- Perú, México, Argentina, Brasil y Colombia concentran la mayor actividad de malware en América Latina según telemetría reciente.
- Las campañas comparten familias como Rugmi, phishing en PDF/HTML, exploits antiguos y troyanos bancarios reutilizados a escala regional.
- Los sectores más atacados son organismos públicos, salud, finanzas y organizaciones con infraestructuras desactualizadas.
- Actualizar sistemas, proteger todos los hosts y usar inteligencia de amenazas externa son medidas clave para reducir el riesgo.
El auge del cibercrimen en América Latina ya no es una amenaza lejana ni algo que solo afecte a grandes potencias. En los últimos años, Perú, México, Argentina, Brasil y Colombia se han convertido en el epicentro regional de la actividad de malware, con campañas que se reutilizan, se perfeccionan y se mueven de un país a otro con una facilidad preocupante. Lejos de ser casos aislados, los incidentes que salen en las noticias son la punta del iceberg de un problema mucho más amplio.
Gracias a la telemetría de empresas especializadas como ESET, es posible trazar un auténtico “mapa de actividad de malware en América Latina” basado en datos reales de detección durante el último año. Ese mapa no solo dice qué países sufren más ataques, sino también qué tipos de malware predominan, qué sectores son los más golpeados y qué patrones en común aprovechan los ciberdelincuentes para moverse por la región.
Mapa de cibercrimen en América Latina: visión general
Los datos de telemetría recopilados durante el último año evidencian que Perú, México, Argentina, Brasil y Colombia concentran la mayor parte de la actividad de malware en la región. El volumen de detecciones y la variedad de amenazas en estos territorios dejan claro que no estamos ante ataques esporádicos, sino ante campañas bien estructuradas.
Al observar las detecciones país por país, se repiten una y otra vez ciertas familias de código malicioso, como Trojan.Win32/TrojanDownloader.Rugmi.AOS, diferentes variantes de phishing en PDF y HTML, troyanos bancarios y exploits antiguos aún efectivos. Esta repetición de patrones sugiere que algunos grupos delictivos reutilizan las mismas herramientas en varios países o incluso colaboran entre sí para maximizar el impacto.
La presencia de las mismas familias de malware en distintos territorios puede interpretarse de dos maneras complementarias: por un lado, cooperación o intercambio de recursos entre grupos que operan en América Latina; por otro, la existencia de campañas diseñadas desde el inicio para funcionar a escala regional. En ambos casos, el resultado es un ecosistema delictivo más profesionalizado y coordinado.
Otro aspecto que destaca en este mapa es el uso de malware en varias fases. Los atacantes recurren con frecuencia a downloaders como Rugmi para “sondear” el entorno antes de lanzar la carga maliciosa principal. Este enfoque por etapas complica la detección temprana, dificulta el análisis de los artefactos y pone a prueba las capacidades de respuesta de los equipos de seguridad.
Más allá de la tecnología, también hay factores estructurales que explican por qué estos cinco países se llevan la peor parte: grandes poblaciones conectadas, sectores críticos con recursos limitados en ciberseguridad, infraestructuras heterogéneas y, en muchos casos, sistemas desactualizados. Todo ello convierte a estas naciones en objetivos muy atractivos para campañas de phishing, ransomware, espionaje y robo de información.
Países más afectados por malware en América Latina
Si nos centramos en el ranking regional, los datos de telemetría sitúan a Perú en primer lugar, seguido por México, Argentina, Brasil y Colombia. Cada uno de estos países tiene particularidades propias, pero todos comparten la presión de campañas que se repiten, mutan y se propagan por la región.
No se trata únicamente de cuántos ataques recibe cada país, sino de la naturaleza de las amenazas, los sectores más golpeados y el papel que ocupa cada territorio dentro de las cadenas de ataque. En algunos casos, como el de Perú, las campañas incluso parecen originarse localmente para luego extenderse a otros países latinoamericanos.
El análisis también subraya que los objetivos prioritarios de los ciberdelincuentes son las entidades públicas, los organismos gubernamentales, los sectores de salud, las infraestructuras críticas y las organizaciones con grandes volúmenes de datos sensibles. Estas víctimas potenciales no siempre disponen de recursos suficientes para mantener un nivel robusto de ciberseguridad, lo que incrementa el éxito de las campañas.
