- Perú, México, Argentina, Brasil y Colombia concentran la mayor actividad de malware en Latinoamérica, con campañas que comparten familias como Rugmi.
- Predominan el phishing masivo, los troyanos bancarios y los downloaders que preparan el terreno para ataques más complejos, incluidos casos graves de ransomware.
- La falta de actualizaciones y la debilidad en la gestión de credenciales permiten que exploits antiguos sigan siendo efectivos en sectores críticos.
- Una estrategia regional basada en sistemas actualizados, protección en todos los hosts e inteligencia de amenazas externa puede frenar la expansión del cibercrimen.
La actividad de malware en América Latina se ha disparado en los últimos años y, lejos de tratarse de ataques aislados, el escenario actual dibuja un auténtico mapa del cibercrimen regional donde diferentes grupos criminales comparten herramientas, técnicas y hasta infraestructuras. Lo que antes podía parecer una suma de incidentes independientes, hoy se entiende como una red bien engranada que opera de manera coordinada en varios países a la vez.
Basándonos en el análisis de telemetría de ESET y en datos recopilados durante el último año, es posible trazar un mapa bastante preciso de dónde se concentra la mayor actividad maliciosa y qué tipos de amenazas están más presentes. Perú, México, Argentina, Brasil y Colombia son los países que encabezan este ranking, pero el impacto de las campañas va mucho más allá de sus fronteras y deja claro que la región se ha convertido en un objetivo prioritario para el cibercrimen.
El mapa del cibercrimen en América Latina
Según los datos de telemetría, Perú, México, Argentina, Brasil y Colombia figuran como los cinco países con mayor volumen de detecciones de malware en la región. Cada uno tiene particularidades propias en cuanto a sectores atacados o técnicas predominantes, pero al mismo tiempo se observan patrones que se repiten una y otra vez, lo que sugiere que muchas campañas se diseñan desde el principio con un enfoque regional.
Los especialistas de ESET destacan que numerosas familias de malware aparecen en varios países al mismo tiempo, con nombres de detección prácticamente idénticos o con variantes mínimas. Esto puede explicarse de dos formas principales: colaboración entre distintos grupos criminales que comparten herramientas, o un mismo grupo que aprovecha su infraestructura para reutilizar campañas en distintos territorios latinoamericanos cambiando solo algunos detalles.
Esta repetición de amenazas no solo deja ver que el cibercrimen está más organizado, sino que indica que los atacantes han aprendido a escalar sus operaciones de forma eficiente: una vez que una campaña funciona en un país, la adaptan ligeramente y la lanzan en otros, buscando maximizar el retorno de su inversión en desarrollo de malware y en adquisición de accesos.
Además, el informe señala que el panorama tecnológico en la región es muy heterogéneo: conviven infraestructuras modernas en la nube con sistemas operativos desactualizados y software de oficina con vulnerabilidades conocidas desde hace años. Esta mezcla facilita que coexistan ataques muy sofisticados, como los de grupos APT enfocados en espionaje o ransomware dirigido, con campañas masivas de phishing relativamente simples pero extremadamente efectivas.
Otro punto clave es que, a pesar de las diferencias entre países, las estrategias defensivas pueden compartir un mismo enfoque. Si los ciberdelincuentes reutilizan herramientas y tácticas en distintos lugares, las organizaciones también pueden aprovechar este conocimiento para crear medidas comunes de protección, basadas en inteligencia de amenazas y buenas prácticas que se aplican a nivel regional.
Países con mayor actividad de malware en LATAM
El análisis de ESET sitúa a cinco países como epicentro del cibercrimen en la región: Perú, México, Argentina, Brasil y Colombia. La forma en que se distribuyen las amenazas en estos territorios ofrece una radiografía muy clara de cómo operan las bandas criminales y qué tipo de objetivos priorizan.
En este ranking, Perú aparece en primer lugar debido a un crecimiento constante de las detecciones y a su papel como punto de arranque de campañas que luego se trasladan a otros países latinoamericanos. Detrás se encuentran México y Argentina, con un alto impacto en usuarios finales, sector público y salud. Brasil se caracteriza por la fuerte presencia de troyanos bancarios, mientras que Colombia destaca por un rápido incremento del número de ataques dirigidos a organizaciones.
