Esta es la evolución que han tenido los ciberataques

Anonymizers, droppers y downloaders, infostealers y ransomware. Esta son las cuatro grandes tendencias de ciberseguridad asociadas al uso de herramientas y técnicas por parte de los delincuentes en el 2026.

Así lo identificó la empresa Lumu Technologies en su informe Compromise Report 2026.

De acuerdo con el informe, se ha dado un aumento sostenido de la actividad maliciosa en Latinoamérica. Esta, añade, ha sido impulsada por la rápida digitalización de sectores estratégicos y brechas persistentes en los controles de seguridad.

El documento añade que, en Centroamérica y el Caribe, Gobierno (27,1%) y Telecomunicaciones (22,9%) concentran la mayor exposición a infostealers. Mientras que en ransomware estos mismos sectores registran el mayor impacto, con 27,7% y 16,6%, respectivamente.

Por su parte, en Sudamérica, Telecomunicaciones (22,1%) y Gobierno (17,5%) son los sectores más afectados por infostealers. Mientras que el ransomware se dirige principalmente a Telecomunicaciones (23,3%) y Educación (23,3%). Además, en México los sectores de Telecomunicaciones (22,2%) y Educación (20,2%) son los más impactados por infostealers. Mientras que en ransomware los mayores niveles de afectación se concentran en Educación (35,7%) y Telecomunicaciones (32,1%).

“Este año hemos observado un cambio estratégico en los métodos de ataque, pasando de malware altamente visible a técnicas mucho más sigilosas. Ya no buscamos al enemigo en la puerta; debemos asumir que ya está dentro. Los atacantes han perfeccionado la capacidad de camuflar su actividad dentro de herramientas legítimas y del ruido normal de la red, sustituyendo la fuerza bruta por evasión basada en comportamiento, y favoreciendo el uso de anonymizers, DNS tunneling y dominios generados con IA”, afirmó Ricardo Villadiego, fundador y CEO de Lumu.

Estilo de ciberataques

El informe de Lumu revela que los atacantes han dejado atrás las brechas “ruidosas” para adoptar estrategias de evasión “lentas y silenciosas” (low-and-slow), dominando las tácticas de Living-off-the-Land y ocultándose dentro de herramientas ya existentes. Para ello, pueden utilizar VPNs, sistemas legítimos de distribución de tráfico o canales de DNS cifrado. El reporte señala que la evidencia más clara de este cambio se refleja en las Tactics, Techniques, and Procedures (TTPs).

Además, los datos del framework MITRE ATT&CK muestran una tendencia clara: los atacantes están priorizando la evasión por encima de todo. Asimismo, añade la empresa, de forma notable, Command and Control (C2) ha reemplazado a “Execution” (ejecución de código o comandos dentro de la red) dentro de las tres principales TTPs, lo que indica un cambio de prioridades: los adversarios están menos enfocados en ejecutar código destructivo de inmediato y más en mantener un canal persistente y silencioso dentro de las redes, sin activar alertas.

Principales hallazgos

Entre los principales hallazgos del informe de Lumu se destacan:

• La anonimización se mantuvo durante todo el año como el Indicador de Compromisos (IoC) más detectado, consolidándose como una táctica fundamental.
• Los ‘anonymizers’ más detectados a nivel global incluyen servicios como Tor y VPNs privadas.
• Lumu detectó con mayor frecuencia el dropper Keitaro, un sistema de distribución de tráfico (TDS) legítimo utilizado por equipos de marketing para redirigir tráfico web, que los atacantes han construido para crear una especie de “alfombra roja” para el malware.
• A pesar de las acciones de desmantelamiento contra el infostealer Lumma Stealer, basado en el modelo malware-as-a-service (MaaS), los sensores de Lumu Technologies detectaron nuevas infecciones de Lumma, más resilientes, a finales de julio de 2025.
• Aunque Lumma sigue siendo dominante, el panorama evolucionó con la aparición de nuevos ladrones de credenciales financieras como MagentoCore, Remo y Ramnit.
• El ecosistema de ransomware en 2025 estuvo marcado por la fragmentación de grupos que se separaron de bandas grandes y conocidas, siendo DeathRansom el grupo más relevante.

Panorama de amenazas y ciberataques para Latinoamérica

• DeathRansom se consolidó como la principal familia de ransomware en Latinoamérica, concentrando 62,5% de las detecciones en Centroamérica y el Caribe y 53,3% en Sudamérica, superando ampliamente a otros grupos como Interlock y MOvy / Maze Ransom.
• A nivel país, la mayor concentración de actividad asociada a DeathRansom se registraron en: Brasil (33,3%), Argentina (22,9%) y Colombia (20,8%) en Sudamérica; en Guatemala (46,7%), República Dominicana (13,3%) y Costa Rica (13,3%) en Centroamérica y el Caribe; y en México (42,9%) dentro de Norteamérica.
• En la región, Keitaro afectó principalmente a países como: Argentina (28,8%), Guatemala (37,5%) y México (32,8%).
• Las campañas de infostealers dominaron gran parte de la actividad maliciosa en la región, con Lumma Stealer como la familia más detectada tanto en Centroamérica y el Caribe (29,2%) como en Sudamérica (43,1%).

Más información y noticias de TENDENCIAS aquí.