A continuación se detalla la actividad de malware en cada uno de estos cinco países, incluyendo los tipos de amenazas más detectados y algunos incidentes emblemáticos recientes que ayudan a entender el nivel real de riesgo.
Perú: punto de partida de campañas regionales
Perú aparece a la cabeza del ranking de detecciones en la región, con un crecimiento sostenido del volumen de malware observado durante el último año. En numerosos casos, las campañas identificadas en territorio peruano han servido como “plataforma de lanzamiento” para ataques que más tarde se han replicado en otros países de América Latina.
Uno de los rasgos más preocupantes del caso peruano es el tipo de víctima: una parte importante de los ataques se dirige a organismos gubernamentales y sectores considerados críticos, lo que incluye entidades vinculadas a seguridad, servicios esenciales y administración pública. Esto indica que, más allá del beneficio económico, algunos grupos buscan información estratégica y capacidad de presión.
Entre las amenazas más detectadas en Perú se encuentran Backdoor.Win32/Tofsee, Trojan.PDF/Phishing.D.Gen y Trojan.Win32/TrojanDownloader.Rugmi.AOS. Tofsee actúa como puerta trasera, permitiendo el control remoto de los sistemas comprometidos y, en muchos casos, su incorporación a redes de envío de spam o distribución de malware. Las variantes de phishing en PDF aprovechan documentos aparentemente legítimos para engañar a los usuarios y robar credenciales o datos personales.
El uso intensivo de Rugmi como downloader en Perú es especialmente revelador. Este tipo de componente se instala primero, analiza el entorno y, solo si el contexto es “interesante” para el atacante, descarga la siguiente fase del ataque. Eso permite a los ciberdelincuentes filtrar objetivos, optimizar esfuerzos y reducir el riesgo de levantar sospechas antes de tiempo.
El incidente conocido como “Dirin Leaks” se ha convertido en un ejemplo claro del nivel de exposición del país. En este caso, ciberdelincuentes consiguieron acceder a la Dirección de Inteligencia de la Policía Nacional del Perú, filtrando información sensible sobre agentes encubiertos y protocolos de seguridad utilizados en torno al presidente. Este tipo de filtraciones no solo dañan la imagen institucional, sino que pueden tener consecuencias directas sobre la seguridad física de las personas implicadas.
México: phishing y ransomware como combinación explosiva
México ocupa el segundo lugar en el mapa de actividad de malware en América Latina y se ha consolidado como un objetivo especialmente atractivo y rentable para los ciberdelincuentes. Su tamaño, su peso económico y la extensión de su población conectada hacen que cualquier campaña exitosa tenga un impacto muy amplio.
En territorio mexicano destacan las campañas de phishing y ransomware impulsadas por tácticas de ingeniería social. Los atacantes se valen de correos electrónicos, mensajes y páginas falsas diseñadas con un gran nivel de detalle para convencer a los usuarios de que faciliten credenciales, descarguen archivos contaminados o habiliten macros maliciosas.
Entre las amenazas más detectadas se encuentran Trojan.Win32/TrojanDownloader.Rugmi.AOS, Trojan.PDF/Phishing.A.Gen y Trojan.Win32/Spy.Banker.AEHQ. De nuevo, Rugmi aparece como downloader que prepara el terreno para ataques más complejos. Las variantes de phishing en PDF se utilizan para difundir enlaces maliciosos o formularios fraudulentos, mientras que los troyanos bancarios como Spy.Banker se orientan a robar credenciales financieras y datos de acceso a servicios bancarios en línea.
En los últimos meses de 2025, México sufrió un incidente especialmente llamativo: el grupo APT Tekir comprometió el entorno de una oficina estatal, extrayendo más de 250 GB de información en el marco de un ataque de ransomware. Este caso refleja la combinación de extorsión económica y robo de datos, una estrategia habitual en las campañas modernas que buscan maximizar la presión sobre la víctima.
