Las amenazas cibernéticas se están acelerando más rápido en América Latina
que en cualquier otro lugar del mundo.
La adopción de tecnología, la demografía, la política y los desafíos
exclusivos de la aplicación de la ley en América Latina se han combinado para
hacer que la región sea especialmente fértil para los ciberataques.
De hecho, la tendencia se viene gestando desde hace al menos un año. El verano
pasado, Check Point registró un
aumento interanual del 53% en los ciberataques semanales
contra organizaciones de la región, seguidos de lejos por África (37%) y
Europa (35%). Hoy, la empresa de ciberseguridad
informa
que
las empresas latinoamericanas sufren 2.569 ataques por semana en promedio,
casi un 40% más que el promedio mundial de 1.848.
Las industrias críticas como la atención médica, las comunicaciones, los
gobiernos y los militares se ven acosadas con frecuencia (esas organizaciones
a menudo enfrentan alrededor de 3.000 a 4.000 ataques por semana), pero
incluso los ciudadanos comunes están sintiendo la presión, principalmente a
través de sus aplicaciones e instituciones financieras.
«El panorama de amenazas de América Latina es fundamentalmente diferente de
lo que vemos en regiones como Europa del Este, China o Oriente Medio», explica Adam Meyers, director de operaciones de contraataque de
CrowdStrike.
«Mientras que Rusia y China se ocupan de operaciones cibernéticas
geopolíticas, América Latina es un terreno de juego para grupos con
motivaciones económicas que explotan las posturas de seguridad más débiles.
Estos grupos ven grandes oportunidades aquí».
Principales hallazgos del informe
-
Industrias más atacadas: Las industrias que enfrentan la mayor
cantidad de ataques incluyen las gubernamentales/militares, las
comunicaciones y la atención médica, con incidentes semanales que van desde
más de 3.000 a casi 4.000. -
Malware más frecuente: FakeUpdates lidera la región, junto con
Androxgh0st, Rilide y otros troyanos bancarios y RAT. -
Vector de ataque principal: El 64% de los archivos maliciosos en
América Latina se distribuyeron a través de ataques basados en la web en
los últimos 30 días. -
Principales vulnerabilidades explotadas: Los ataques de divulgación
de información afectaron al 74% de las organizaciones, lo que subraya el
riesgo de exposición de datos confidenciales.
Amenazas cibernéticas que darán forma a América Latina en 2025
Guerra cibernética impulsada por IA
Los actores de los estados nacionales están aprovechando la desinformación
impulsada por IA, el malware destructivo y el ciberespionaje para debilitar
las instituciones y crear vulnerabilidades sistémicas. A medida que aumentan
las tensiones globales, la guerra cibernética apuntará cada vez más a la
infraestructura crítica y los sistemas financieros en América Latina.
La evolución del ransomware
Los cibercriminales están pasando del cifrado de archivos tradicional a la
extorsión por filtración de datos, apuntando a la atención médica, la
educación y los servicios críticos. Este cambio se produce a medida que las
fuerzas de seguridad interrumpen las operaciones de ransomware como servicio
(RaaS), lo que genera un ecosistema de ransomware fragmentado pero altamente
resistente.
El auge de los ladrones de información
Con un aumento del 58% en el malware de robo de información, los
cibercriminales están recolectando credenciales, tokens de sesión y acceso VPN
para infiltrarse en las redes corporativas. A medida que el malware bancario y
las botnets disminuyen, los ladrones de información son ahora la principal
amenaza que permite a los cibercriminales vender el acceso en la web oscura.
Brechas de seguridad en la nube
Las configuraciones incorrectas de la nube, la seguridad deficiente de las API
y la complejidad de la nube híbrida están dejando a las organizaciones
vulnerables a las violaciones de datos y el secuestro de cuentas. Los
atacantes explotan cada vez más las dependencias de inicio de sesión único
(SSO) y los modelos de inteligencia artificial alojados en la nube para
obtener acceso no autorizado a los entornos empresariales.
La militarización de los dispositivos de borde
Los cibercriminales y los actores de los estados nacionales están poniendo en
peligro los dispositivos de borde, utilizándolos como
Operational Relay Box (ORB)
para anonimizar los ataques, exfiltrar datos y penetrar más profundamente en
las redes. La IoT y la computación de borde son la próxima frontera para las
amenazas cibernéticas en América Latina.
¿Qué es una Operational Relay Box (ORB)?
Una forma fácil de explicar esto es como la «hija del amor» de una red privada
virtual (VPN) y una botnet. Las cajas de retransmisión operativas suelen ser
hosts de servidores privados virtuales (VPS), adquiridos por el operador de
red ORB, o dispositivos de Internet de las cosas (IoT) comprometidos
(enrutadores baratos con estándares de seguridad deficientes, sistemas de
control industrial, dispositivos de atención médica e incluso su
refrigerador).