El hecho de que estas amenazas se repitan en varios de estos países sugiere, según los expertos, que las mismas familias de malware son utilizadas en campañas distintas, adaptándose al idioma local, a los servicios online más populares o a los bancos con mayor número de clientes, pero manteniendo la misma esencia técnica.
Más allá de las cifras, el mapa deja ver que la región está viviendo una profesionalización del cibercrimen: los delincuentes combinan ataques masivos de phishing para comprometer a usuarios domésticos con operaciones dirigidas contra empresas, organismos estatales e infraestructuras críticas, lo que incrementa el impacto económico y reputacional de los incidentes.
Detalle de la actividad de malware por país
Para entender bien el mapa de actividad del malware en América Latina conviene bajar al detalle de cada uno de los países más afectados. Aunque los nombres técnicos de las amenazas puedan sonar similares, su impacto concreto y los sectores que golpean varían bastante de un territorio a otro, y eso ayuda a comprender mejor la estrategia de los atacantes.
Perú: foco inicial de múltiples campañas
Perú se sitúa en la primera posición del ranking de detecciones, con un aumento progresivo en el volumen de ataques. En no pocos casos, el país actúa como “paciente cero” o punto de origen de campañas que, una vez probadas con éxito, se expanden a otras zonas de Latinoamérica aprovechando la similitud del contexto tecnológico y lingüístico.
Una parte importante de los incidentes registrados en Perú tiene como objetivo organismos gubernamentales y sectores críticos, donde la información comprometida y el posible impacto operativo son especialmente sensibles. Esto eleva el nivel de riesgo, ya que hablamos de ataques que pueden afectar a servicios esenciales o a datos de alto valor estratégico.
Entre las amenazas más frecuentes en territorio peruano destacan Backdoor.Win32/Tofsee, un malware con capacidad de backdoor que permite a los delincuentes mantener el control del sistema comprometido; Trojan.PDF/Phishing.D.Gen, asociado a documentos PDF utilizados para campañas de phishing; y Trojan.Win32/TrojanDownloader.Rugmi.AOS, una de las variantes de Rugmi más presentes en la región.
En el plano de los casos concretos, uno de los incidentes más llamativos en los últimos meses fue el denominado “Dirin Leaks”, donde ciberdelincuentes consiguieron acceder a la Dirección de Inteligencia de la Policía Nacional del Perú. En esa brecha se difundieron datos personales de agentes encubiertos e información relacionada con los protocolos de seguridad del propio presidente, lo que evidencia hasta qué punto los atacantes son capaces de afectar a la seguridad del Estado.
México: ingeniería social, phishing y ransomware
México ocupa la segunda posición en la lista de países con más actividad maliciosa y es visto por los grupos criminales como un objetivo de alto valor y enorme potencial económico. La combinación de una gran base de usuarios conectados, un ecosistema financiero muy desarrollado y un tejido empresarial diverso lo convierten en un caldo de cultivo perfecto para todo tipo de campañas.
El rasgo más característico del panorama mexicano es la fuerte presencia de phishing y ransomware, normalmente impulsados por campañas de ingeniería social muy bien trabajadas. Los delincuentes invierten tiempo en crear mensajes convincentes, páginas falsas de bancos, facturas electrónicas fraudulentas o correos que imitan comunicaciones oficiales para lograr que los usuarios entreguen sus credenciales o descarguen archivos maliciosos.
Entre las detecciones más habituales encontramos Trojan.Win32/TrojanDownloader.Rugmi.AOS, usado como puerta de entrada para otros ataques más complejos; Trojan.PDF/Phishing.A.Gen, asociado a documentos PDF empleados como gancho en campañas de fraude; y Trojan.Win32/Spy.Banker.AEHQ, focalizado en el robo de datos bancarios y credenciales financieras para vaciar cuentas o realizar transferencias no autorizadas.
En los últimos meses de 2025, México fue escenario de un incidente de gran impacto protagonizado por el grupo APT conocido como Tekir. Este grupo consiguió comprometer una oficina estatal y, tras moverse lateralmente por la red, ejecutó un ataque de ransomware a gran escala, exfiltrando más de 250 GB de información sensible antes del cifrado. Este tipo de campañas combinan espionaje, robo de datos y extorsión, lo que multiplica el daño potencial para las organizaciones públicas afectadas.