Todo ello confirma que, en México, la puerta de entrada preferida para muchos ataques sigue siendo el engaño al usuario. Sin una cultura sólida de ciberseguridad y sin controles técnicos adecuados, el phishing y el ransomware continuarán encontrando víctimas con relativa facilidad.
Argentina: presión sobre el sector público y la salud
Argentina se sitúa en el tercer lugar del ranking, con un aumento constante en el número de ataques registrado a lo largo del último periodo analizado. Aunque la actividad maliciosa afecta a todo tipo de organizaciones, los sectores de salud y el ámbito público se llevan buena parte del impacto.
En este contexto, las amenazas más habituales detectadas en el país incluyen Trojan.Win32/TrojanDownloader.Rugmi.AOS, Trojan.Win32/Exploit.CVE-2012-0143.A y Trojan.HTML/Phishing.Agent.AUW. La presencia de Rugmi vuelve a poner de manifiesto esa estrategia de ataque por etapas que se repite en buena parte de América Latina.
Especialmente llamativa es la utilización de Exploit.CVE-2012-0143, una vulnerabilidad antigua asociada a un manejo deficiente de memoria en herramientas de la suite Microsoft Office. Pese a llevar más de catorce años documentada, sigue activa en múltiples entornos corporativos que no han aplicado los parches necesarios o continúan utilizando versiones desactualizadas del software.
Este aprovechamiento de exploits veteranos indica que los ciberdelincuentes no necesitan siempre técnicas de última generación: les basta con localizar organizaciones que mantengan sistemas obsoletos y no hayan reforzado su política de actualización. Los datos de telemetría muestran que esta realidad continúa siendo muy frecuente en la región.
Un caso emblemático en Argentina fue el ataque contra Fabricaciones Militares Sociedad del Estado, asociado al grupo de ransomware MONTI. En este incidente se robaron alrededor de 300 GB de información, incluyendo proyectos militares estratégicos del ejército argentino. Más allá del impacto económico y la interrupción de la actividad, la exposición de documentación sensible supone un riesgo claro para la seguridad nacional.
Brasil: foco de troyanos bancarios y fraude financiero
Brasil aparece en cuarto lugar en cuanto a volumen de detecciones, pero destaca por el tipo de amenaza predominante: el troyano bancario sigue siendo el gran protagonista. Este tipo de malware se ha adaptado durante años al entorno financiero brasileño, aprovechando la alta adopción de servicios bancarios en línea y aplicaciones móviles.
Entre las amenazas más frecuentes en el país figuran Trojan.JS/Spy.Banker.KN, Trojan.Win32/TrojanDownloader.Rugmi.AOS y Trojan.HTML/Phishing.Agent.BGB. Spy.Banker se centra en interceptar credenciales, capturar información de formularios bancarios y, en algunos casos, modificar transacciones en tiempo real sin que el usuario sea consciente.
La combinación de troyanos bancarios con campañas de phishing en HTML permite a los atacantes disfrazar portales web falsos de banca electrónica o pasarelas de pago. Una vez que el usuario introduce sus datos en estas páginas fraudulentas, los criminales pueden mover dinero, solicitar préstamos o vender esa información en mercados clandestinos.
Uno de los incidentes más sonados en Brasil ha sido el caso de C&M Software, donde un empleado vendió sus credenciales a criminales. Gracias a ese acceso interno, los atacantes lograron desviar fondos por un valor superior a 800 millones de reales brasileños. El suceso puso en evidencia el impacto del factor humano y la importancia de proteger las credenciales con controles adicionales, como la autenticación multifactor y la monitorización de comportamientos anómalos.
La experiencia brasileña muestra que, en entornos con alta digitalización financiera, los troyanos bancarios, el phishing y la ingeniería social forman un cóctel perfecto para obtener ganancias ilícitas elevadas. La protección en este terreno requiere tanto tecnologías de defensa como campañas continuas de concienciación a usuarios y empleados.
Colombia: explotación de vulnerabilidades y ataques a organizaciones
Colombia cierra el listado de los cinco países con más actividad de malware, pero lo hace con un crecimiento acelerado del número de ataques por organización. En este entorno, las campañas se centran en combinar malware tradicional con la explotación de vulnerabilidades ya documentadas.
