El CyberDay Chile 2026 ya tiene fecha oficial y se realizará desde la medianoche del lunes 1 de junio hasta el miércoles 3 de junio. Organizado por la Cámara de Comercio de Santiago (CCS), el evento reunirá a cientos de marcas con ofertas y descuentos en categorías como tecnología, moda, hogar y viajes, generando uno de los períodos de mayor actividad para el comercio electrónico en el país.

Sin embargo, el aumento de las compras online y de las entregas a domicilio durante este gran evento de ventas online, también abre espacio para nuevas modalidades de fraude. Investigadores de Kaspersky advierten sobre estafas que aprovechan el alto flujo de pedidos asociados a este tipo de eventos, mediante el envío de paquetes falsos a consumidores.

Según explican, los ciberdelincuentes utilizan bases de datos filtradas para enviar encomiendas que incluyen códigos QR maliciosos. Al escanearlos desde sus teléfonos móviles, las víctimas son dirigidas a sitios fraudulentos donde pueden exponer su información personal y bancaria, e incluso ser inducidos a instalar de malware en sus dispositivos.

Los delincuentes utilizan los nombres y direcciones postales registrados en estas bases de datos para crear cuentas en plataformas de comercio electrónico y hacer pedidos, aunque vinculan sus propios correos electrónicos y métodos de pago para no levantar sospechas. Al llegar, el paquete incluye una tarjeta o pegatina con un código QR y un mensaje engañoso diseñado para generar curiosidad, cómo: “¡Recibiste un regalo! Escanea para saber quién lo envió” o “Deja una reseña y obtén una tarjeta de regalo de 100 dólares”.

Sin embargo, detrás de este amigable mensaje se oculta una trampa de quishing (phishing a través de códigos QR): si la víctima escanea el código, es dirigida a un sitio web malicioso donde se la persuade a ingresar sus datos de pago o códigos de verificación de sus apps bancarias con el fin de “activar” la supuesta tarjeta de regalo. En otras ocasiones, también se pide instalar una aplicación para confirmar la recepción del paquete y conocer al remitente, pero en realidad es malware disfrazado para acceder y tomar el control del dispositivo.

El nivel de riesgo es alarmante debido al desconocimiento de este tipo de amenazas, pues de acuerdo con un estudio de Kaspersky, 41% de los chilenos no sabe que los códigos QR falsos pueden ser la llave para ataques contra sus cuentas de banca en línea. Además, el origen de esta amenaza evidencia un problema previo de privacidad: si estás recibiendo estos paquetes, significa que tu dirección y otra información de contacto se filtraron en bases de datos y están circulando en foros clandestinos.

“Durante el CyberDay, que es el evento de compras online más importante del año en Chile, aumenta considerablemente la cantidad de envíos y eso también es aprovechado por los ciberdelincuentes para intentar engañar a las personas. Hoy existen estafas donde los usuarios reciben paquetes que nunca compraron o mensajes asociados a supuestas entregas, buscando generar confianza y urgencia para que escaneen códigos QR o ingresen a enlaces maliciosos. El principal riesgo es que muchas veces las víctimas creen que se trata de un error menor o de un envío promocional, cuando en realidad sus datos personales ya están siendo utilizados para fraudes más sofisticados. En este tipo de eventos, la recomendación es desconfiar de cualquier entrega inesperada y verificar siempre la información directamente con el comercio oficial”, explica Leandro Cuozzo, investigador de seguridad en el Equipo Global de Investigación y Análisis para América Kaspersky.

