentes a tiempo. Brinda a tu equipo de seguridad (SOC) acceso a inteligencia de amenazas actualizada y capacítalos regularmente con entrenamientos profesionales. Todo esto está incluido en el marco de seguridad avanzada de Kaspersky Expert Security Framework
• Mantente al tanto de las tácticas, técnicas y procedimientos (TTPs) que están usando los actores maliciosos, utilizando información de inteligencia de amenazas actualizada.
• Para proteger a tu empresa frente a un amplio rango de amenazas, utiliza soluciones de la línea Kaspersky Next, que ofrecen protección en tiempo real, visibilidad de amenazas y capacidades de investigación y respuesta (EDR y XDR) para organizaciones de todos los tamaños e industrias. Puedes elegir el nivel de producto que mejor se adapte a tus necesidades actuales y cambiar fácilmente si tus requerimientos cambian en el futuro.

Para conocer más sobre las tendencias de ransomware en 2025, consulta el informe completo en Securelist.com

Origen

El sector salud ha experimentado una transformación digital sin precedentes. Desde cirugías robóticas hasta ortodoncia digital, la tecnología mejora diagnósticos, tratamientos y accesibilidad. Sin embargo, este progreso trae un desafío crítico: la protección de datos.

¿Cómo impacta la tecnología en la medicina?

• Diagnósticos más precisos: "La inteligencia artificial y el big data permiten detectar cáncer o diabetes en etapas tempranas".
• Telemedicina: Consultas remotas para pacientes en zonas rurales.
• Cirugías seguras: Robots quirúrgicos e impresión 3D para prótesis personalizadas.
• Ortodoncia digital: Escáneres intraorales y alineadores invisibles fabricados con software 3D.

En Argentina y Latinoamérica, la odontología ha adoptado herramientas como:
? Radiografías digitales 3D
? Escáneres intraorales (sin moldes incómodos)
? Impresión 3D de coronas y prótesis (más rápidas y económicas)

El gran riesgo: La pérdida de datos médicos

Cada año, miles de historias clínicas se pierden por falta de backup. La Dra. Paulina Albar Díaz, especialista en ortodoncia digital, advierte:
"Trabajamos con registros digitales: fotos, tomografías, planes de tratamiento. Debemos respaldar esta información de forma segura. Nuestros pacientes merecen privacidad y protección".

¿Por qué el backup es vital?

• Evita la pérdida de historiales por fallos técnicos.
• Protege contra ataques de ransomware (hospitales son blancos frecuentes).
• Garantiza continuidad en tratamientos sin interrupciones.

Conclusión

La tecnología en salud salva vidas, pero sin un backup robusto, los datos de los pacientes están en riesgo. Invertir en sistemas de respaldo no es opcional: es una obligación ética y legal. ¿Tu clínica ya protege su información?

Origen

En un mundo cada vez más conectado, la seguridad de nuestras contraseñas se ha convertido en un tema crítico. Según un reciente informe de KELA, una agencia de inteligencia de amenazas, más de 3.900 millones de contraseñas han sido robadas en lo que va de 2024. Este alarmante número no solo afecta a usuarios de plataformas como Gmail y Outlook, sino que también pone en riesgo a empresas y sistemas corporativos.

El malware detrás del robo de contraseñas

El informe de KELA, publicado el 20 de febrero, revela que tres cepas principales de malware—Lumma, StealC y Redline—son responsables del 75% de las infecciones. Estas herramientas permiten a los ciberdelincuentes acceder a credenciales de cuentas personales y corporativas, creando un ciclo vicioso de robo y venta de información en mercados clandestinos.

"Existen economías clandestinas que facilitan el malware como servicio, lo que permite a los atacantes escalar sus operaciones de manera alarmante", explica David Carmiel, CEO de KELA.

La IA: un nuevo enemigo en la seguridad digital

Además del malware, la inteligencia artificial (IA) ha emergido como una amenaza significativa. Ignas Valancius, jefe de ingeniería de NordPass, advierte que las herramientas de IA pueden descifrar contraseñas complejas en cuestión de segundos. Esto aumenta el riesgo de ataques de fuerza bruta y diccionario, comprometiendo aún más la seguridad de los usuarios.

¿Cómo proteger tus contraseñas?

Ante este panorama, es crucial adoptar medidas de seguridad más robustas. Algunas recomendaciones clave incluyen:

• Implementar autenticación multifactor (MFA) en todas las cuentas.
• Crear contraseñas largas y aleatorias, evitando el uso de información personal.
• No reutilizar contraseñas en diferentes cuentas.
• Considerar el uso de frases de contraseña o claves de acceso para mayor seguridad.

