Análisis técnico de los principales vectores de ataque activos en la región. Datos de ESET, Kaspersky, Check Point y ColCERT.
Las amenazas en LATAM tienen características específicas: actores regionales, vectores de distribución adaptados al idioma y al contexto cultural local, y objetivos priorizados por sector económico.
El phishing en LATAM ha evolucionado de correos genéricos a campañas hiperpersonalizadas asistidas por IA generativa. Los atacantes crean clones perfectos de portales bancarios, páginas de la DIAN, Ministerio de Hacienda y plataformas de pago. El vector de distribución principal es WhatsApp, seguido de SMS y correo electrónico.
Tácticas más usadas en Colombia: falsas notificaciones de paquetes (Coordinadora, Servientrega), premios de grandes superficies (Éxito, Jumbo), citaciones judiciales falsas, y ofertas de empleo con comisiones exageradas.
Los grupos de ransomware operan con el modelo RaaS (Ransomware as a Service), donde los desarrolladores alquilan su infraestructura a afiliados locales. El acceso inicial se obtiene principalmente mediante phishing, credenciales robadas y explotación de VPNs sin parches.
Casos documentados en Colombia: EPM (2022, LockBit, datos de 11M de clientes), Ministerio de Salud (2024), múltiples hospitales y entidades del sistema de salud. Los rescates exigidos oscilan entre $50.000 y $5M USD en criptomonedas.
Familias de troyanos bancarios originadas en Brasil con operaciones extendidas en Colombia, México, Argentina y Chile. Se distribuyen mediante correos con adjuntos ZIP maliciosos o instaladores falsos. Utilizan técnicas de webinject para superponer formularios falsos sobre sitios bancarios legítimos y capturar credenciales en tiempo real.
Técnica predominante: DGA (Domain Generation Algorithm) para infraestructura C2 resistente a takedowns, y uso de servicios legítimos como GitHub y YouTube para almacenar configuraciones cifradas.
El SIM swapping consiste en convencer (o sobornar) a empleados de operadoras de telefonía para transferir un número a una SIM controlada por el atacante. Una vez con el número, bypasean el 2FA por SMS y acceden a banca móvil, criptomonedas y correo electrónico.
Vulnerabilidad SS7: El protocolo SS7 de las redes móviles tiene fallos estructurales conocidos desde 2014 que permiten interceptar SMS y localizar usuarios. Los operadores colombianos no han implementado soluciones definitivas. La única defensa real es eliminar el 2FA por SMS.
El BEC implica comprometer la cuenta de correo de un ejecutivo o impersonarlo para solicitar transferencias bancarias fraudulentas, cambiar datos de proveedores o exfiltrar información confidencial. Las PYMES latinoamericanas son objetivo prioritario por sus controles de seguridad débiles y la falta de verificación secundaria en procesos financieros.
Vector principal: Credential stuffing con contraseñas filtradas, phishing selectivo (spear phishing) o simplemente registro de dominios typosquatting similares al corporativo.
El uso de Pegasus de NSO Group ha sido documentado contra periodistas en México, activistas en El Salvador y figuras políticas en Colombia. Para el ciudadano común, el stalkerware —software de vigilancia instalado por parejas o familiares— crece a ritmo alarmante en LATAM, frecuentemente asociado a situaciones de violencia de género.
Vector de infección Pegasus: Zero-click exploits que no requieren interacción del usuario, explotando vulnerabilidades en WhatsApp, iMessage y el sistema de animaciones de iOS. La actualización constante es la única defensa parcial disponible.
Bancos, fintechs y plataformas de pago. Principal objetivo de phishing, malware bancario y SIM swapping. Bancolombia, Davivienda y Nequi son las marcas más suplantadas.
Entidades públicas como la DIAN, Superintendencias y ministerios. Objetivo de ransomware para extorsión y espionaje. Infraestructura crítica frecuentemente desactualizada.
EPS, clínicas y hospitales. Los sistemas de salud tienen datos especialmente sensibles y presupuestos de ciberseguridad limitados. Los ataques de ransomware pueden poner vidas en riesgo.
Universidades y colegios con grandes bases de datos de estudiantes. Redes WiFi institucionales mal configuradas y alto uso de dispositivos personales (BYOD) sin controles.
E-commerce y grandes superficies. Ataques de web skimming (Magecart) que roban datos de tarjetas en checkout, y fraude con cuentas de fidelización comprometidas.
Operadoras móviles como blancos de SIM swapping y acceso no autorizado a datos de clientes. La complicidad interna de empleados es un vector crítico documentado.