Para evitar ser víctima de este tipo de fraude durante CyberDay y el resto del año, los expertos de Kaspersky recomiendan:

• Desconfía de cualquier paquete no esperado: no lo abras rápidamente. Antes revisa con cuidado las etiquetas, la empresa de mensajería y el nombre de quien lo envía. Si nadie en tu hogar realizó la compra y no esperas obsequios, considéralo como sospechoso.
• Valida la autenticación del envío: si el paquete se entregó mediante un servicio de mensajería conocido y tiene un número de rastreo, visita el sitio web oficial de la empresa e ingrésalo manualmente. Usa sus canales de contacto legítimos, como el chat o teléfono, para confirmar la información del remitente y el estado real de la entrega.
• Nunca escanees códigos QR de origen dudoso y protege tus datos: los códigos impresos en tarjetas de regalo, avisos de entrega fallida o promociones sorpresa dentro de paquetes no solicitados suelen ser trampas. Sospecha si te piden compartir información sensible, descargar aplicaciones o pagar supuestos “impuestos de aduana” o “tarifas de envío”.
• Denuncia el envío sospechoso: repórtalo ante la empresa de entrega a domicilio y las autoridades correspondientes, incluso si no te robaron dinero. Toma fotos del empaque y de la guía, y conserva el paquete físico como evidencia para futuras investigaciones.
• Utiliza una solución de seguridad robusta: contar con un software de ciberseguridad confiable en tu dispositivo móvil, como Kaspersky Premium, es vital. Estas herramientas incluyen protección contra phishing y analizan enlaces en tiempo real, advirtiéndote y bloqueando cualquier amenaza antes de que comprometa tu información personal y financiera.

La entrada Quishing en CyberDay: Kaspersky lanza alerta para Chile se publicó primero en ZonaCISO.

La norma no es nueva. La CMF la emitió el 17 de junio de 2025, hace casi un año. El plazo de transición fue diseñado para dar tiempo suficiente. La pregunta que deben responder los CISOs del sector financiero esta semana es directa: ¿está tu institución lista o no?

Qué exige la NCG 538

La autenticación reforzada implica validar la identidad del cliente mediante al menos dos factores independientes: algo que sabe (contraseña), algo que tiene (dispositivo) y algo que es (biometría — huella dactilar, reconocimiento facial, voz). Para operaciones de bajo riesgo, la combinación mínima es contraseña más dispositivo. Para transferencias de montos significativos o cambios de datos críticos, la norma empuja hacia la incorporación del factor biométrico.

Lo que la CMF deja en claro en sus considerandos es el contexto que justifica la urgencia: el fraude digital impulsado por IA está erosionando la efectividad de los mecanismos tradicionales. Los sistemas de phishing de nueva generación pueden capturar credenciales en tiempo real. Las tarjetas de coordenadas, que durante años fueron el estándar, son hoy un control insuficiente frente a ataques automatizados.

Según datos del informe de Endeavor Data Unit e Incode Technologies, Chile registró más de 27.600 millones de intentos de ciberataque en 2025, con la banca entre los principales blancos. El costo promedio de una filtración en el país alcanza US$ 3,81 millones. Ese es el escenario de riesgo que la NCG 538 busca mitigar.

La excepción que no es una salida

En marzo de 2026, la CMF puso en consulta una modificación puntual a la norma: permitir que grupos específicos de clientes con dificultades de adopción tecnológica — adultos mayores, personas con limitaciones de accesibilidad o desplazamiento — sigan utilizando tarjetas de coordenadas transitoriamente. Sin embargo, esta excepción no posterga el deadline ni reduce la obligación central. Las instituciones que opten por mantener este grupo deberán informarlo a la CMF antes del 1 de agosto, con justificación documentada, criterios objetivos y cifras exactas de los clientes incluidos.

Dicho de otro modo: la excepción genera su propia carga de cumplimiento. No es una puerta trasera para quienes no alcanzaron a implementar ARC.

Lo que el CISO debe verificar ahora

La NCG 538 no solo establece obligaciones técnicas sobre los sistemas de autenticación. También transfiere la responsabilidad a la institución financiera cuando utiliza soluciones tecnológicas de terceros para cumplir con la norma. El proveedor puede fallar — la obligación regulatoria no se delega.