El aumento del ransomware

El informe también destaca un incremento del 10,5% en la actividad de ransomware durante 2024, con más de 5.230 víctimas identificadas. Este tipo de ataque no solo afecta a individuos, sino también a empresas, poniendo en riesgo datos sensibles y operaciones críticas.

Origen

En un mundo hiperconectado, las empresas están expuestas a crecientes riesgos cibernéticos. Desde ataques de ransomware hasta el phishing, un análisis de las principales amenazas y las soluciones efectivas a las mismas para proteger nuestro negocio.

La digitalización ha transformado la manera en que operamos las empresas. Sin embargo, este avance tecnológico también trae consigo nuevos riesgos, cada vez más complejos y sofisticados. La hiperconectividad, si bien ha facilitado los procesos, también ha creado vulnerabilidades que los ciberdelincuentes no dudan en explotar. A continuación, repasamos las cinco amenazas más preocupantes que enfrentan las empresas en la era digital y con qué herramientas esenciales contamos para enfrentarlas.

1) Ransomware: el secuestro de datos:

El ransomware se ha convertido en uno de los mayores desafíos en ciberseguridad. Los atacantes cifran archivos y exigen un rescate para devolver el acceso, paralizando las operaciones y generando cuantiosas pérdidas económicas. Para mitigar este riesgo, en IFX ofrecemos soluciones de backup y recuperación en la nube, asegurando que los datos estén protegidos y se puedan restaurar de manera rápida, sin necesidad de pagar a los delincuentes.

2) Phishing: el engaño que compromete credenciales:

El phishing es una técnica en la que los atacantes envían correos electrónicos fraudulentos haciéndose pasar por entidades confiables para obtener acceso a información sensible. Es uno de los métodos más comunes y efectivos para comprometer la seguridad de una empresa. Con los servicios de IFX sobre filtrado de contenido en correos, se pueden bloquear estos intentos antes de que lleguen a los empleados, reduciendo considerablemente el riesgo de que caigan en la trampa.

3) Vulnerabilidades en la cadena de suministro: el eslabón más débil:

Cuando se trabaja en un ecosistema global, se depende de una red de proveedores y socios para mantener las operaciones. Sin embargo, cualquier brecha de seguridad en esta cadena puede poner en peligro a toda la organización. Para atender a estas necesidades, desde IFX realizamos auditorías de seguridad y evaluaciones de riesgos en la cadena de suministro, identificando y resolviendo puntos débiles antes de que sean explotados por los ciberdelincuentes.

4) Amenazas internas: el peligro que no siempre se ve:

Las amenazas internas, ya sean por error humano o acciones malintencionadas, representan un riesgo significativo. Los empleados, sin saberlo, pueden abrir la puerta a un ciberataque. Desde IFX promovemos la implementación de controles de acceso y monitoreo continuo de las redes, lo que permite detectar actividades inusuales y limitar el acceso a la información sensible, asegurando que solo personas autorizadas tengan acceso a los datos críticos.

5) Ataques DDoS: cuando la infraestructura colapsa:

Un ataque DDoS (denegación de servicio distribuido) busca sobrecargar servidores y dejar a la organización fuera de línea. Estos ataques pueden ser devastadores para cualquier infraestructura, interrumpiendo servicios clave y afectando la confianza de los clientes. Con las soluciones de protección avanzada contra DDoS de IFX, se pueden mitigar estos ataques antes de que puedan impactar en las operaciones, asegurando la continuidad de los servicios y minimizando las pérdidas.

En resumen, la era digital ofrece innumerables ventajas para las empresas, pero también introduce nuevas y graves amenazas. Para sobrevivir y prosperar en este entorno, es esencial contar con estrategias de ciberseguridad robustas y adaptadas a nuestros desafíos específicos. En IFX, trabajamos para fomentar la protección de las empresas, promoviendo buenas prácticas y ofreciendo infraestructuras robustas, en la cuales, las organizaciones puedan operar con el apoyo de un aliado que cuida a su cliente.

Por Ariel D`Angelo, Gerente de Ingeniería de Negocios de IFX

Origen

Especialistas de la empresa de ciberseguridad analizan el panorama actual de ataques, destacando las principales amenazas y sectores más afectados, y ofrecen estrategias clave para que las organizaciones fortalezcan su protección y prevengan incidentes críticos.

El Panorama de Amenazas Corporativas de Kaspersky revela que el escenario de ciberamenazas para las empresas en América Latina sigue siendo preocupante. Entre octubre de 2023 y octubre de 2024, se bloquearon 268,3 millones de ataques de malware, incluyendo 262,3 millones de intentos de phishing, más de 1,3 millones de troyanos bancarios y alrededor de 560,000  ataques de ransomware. Este panorama refleja la persistente y creciente actividad de los ciberdelincuentes en la región, con un incremento notable en los ataques dirigidos a sectores clave.