Estos últimos son «cultivados» de manera similar a las redes de bots
tradicionales, y los operadores identifican e infectan activamente los
dispositivos vulnerables. Dada la gran cantidad de dispositivos olvidados o
sin parches conectados a Internet, este puede ser a menudo un proceso
relativamente trivial.
Si bien el aspecto de botnet de las redes ORB proporciona un medio para
distribuir tráfico malicioso, la arquitectura similar a VPN mejora la
capacidad del atacante de permanecer sin ser detectado al permitir la
comunicación anónima a través de múltiples nodos.
¿Por qué América Latina?
Según Francisco Robayo, jefe de ingeniería de Check Point en América Latina,
«muchos ataques son impulsados por circunstancias y decisiones políticas.
Tener, en América Latina, gobiernos [extremistas] de izquierda y de derecha
deja un espacio abierto a los atacantes».
Por ejemplo, dice,
«podemos compararlo con Estados Unidos cuando [Donald] Trump fue elegido
por primera vez, y hubo un gran aumento de los ataques. El problema es que,
en América Latina, esto está sucediendo en todas partes, todo el tiempo. Los
atacantes usan las noticias para enviarte un enlace; tal vez el presidente
de Colombia dice algo, y aquí hay un enlace falso para verlo».
Las corrientes políticas también pueden ayudar a explicar por qué algunos
países son el objetivo más de lo que uno podría esperar. Según los hallazgos
de Check Point, los países más atacados de la región incluyen México y
Colombia, pero nombres menos obvios como Perú y Paraguay también encabezan la
lista.
Sin embargo, no se trata solo de política.
«América Latina es una región en desarrollo, y por eso es más propensa a
ser atacada. La adopción de procesos y protecciones de ciberseguridad no es
la misma que en un país desarrollado, y por eso los atacantes encuentran que
tienen más oportunidades allí. Por eso hay una gran diferencia»
en comparación con otras regiones, dice Robayo.
Caso de estudio: Brasil
No es solo que la adopción de la ciberseguridad sea más lenta en América
Latina, sino que está rezagada respecto del ritmo de otros avances
tecnológicos.
Un analista de Intel 471, que optó por permanecer anónimo para esta historia,
destaca una brecha grave causada por la rápida adopción de tecnologías
financieras en su país natal, Brasil.
«La cantidad de personas que experimentan el sistema bancario por primera
vez, en particular con la popularización de [la aplicación bancaria] Pix
(todo el mundo tiene Pix en su teléfono), crea un objetivo enorme para los
cibercriminales. Hay una ola de personas con muy poca experiencia
digital, que representan el extremo inferior del espectro socioeconómico,
que son muy vulnerables porque carecen de educación sobre las amenazas
cibernéticas. Administran sus contraseñas de manera muy deficiente. No
tienen software actualizado ni los teléfonos inteligentes más recientes. Son
blancos muy fáciles».
Los grupos de ciberdelincuentes como
Grandoreiro
y Coyote han intervenido para aprovecharse de estas poblaciones vulnerables,
pero también están los actores de amenazas que no se ven en otras partes del
mundo.
Los cárteles y la policía
También existe el problema de los cárteles y los ciberdelincuentes que se
asocian. El analista de Intel 471 dice que
«hemos visto una cooperación notable entre los cárteles y los
cibercriminales, y la cooperación está aumentando. Recientemente informamos
sobre un actor que operaba en un foro clandestino como reclutador para el
PCC brasileño, que es uno de los cárteles brasileños más grandes. El actor
estaba buscando piratas informáticos que pudieran ayudarlos a revelar
información confidencial de los principales ejecutivos que trabajan en
fintechs, personas que pudieran ayudarlos a lavar dinero usando
criptomonedas, cosas así».
El crimen organizado es consciente del potencial del cibercrimen como
herramienta. Y especialmente en lugares donde las autoridades no pueden llegar
-muchas áreas en Brasil están protegidas por el crimen organizado- pueden
operar más o menos libremente. De hecho, la inacción es la palabra más
agradable que se puede usar para describir los esfuerzos de las fuerzas del
orden para abordar el problema.
Desde las regulaciones y los marcos gubernamentales hasta las acciones de
aplicación de la ley sobre el terreno, Meyers de CrowdStrike dice que
«Ha habido más cooperación regional en las investigaciones de delitos
cibernéticos. La Interpol y las agencias locales han tomado medidas
enérgicas contra algunos afiliados de ransomware, pero sigue siendo una
batalla cuesta arriba. La verdadera pregunta es si estos gobiernos pueden
mantener el impulso, porque en este momento, los malos siguen ganando», dice.
Fuente: DarkReading | CheckPoint