Los equipos de seguridad y cumplimiento deben responder, como mínimo, tres preguntas antes del 1 de agosto: primero, ¿todos los flujos de operaciones críticas están cubiertos por ARC, o hay canales (web, app móvil, sucursal digital) que aún operan con factores simples? Segundo, ¿la arquitectura de CIAM (Customer Identity and Access Management) está preparada para escalar con la demanda de agosto, cuando la norma entre en vigencia simultáneamente para todo el mercado? Tercero, ¿los contratos con proveedores de biometría o MFA establecen SLAs alineados con los requisitos de disponibilidad que exige la CMF?

Esta regulación es también una oportunidad para revisar la estrategia de identidad más allá del cumplimiento puntual. En un sector donde la IA genera vulnerabilidades que eluden el 2FA, el piso regulatorio de la NCG 538 es exactamente eso: un piso, no un techo. Y en un ecosistema donde el fraude digital se ha industrializado, las instituciones que solo corran a cumplir el mínimo estarán rezagadas antes de que termine el año.

El 1 de agosto llegará. La pregunta es si llegará con los sistemas listos o con el equipo jurídico redactando un plan de acción.

Fuente: CMF Chile — https://www.cmfchile.cl/normativa/ncg_538_2025.pdf

La entrada Autenticación reforzada CMF: el 1 de agosto no espera se publicó primero en ZonaCISO.

En el marco del Día Internacional contra el Ransomware, que se conmemora el 12 de mayo, Kaspersky presentó un informe con una visión general de las tendencias que marcaron 2025 y un análisis de lo que se espera en el panorama de amenazas para 2026. La investigación revela que luego de América Latina, Asia-Pacífico es la región más afectada con 8% de las empresas vulneradas por ataques de ransomware, seguida por África con 7.62%, Medio Oriente con 7.27%, la Comunidad de Estados Independientes con 5.91% y Europa con 3.82% de instituciones perjudicadas.

A pesar de una ligera disminución en la proporción total de organizaciones afectadas por ransomware en 2025 en comparación con 2024, los usuarios siguen enfrentando un riesgo significativo, ya que los atacantes están industrializando sus operaciones, automatizando métodos de intrusión y enfocándose cada vez más en robar y filtrar datos sensibles, en lugar de limitarse a cifrar sistemas.

Una de las tendencias observadas en 2025 es el continuo aumento de los llamados “killers” de EDR (Endpoint Detection and Response), herramientas diseñadas específicamente para desactivar las soluciones de seguridad en los dispositivos antes de ejecutar el malware. Estos “EDR killers” se han convertido en un componente estándar de los ataques, lo que refleja intrusiones más deliberadas y metódicas.

Los investigadores también señalaron la aparición de familias de ransomware que adoptan estándares de criptografía postcuántica, una tendencia que Kaspersky ya había anticipado previamente. Este desarrollo indica un cambio preocupante hacia métodos de cifrado que podrían resistir futuros intentos de descifrado mediante computación cuántica.

El papel de los Initial Access Brokers (IABs) —intermediarios del cibercrimen que venden accesos corporativos previamente comprometidos a través de foros clandestinos y plataformas de mensajería— está en aumento. Los portales RDWeb (sitios web que permiten controlar dispositivos de forma remota) se están convirtiendo en objetivos cada vez más frecuentes, a medida que los grupos de ransomware continúan industrializando sus ataques mediante modelos de “Access-as-a-Service”. Como resultado, la barrera de entrada para lanzar ataques de ransomware sigue disminuyendo.

Grupos activos

Entre los grupos de ransomware más activos en 2025, con base en datos de sitios de filtración de información, Kaspersky identificó a Qilin como el operador dominante bajo el modelo de ransomware-as-a-service (RaaS), tras la interrupción de las operaciones de RansomHub. Clop se ubicó como el segundo grupo más activo, seguido por Akira en tercer lugar.

Proporción de víctimas por grupo de ransomware según sus sitios de filtración de datos (DLS), como porcentaje del total de víctimas reportadas por todos los grupos en 2025.

Si bien varios de los principales grupos de ransomware cesaron operaciones en 2025, continúan surgiendo nuevos actores. De cara a 2026, The Gentlemen se perfila como uno de los grupos emergentes más relevantes debido a su rápido crecimiento, operaciones estructuradas y un enfoque cada vez mayor en la extorsión centrada en datos. Es posible que este grupo incluya atacantes previamente vinculados a otras operaciones importantes de ransomware.