Las amenazas más comunes detectadas en el país incluyen Trojan.Win32/TrojanDownloader.Rugmi.AOS, Trojan.PDF/Phishing.D.Gen y Trojan.Win64/Kryptik.EDF. Rugmi vuelve a funcionar como puerta de entrada multifase, mientras que las variantes de phishing en PDF sirven para abrir el camino mediante engaños dirigidos a empleados y usuarios de servicios corporativos.
El troyano Kryptik, por su parte, se caracteriza por emplear técnicas de ofuscación y empaquetado destinadas a dificultar su análisis y evitar que las soluciones de seguridad lo identifiquen con facilidad. Esto obliga a las organizaciones a contar con herramientas capaces de detectar comportamientos sospechosos más allá de las simples firmas de malware.
En Colombia se ha documentado además un incidente significativo protagonizado por el grupo APT Blind Eagle contra una empresa del sector de la aviación. En este ataque, los delincuentes aprovecharon, entre otros recursos, la vulnerabilidad CVE-2024-43451 para comprometer el entorno corporativo. La utilización de fallos conocidos en software no parcheado se ha vuelto una táctica recurrente para obtener acceso inicial.
El panorama colombiano refleja que no basta con proteger el puesto de trabajo del usuario final: es imprescindible gestionar adecuadamente el ciclo de vida de parches, vulnerabilidades y configuraciones. Las organizaciones que descuidan estos aspectos se convierten en objetivos sencillos para campañas automatizadas de explotación.
Características clave de las principales familias de malware detectadas
Si se analizan en conjunto los datos de estos cinco países, se observan varias familias de malware que se repiten de forma transversal, con funciones muy concretas dentro de las cadenas de ataque. Comprender qué hace cada una y por qué es tan utilizada ayuda a priorizar las medidas de defensa.
En primer lugar destaca Rugmi, identificado con detecciones como Trojan.Win32/TrojanDownloader.Rugmi.AOS, que funciona principalmente como downloader. Su rol consiste en infiltrarse en el sistema, evaluar la configuración del entorno (sistema operativo, software instalado, permisos, presencia de soluciones de seguridad, etc.) y, en función de esa información, decidir si descarga o no una segunda carga maliciosa más pesada, como ransomware, troyanos bancarios o herramientas de espionaje.
Este enfoque escalonado aporta varias ventajas a los atacantes. Al no desplegar inmediatamente el “malware final”, se reduce la huella inicial, se complica el análisis forense y se entorpece la respuesta temprana. Además, les permite concentrar recursos en objetivos realmente interesantes, descartando equipos poco útiles o muy bien protegidos.
Otro bloque importante lo forman las diferentes variantes de phishing genérico detectadas como Trojan.PDF/Phishing y Trojan.HTML/Phishing. Aunque las letras adicionales al final del nombre identifican variantes específicas, muchas de ellas se consideran genéricas porque no es posible relacionarlas claramente con campañas muy estructuradas o con grupos concretos.
En esencia, estas amenazas consisten en documentos PDF o páginas HTML aparentemente legítimos que contienen enlaces maliciosos, formularios falsos o contenido diseñado para engañar al usuario. A pesar de no ser el tipo de ataque más sofisticado del mundo, siguen siendo una de las principales puertas de entrada para operaciones más complejas, precisamente porque explotan el eslabón más débil: la confianza del usuario.
Un tercer elemento destacable es la persistencia de exploits antiguos como CVE-2012-0143, todavía utilizados de forma efectiva en países como Argentina. Este fallo aprovecha un manejo incorrecto de la memoria en componentes de Office y permite la ejecución de código arbitrario en sistemas que aún no han sido corregidos. Que una vulnerabilidad de más de una década siga dando tanto juego es una señal clara de los problemas de actualización en muchas organizaciones.
Por último, no se puede ignorar la fuerte presencia de troyanos bancarios en países como Brasil y México, que apuntan directamente al robo de credenciales y fondos. Estos códigos maliciosos suelen combinar técnicas de keylogging, manipulación de formularios web y suplantación de interfaces bancarias para interceptar datos sensibles sin que el usuario lo perciba.