Durante el mismo período, en Argentina, se bloquearon 6,6 millones de ataques de malware, incluyendo 5,6 millones de intentos de phishing, más de 12.000 troyanos bancarios y alrededor de 8.000 ataques de ransomware.

Entre los sectores más afectados en la región se encuentran los de Gobierno, Manufactura, Retail, los servicios de IT, así como los sectores de salud y educación. Estos sectores, debido a su naturaleza y al tipo de información que gestionan, se han convertido en objetivos atractivos para los atacantes, quienes buscan vulnerar sistemas con el fin de obtener información valiosa o paralizar la operación de las organizaciones.

Principales amenazas detectadas

El phishing continúa siendo una amenaza común en América Latina, con más de 721,000 bloqueos diarios, debido a su simplicidad y alta efectividad. Esta técnica es especialmente utilizada en fraudes bancarios y para el robo de información corporativa, representando uno de los mayores desafíos para las empresas. Por otro lado, el ransomware, que cifra datos y exige un rescate para liberarlos, registró más de 560,000 ataques en un año en la región, un promedio de 840 diarios. Aunque los ataques masivos habían disminuido, los ciberdelincuentes ahora optan por estrategias más dirigidas y personalizadas, enfocándose en sectores específicos, lo que les permite exigir rescates mayores al comprometer información crítica o interrumpir operaciones esenciales.

Los troyanos bancarios, diseñados para robar credenciales y realizar fraudes en banca en línea, sumaron 1,3 millones de intentos en el mismo período, equivalentes a alrededor de 3,500 ataques diarios. En 2024, Kaspersky trabajó junto con la Interpol y la Policía Federal de Brasil, logrando desarticular a miembros del grupo detrás del troyano Grandoreiro en abril. Sin embargo, pese a estos avances, los ciberdelincuentes se han reorganizado, manteniendo la amenaza activa y constante en la región.

“El panorama de amenazas digitales sigue expandiéndose, colocando a empresas de todos los tamaños en un nivel de riesgo sin precedentes. El incremento en la sofisticación y personalización de los ataques, como el ransomware, subraya la urgencia de que las organizaciones prioricen la seguridad digital. Afortunadamente, las tecnologías y soluciones avanzadas, combinadas con inteligencia de amenazas y la capacitación de los equipos para reconocer y mitigar posibles crisis, pueden garantizar un nivel óptimo de protección y productividad. La ciberseguridad ya no debe ser vista como una opción, sino como una necesidad crítica para asegurar la continuidad operativa y establecer un diferencial competitivo en el mercado”, asegura Claudio Martinelli, Director General para Américas en Kaspersky.

Los datos de Kaspersky destacan un panorama alarmante de actividad ciberdelincuente dirigido contra empresas, lo que subraya la importancia de contar con medidas efectivas para identificar, bloquear o neutralizar ataques antes de que se conviertan en incidentes críticos.

Según el Informe de Respuesta a Incidentes 2023, las técnicas más comunes utilizadas por los atacantes, ordenadas de mayor a menor, son los exploits de aplicaciones públicas vulnerables, el uso de credenciales robadas, los ataques de fuerza bruta y los mensajes fraudulentos o phishing. Estos resultados reflejan la creciente sofisticación de las amenazas y la necesidad urgente de que las organizaciones refuercen sus estrategias de ciberseguridad.

En este contexto, y para evitar las vulnerabilidades en las empresas, los expertos de Kaspersky sugieren:

• Implementar políticas para el uso de contraseñas seguras: Explicar a los colaboradores la importancia de crear claves complejas que incluyan combinación de letras, números y caracteres especiales, así como pedirles realizar actualizaciones periódicas de las mismas. Habilitar autenticación multifactor en todas las cuentas para añadir una capa adicional de seguridad frente a accesos no autorizados.
• Capacitación en seguridad: Educar a los empleados sobre amenazas comunes, como phishing y técnicas de ingeniería social.
• Actualizaciones de software: Aplicar actualizaciones de seguridad para corregir vulnerabilidades conocidas.
• Copias de seguridad regulares: Realizar backups periódicos y almacenarlos de forma segura.
• Control de acceso: Implementar el principio de mínimo privilegio, asegurando que los usuarios solo tengan acceso a los recursos estrictamente necesarios para desempeñar sus funciones. Además, configurar sistemas para bloquear automáticamente las cuentas tras varios intentos fallidos de inicio de sesión, reduciendo el riesgo de accesos no autorizados.
• Protección de endpoints: Usar soluciones como EDR (Detección y Respuesta de Endpoints) para detectar y responder rápidamente a incidentes.

Origen