The Gentlemen ejemplifica un cambio más amplio en el ecosistema del ransomware, alejándose de campañas caóticas y de alto ruido hacia modelos de extorsión más escalables y con lógica empresarial, enfocados principalmente en el robo de información sensible, así como en ejercer presión reputacional y regulatoria, en lugar de depender exclusivamente del cifrado disruptivo de archivos.

“El ransomware ha evolucionado hasta convertirse en un ecosistema altamente organizado, enfocado en monetizar datos robados, desactivar defensas y escalar ataques con una eficiencia similar a la de un negocio. Los actores de amenazas se están adaptando rápidamente, utilizando herramientas legítimas como armas, explotando infraestructuras de acceso remoto e incluso adoptando criptografía postcuántica mucho antes de lo esperado. El propósito del Día Mundial contra el Ransomware es generar conciencia global sobre las amenazas que representa este tipo de ataques y promover mejores prácticas de prevención y respuesta. Por ello, instamos a empresas y todos los usuarios a mantenerse protegidos, implementar defensas en capas, invertir en respaldos de información y fortalecer sus niveles de cultura digital para hacer frente a estos ataques”, comenta Fabio Assolini, investigador líder en Seguridad para América Latina en Kaspersky.

En el Día Mundial contra el Ransomware y más allá, los expertos de Kaspersky recomiendan a las organizaciones seguir estas buenas prácticas para protegerse frente a este tipo de ataques:

• Activar la protección contra ransomware en todos los endpoints. Existe una herramienta gratuita, Kaspersky Anti-Ransomware Tool for Business, que protege computadoras y servidores frente a ransomware y otros tipos de malware, previene exploits y es compatible con soluciones de seguridad ya instaladas.
• Mantener siempre actualizado el software en todos los dispositivos que se utilicen para evitar que los atacantes exploten vulnerabilidades y se infiltren en su red.
• Enfocar su estrategia de defensa en la detección de movimientos laterales y la exfiltración de datos hacia internet. Es importanteprestar atención al tráfico saliente para identificar posibles conexiones de ciberdelincuentes a su red; así como configurar copias de seguridad fuera de línea que no puedan ser manipuladas por intrusos y asegurarse de poder acceder a ellas rápidamente cuando sea necesario o en caso de emergencia.
• Las empresas de sectores no industriales pueden protegerse implementando soluciones anti-APT y EDR, que permiten capacidades avanzadas para la detección de amenazas, la investigación y la remediación oportuna de incidentes. Asimismo, las organizaciones pueden proporcionar a sus equipos SOC acceso a la información de inteligencia de amenazas más reciente y fortalecer continuamente sus habilidades mediante capacitación profesional. Todo lo anterior está disponible dentro de Kaspersky Next.

El reporte completo puede encontrarlo en Securelist.

La entrada Kaspersky: ransomware lidera ataques en América Latina se publicó primero en ZonaCISO.

El ataque fue frenado antes de ejecutarse. La intervención proactiva de GTIG —que coordinó la divulgación responsable con el proveedor afectado— habría impedido la campaña planificada. Pero el hallazgo tiene un peso que va más allá del incidente puntual: la IA ya está siendo usada para descubrir y armar vulnerabilidades de día cero, no como hipótesis futura sino como práctica documentada en el ecosistema del cibercrimen organizado.

La atribución al uso de IA no es directa sino de alta confianza. GTIG señala que, aunque no cree que Gemini haya sido utilizado, la estructura del código delata la autoría de un modelo de lenguaje: comentarios educativos que explican el código paso a paso, un puntaje CVSS alucinado incluido como si fuera real, y un estilo Python “de manual de texto” altamente característico de los datos de entrenamiento de los grandes modelos de lenguaje.