Argentina: sector público y salud bajo presión
Argentina se sitúa en el tercer puesto de la clasificación debido a un incremento sostenido en el volumen de ataques, muchos de los cuales tienen como blanco el sector público y los servicios de salud. La dependencia de sistemas administrativos y clínicos hace que cualquier interrupción o cifrado de datos pueda tener consecuencias muy serias, tanto operativas como para la privacidad de los ciudadanos.
Las principales amenazas detectadas en territorio argentino incluyen Trojan.Win32/TrojanDownloader.Rugmi.AOS, que vuelve a hacer acto de presencia como componente de descarga para otros malware; Trojan.Win32/Exploit.CVE-2012-0143.A, un exploit que aprovecha una vulnerabilidad ya antigua en herramientas de la suite Microsoft Office; y Trojan.HTML/Phishing.Agent.AUW, asociado a páginas web de phishing diseñadas para engañar a usuarios y robar credenciales.
El caso de CVE-2012-0143 resulta especialmente llamativo porque se trata de una vulnerabilidad con más de una década de existencia que, sin embargo, sigue ofreciendo resultados a los ciberdelincuentes. El exploit se basa en un manejo defectuoso de la memoria en componentes de Office y demuestra que la falta de actualización de software básico sigue siendo uno de los talones de Aquiles más evidentes en muchas organizaciones.
En el primer trimestre de 2025, Argentina también fue protagonista de un incidente de alto perfil cuando el grupo de ransomware MONTI atacó a Fabricaciones Militares Sociedad del Estado, organismo dependiente del Ejército argentino. En este golpe los atacantes robaron alrededor de 300 GB de información, incluyendo proyectos militares estratégicos, lo que elevó la preocupación sobre la seguridad de las infraestructuras de defensa en el país.
Brasil: dominio de los troyanos bancarios
En cuarto lugar aparece Brasil, donde las cifras de detecciones muestran una clara supremacía de los troyanos bancarios. Este tipo de malware está orientado casi exclusivamente al robo de datos financieros: credenciales de banca online, datos de tarjetas, información de acceso a servicios de pago y cualquier otro elemento que permita a los delincuentes vaciar cuentas o cometer fraudes a gran escala.
Entre las amenazas más detectadas en Brasil destacan Trojan.JS/Spy.Banker.KN, un troyano bancario implementado en JavaScript que intercepta las interacciones de los usuarios con servicios financieros; la ya recurrente familia Trojan.Win32/TrojanDownloader.Rugmi.AOS, que actúa como punto de apoyo para descargar otros códigos maliciosos según el entorno comprometido; y Trojan.HTML/Phishing.Agent.BGB, asociado a páginas y contenidos HTML diseñados para campañas de phishing.
Uno de los episodios más resonados en Brasil fue el incidente de C&M Software, considerado un caso emblemático por la forma en que se explotaron las credenciales internas. En este ataque, un empleado vendió sus datos de acceso a los criminales, lo que les permitió entrar en los sistemas de la empresa y manipular operaciones financieras, generando un desvío de fondos superior a los 800 millones de reales. Este caso deja bien claro que las credenciales corporativas son un activo crítico y que el factor humano puede abrir la puerta incluso a los entornos mejor protegidos técnicamente.
Colombia: ataques en rápido crecimiento
Cierra el Top 5 Colombia, donde los informes señalan un crecimiento acelerado en el número de ataques por organización. Más que un altísimo volumen de infecciones dispersas, se observa una tendencia a campañas que combinan malware con la explotación de vulnerabilidades conocidas, lo que permite a los atacantes ganar persistencia y elevar el impacto de cada intrusión.
Las amenazas más comunes en el país incluyen nuevamente Trojan.Win32/TrojanDownloader.Rugmi.AOS, que demuestra una enorme versatilidad al aparecer en prácticamente todos los países analizados; Trojan.PDF/Phishing.D.Gen, asociado a señuelos en formato PDF; y Trojan.Win64/Kryptik.EDF, una familia de malware ofuscado para entornos de 64 bits, usada como contenedor para otro tipo de cargas maliciosas.