Estrategias de defensa y recomendaciones para organizaciones de la región
El panorama que dibuja este mapa de actividad de malware en América Latina puede parecer desalentador, pero los patrones comunes en los ataques también abren la puerta a aplicar estrategias de defensa similares en distintos países y sectores. No se trata de reinventar la rueda en cada organización, sino de adoptar buenas prácticas probadas y adaptarlas al contexto concreto.
Uno de los puntos más críticos es la gestión de actualizaciones y parches de seguridad. El uso continuado de exploits antiguos demuestra que muchos incidentes podrían haberse evitado simplemente manteniendo al día sistemas operativos, firmware y aplicaciones. Cuando un sistema no puede actualizarse por razones operativas o de compatibilidad, conviene implementar controles compensatorios, como segmentación de red, restricciones de acceso y monitorización reforzada.
Otra recomendación fundamental es proteger todos los hosts de la infraestructura, no solo los más visibles. Estaciones de trabajo, servidores, terminales, dispositivos de red e incluso equipos aparentemente secundarios pueden ser el punto de apoyo para escalar privilegios o moverse lateralmente dentro de la red. Disponer de soluciones de seguridad confiables, bien configuradas y actualizadas en todos los nodos reduce considerablemente la superficie de ataque.
Conviene recordar además que las propias soluciones de seguridad pueden convertirse en objetivo. Si un antivirus, un EDR o una herramienta de monitorización está mal configurada o desactualizada, los atacantes pueden intentar desactivarla, abusar de sus permisos elevados o aprovechar fallos internos. Por eso, además de desplegar estas herramientas, es crucial gestionarlas de forma profesional y revisarlas periódicamente.
El uso de inteligencia de amenazas externa es otra pieza clave que, hasta hace poco, muchas organizaciones consideraban fuera de su alcance. Durante años se ha visto como algo reservado a compañías con grandes presupuestos y equipos muy especializados, pero el panorama está cambiando: hoy existen numerosas fuentes públicas y gratuitas de alta calidad (feeds de indicadores de compromiso, informes técnicos, listas de IP maliciosas, etc.) que pueden integrarse en los procesos de defensa.
Con una recopilación adecuada de esta inteligencia, incluso organizaciones pequeñas pueden detectar tendencias, bloquear infraestructuras de ataque conocidas y anticiparse a ciertos movimientos de los ciberdelincuentes. Combinada con la telemetría interna de la propia empresa, esta información ayuda a construir una visión más clara del riesgo y a priorizar mejor los esfuerzos.
En paralelo a la parte técnica, la formación y concienciación en ciberseguridad sigue siendo un pilar imprescindible
Estos mapas y paneles se emplean tanto para reforzar la cultura de seguridad dentro de empresas e instituciones como para generar interés en el sector de la ciberseguridad. Ponen de relieve el número de ataques, los métodos más utilizados, las vulnerabilidades más explotadas y los países o sectores más afectados, ayudando a que el problema deje de verse como algo abstracto.
A partir de esa concienciación, organizaciones y usuarios finales pueden empezar a adoptar medidas básicas pero muy eficaces: verificar cuidadosamente los correos y enlaces antes de hacer clic, usar contraseñas robustas y gestores de contraseñas, activar la autenticación multifactor, limitar los permisos innecesarios y reportar cualquier sospecha de incidente.
El panorama actual del cibercrimen en América Latina muestra una región sometida a una presión constante por parte de campañas cada vez más coordinadas, que reutilizan herramientas como Rugmi, el phishing genérico o los troyanos bancarios en distintos países. La combinación de infraestructuras desactualizadas, sectores críticos con recursos limitados y una enorme superficie digital hace que Perú, México, Argentina, Brasil y Colombia se hayan convertido en objetivos prioritarios. Sin embargo, las similitudes en los métodos de ataque también indican que es posible reforzar la defensa de forma conjunta, compartiendo inteligencia, estandarizando buenas prácticas y apostando de verdad por la actualización, la protección integral de todos los dispositivos y la formación continua de las personas que, al final, siguen siendo el eslabón clave en cualquier estrategia de ciberseguridad.