Día cero que burla el 2FA

Esta vulnerabilidad de día cero que elude el 2FA no sigue los patrones que detectan las herramientas de análisis tradicionales. No hay corrupción de memoria ni sanitización de entradas deficiente. El fallo es un error semántico de lógica de alto nivel: el desarrollador codificó de forma fija una excepción de confianza que contradice la lógica de aplicación del doble factor en el resto del sistema. La evasión además requiere credenciales válidas del usuario objetivo, lo que la sitúa en cadenas de ataque más sofisticadas.

Las herramientas de análisis estático están optimizadas para detectar crashes y flujos de datos. Esta clase de fallo no produce ninguno. Los modelos de lenguaje de frontera, en cambio, realizan razonamiento contextual: leen la intención del desarrollador y correlacionan la lógica de aplicación del 2FA con las contradicciones de sus excepciones codificadas. Esa capacidad de identificar lo que está “estratégicamente roto pero funcionalmente correcto” es exactamente el diferenciador que hace a la IA especialmente peligrosa para descubrir este tipo de fallas.

Chile y la Ley 21.663 ante este riesgo

En Chile, el 2FA es un control de seguridad explícitamente recomendado bajo los marcos normativos derivados de la Ley Marco de Ciberseguridad (Ley 21.663) y forma parte de los controles mínimos esperados por la CMF para entidades del sector financiero. El hallazgo de GTIG no invalida el 2FA como control, pero obliga a reconsiderar su jerarquía dentro de la arquitectura de identidad y su suficiencia como única barrera para accesos críticos.

El CSIRT Nacional y la ANCI no han emitido una alerta específica sobre este vector al cierre de este artículo. Sin embargo, el reporte tiene implicancias directas para cualquier organización chilena que utilice herramientas de administración de sistemas open source con acceso expuesto a internet, categoría frecuente en entornos de TI corporativos y de gobierno.

La recomendación no es desactivar el 2FA, sino entender sus límites y complementarlo. Los estándares FIDO2/WebAuthn y las passkeys son resistentes estructuralmente a este tipo de vulnerabilidad de día cero porque la clave de autenticación nunca abandona el dispositivo del usuario y no depende de lógica de servidor que pueda contener excepciones codificadas.

Tres acciones concretas: revisar qué herramientas de administración de sistemas están expuestas a internet con 2FA como único control de acceso; verificar el estado de actualizaciones en herramientas open source de administración de servidores; evaluar la migración a FIDO2 para los accesos más críticos. La vulnerabilidad fue frenada esta vez. La capacidad ya existe.

Fuente: Google Threat Intelligence Group — https://cloud.google.com/blog/topics/threat-intelligence/ai-vulnerability-exploitation-initial-access

La entrada GTIG: IA crea vulnerabilidad día cero que elude el 2FA se publicó primero en ZonaCISO.

El phishing cumplimiento regulatorio llegó disfrazado de comunicaciones internas de conducta corporativa. Los correos usaban nombres como “Internal Regulatory COC” y “Workforce Communications”, con asuntos como “Internal case log issued under conduct policy”. Para reforzar credibilidad, los mensajes incluían avisos de que el contenido había sido “revisado y aprobado por un canal interno autorizado” y usaban el logo de Paubox —un servicio legítimo de comunicaciones conformes con HIPAA— creando la apariencia de un proceso oficial de cumplimiento de salud.

Cómo opera el ataque AiTM

La cadena de ataque tenía cinco etapas diseñadas para filtrar defensas automatizadas y presionar al usuario. El correo incluía un PDF con el “expediente del caso de conducta” y un enlace de “Revisar materiales del caso”. Ese enlace llevaba a una página con un CAPTCHA de Cloudflare, seguido de una página intermedia que solicitaba autenticación, un segundo CAPTCHA de imágenes, y finalmente la pantalla de inicio de sesión real de Microsoft.

Esa pantalla era legítima —y ese es el punto crítico. Los atacantes no montaron una página falsa de login: instalaron un proxy entre el usuario y Microsoft. Cuando la víctima completaba su autenticación con MFA incluido, el atacante capturaba el token de sesión resultante en tiempo real, obteniendo acceso directo a la cuenta sin necesitar la contraseña ni el segundo factor. El MFA por SMS, TOTP o notificación push no protege contra esta clase de ataque.