Entre los incidentes más relevantes en Colombia se encuentra el ataque contra una empresa del sector aeronáutico, atribuido al grupo APT conocido como Blind Eagle. En esta operación, los atacantes aprovecharon, entre otros vectores, la explotación de la vulnerabilidad CVE-2024-43451, un fallo relativamente antiguo pero todavía presente en ciertos sistemas, lo que facilitó el compromiso de la red corporativa y la posterior exfiltración de datos.
El papel central de Rugmi y otros malware clave
Al analizar el conjunto de la región, hay un nombre que se repite de forma insistente en prácticamente todos los países del Top 5: TrojanDownloader.Rugmi. Esta familia de malware se ha convertido en una pieza central de muchas campañas, no porque cause por sí sola el daño final, sino porque actúa como un eslabón clave en la cadena de infección.
Por diseño, Rugmi funciona como un downloader o descargador: una vez que consigue infiltrarse en un equipo, su primera misión no es cifrar archivos ni robar datos de inmediato, sino analizar el entorno. Evalúa qué sistema operativo está presente, si el antivirus está actualizado, qué medidas de seguridad existen y, en función de esa información, decide qué carga maliciosa adicional merece la pena descargar desde los servidores de comando y control.
Este enfoque por etapas ofrece a los ciberdelincuentes ventajas tácticas muy claras. En primer lugar, dificulta que los equipos de seguridad identifiquen rápidamente la naturaleza exacta del ataque, ya que la primera pieza detectada (el downloader) puede parecer menos peligrosa o no revelar del todo las intenciones finales. En segundo lugar, complica el análisis forense del “artefacto principal”, porque muchas veces la carga final solo se despliega si se cumplen ciertos requisitos del entorno y puede que no llegue a ejecutarse en entornos de laboratorio.
Además de Rugmi, el informe resalta la elevada presencia de malware asociado al phishing genérico, con detecciones denominadas como Trojan.PDF/Phishing y Trojan.HTML/Phishing. Estas categorías engloban multitud de variantes distintas; las letras que aparecen al final del nombre (como A.Gen, D.Gen, Agent.AUW, Agent.BGB, etc.) indican variaciones específicas, pero siguen considerándose detecciones genéricas porque no es posible vincularlas directamente a una campaña única o a una familia de malware más estructurada.
Otro punto llamativo es la persistencia de exploits muy antiguos pero aún efectivos, como el ya mencionado CVE-2012-0143 en Argentina. A pesar de tener más de catorce años, este fallo de seguridad relacionado con el manejo de memoria en herramientas de Office sigue siendo explotado, lo que pone sobre la mesa una realidad incómoda: muchos sistemas críticos continúan funcionando con software desactualizado y sin parches de seguridad básicos.
En conjunto, todas estas piezas —downloaders como Rugmi, campañas masivas de phishing en PDF y HTML, y exploits de larga vida útil— conforman un ecosistema de amenazas diverso pero muy bien engranado, donde cada tipo de malware cumple una función concreta dentro de la cadena de ataque, desde la infección inicial hasta el robo de datos o la extorsión mediante ransomware.
Chile en el mapa: ataques menos masivos, pero más dirigidos
Aunque Chile no aparece en el Top 5 de países con mayor volumen de detecciones, los datos de telemetría de ESET y de organismos locales muestran un patrón de ataque diferente pero igualmente preocupante. En lugar de grandes campañas de malware masivo, el foco está en operaciones más precisas y selectivas, con especial protagonismo del spear phishing.
En el caso chileno, el principal objetivo de los ciberdelincuentes son sectores estratégicos como la minería y las finanzas. Las campañas no buscan tanto infectar a una gran cantidad de usuarios, sino comprometer a personas concretas con acceso privilegiado: directivos, administradores de sistemas, responsables de operaciones críticas o personal con capacidad de autorizar pagos y transacciones importantes.
Al igual que en el resto de la región, en Chile también se observa actividad de Rugmi como componente de infiltración en redes corporativas, especialmente en grandes empresas de Santiago y zonas con alta concentración industrial como Antofagasta. El patrón suele ser similar: primero se utilizan correos de spear phishing muy elaborados para conseguir que un usuario abra un archivo o pulse en un enlace, y a partir de ahí Rugmi analiza el entorno para valorar si merece la pena desplegar ransomware u otro tipo de carga.
Otro aspecto diferencial en Chile es el aumento de malware orientado al robo de credenciales en servicios cloud como Azure o AWS. Muchas compañías han migrado buena parte de su infraestructura a la nube, pero aún no han implantado de forma obligatoria controles como la autenticación multifactor (2FA). Este desajuste entre nivel de digitalización y madurez de la seguridad facilita ataques donde, con solo robar una contraseña, los delincuentes pueden acceder a grandes volúmenes de datos o incluso paralizar servicios completos.
Si comparamos Chile con países como Perú o México, el contraste es claro: en estos últimos predomina un volumen elevado de malware genérico y campañas masivas, mientras que en Chile la tendencia se orienta a ataques dirigidos de alto impacto (espionaje industrial, fraude al CEO, interrupción de servicios críticos), apoyados en técnicas de ingeniería social mucho más personalizadas.
Factores comunes y estrategias de defensa recomendadas
A pesar de las diferencias entre países, el mapa de actividad del malware en América Latina deja ver una serie de factores de riesgo que se repiten de forma constante. El primero de ellos es la enorme cantidad de sistemas sin actualizar o con parches críticos pendientes. Mientras haya equipos con versiones antiguas de sistemas operativos o paquetes ofimáticos vulnerables, los exploits seguirán funcionando década tras década.
Por ello, una de las recomendaciones más claras de los expertos es configuración inicial de un PC nuevo y, en general, mantener todo el entorno tecnológico actualizado: sistemas operativos, firmware de dispositivos de red, aplicaciones de servidor, clientes de correo, navegadores y herramientas de trabajo como Office. Cuando, por motivos operativos o de compatibilidad, no sea posible actualizar ciertos sistemas, resulta imprescindible aplicar controles compensatorios, como segmentación de red, listas de control de acceso y monitorización reforzada.
Otro punto crítico es asegurar que todos los dispositivos conectados cuenten con protección de seguridad adecuada. No basta con proteger las estaciones de trabajo tradicionales; también es necesario cubrir servidores, terminales de punto de venta, máquinas virtuales, portátiles de teletrabajo y cualquier otro host que forme parte de la infraestructura. Una solución de seguridad mal configurada o desactualizada puede convertirse en un punto débil más, en lugar de una defensa efectiva.
Los especialistas también subrayan la importancia de incorporar inteligencia de amenazas procedente de fuentes externas. Durante años se consideró que el uso de threat intelligence era algo reservado a organizaciones con un alto nivel de madurez en seguridad y grandes recursos, pero el panorama ha cambiado: hoy existen múltiples fuentes gratuitas o de bajo coste que aportan indicadores de compromiso, listas de dominios maliciosos, firmas de malware o patrones de ataque que cualquier empresa puede aprovechar.
Además, el hecho de que las campañas de cibercrimen compartan tantas similitudes entre distintos países latinoamericanos abre la puerta a desarrollar estrategias regionales de protección. Compartir información entre organizaciones, sectores y gobiernos, unificar buenas prácticas y coordinar respuestas puede marcar la diferencia a la hora de frenar la expansión de una campaña de malware o de mitigar el impacto de un nuevo ransomware en la región.
El mapa actual de actividad de malware en América Latina muestra una región donde el cibercrimen es cada vez más estructurado y transnacional, con países como Perú, México, Argentina, Brasil y Colombia como grandes focos de detección y otros, como Chile, sometidos a ataques más dirigidos pero igualmente peligrosos. La combinación de downloaders como Rugmi, campañas masivas de phishing y exploits antiguos que siguen funcionando revela que, más que el código en sí, lo que realmente favorece a los atacantes es la falta de actualizaciones, la confianza excesiva en credenciales estáticas y la ausencia de una cultura de ciberseguridad sólida; cambiar ese escenario pasa por tomarse la seguridad digital como una tarea continua y compartida en toda la región.