Phishing cumplimiento regulatorio en Chile

Los sectores más afectados por la campaña son de alta relevancia en Chile: salud y ciencias de la vida (19% de los objetivos), servicios financieros (18%), servicios profesionales (11%) y tecnología y software (11%). Las clínicas, isapres, bancos y consultoras chilenas con infraestructura Microsoft 365 son exactamente el perfil que esta campaña apuntó.

La dimensión local tiene un agravante específico. La implementación de la Ley Marco de Ciberseguridad (Ley 21.663) y la Ley 21.719 de Datos Personales está generando un volumen inusual de comunicaciones de cumplimiento hacia ejecutivos, equipos legales y responsables de seguridad. Ese contexto crea condiciones ideales para que un correo que simule una “revisión interna de conducta regulatoria” no active alarmas inmediatas, incluso en personas entrenadas.

El dato técnico más importante de esta campaña es que el MFA estándar no es suficiente frente a ataques AiTM. La única defensa efectiva es el MFA resistente a phishing: llaves de seguridad FIDO2, Windows Hello o passkeys, que vinculan criptográficamente la autenticación al dominio legítimo y no pueden ser interceptadas por un proxy. Las organizaciones que aún usan SMS u OTP deben asumir que ese control no las protege de esta clase de ataque.

La segunda medida urgente es incluir el escenario de “revisión de conducta corporativa” en los programas de simulación de phishing internos. Si los colaboradores no han visto un correo que llegue de “Workforce Communications” con un PDF adjunto y múltiples etapas de verificación, no están calibrados para detectarlo. Esta campaña —multicapa, con infraestructura legítima y urgencia emocional— no es una excepción: es el nuevo estándar de sofisticación.

Fuente: Microsoft Security Blog — https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/

La entrada Microsoft alerta de phishing de “cumplimiento regulatorio” se publicó primero en ZonaCISO.

En el marco de HP Imagine 2026, la compañía lanzó HP TPM Guard, la primera solución de hardware para detener ataques físicos de bus en TPM, ofreciendo así el primer notebook empresarial del mundo que previene ataques de acceso físico que anulan el cifrado de las unidades de BitLocker . HP también anunció mejoras a su portafolio de PCs HP Wolf Security e integró resistencia cuántica a una gama más amplia de impresoras HP.

Cerrando la brecha de seguridad de BitLocker con HP TPM Guard

Las PCs son el centro del trabajo moderno e híbrido, ya que almacenan grandes cantidades de información delicada, desde documentos confidenciales y credenciales hasta datos de clientes y empleados. Con el auge de las aplicaciones de IA que procesan voz, video y capturas de pantalla, el volumen de datos sensibles almacenados en las PCs no hace más que aumentar.

Diversas empresas han utilizado ampliamente BitLocker para proteger dichos datos en caso de pérdida o robo de PCs, pero algunas vulnerabilidades descubiertas en los últimos años pueden permitir que un atacante con acceso físico a un dispositivo evada BitLocker y extraiga información. Comúnmente conocida como “ataques de bus en TPM”, esta técnica se basa en que los atacantes intercepten la comunicación entre el Módulo de Plataforma Confiable (TPM) certificado y la CPU; puede realizarse en menos de un minuto, y solo se necesitan $20 dólares en equipo y capacitación mínima.

HP TPM Guard protege contra esta amenaza introduciendo un enlace cifrado entre el TPM y la CPU, evitando ataques de intercepción y sondeo. El TPM está criptográficamente vinculado al dispositivo, lo que lo hace inoperativo si se elimina o manipula, cerrando esta brecha de seguridad en toda la industria, sin añadir complejidad para los equipos de TI.

HP TPM Guard es la más reciente en una larga serie de innovaciones de seguridad que han surgido del HP Security Lab durante los últimos 20 años. HP identifica proactivamente amenazas emergentes, crea soluciones para productos HP y luego colabora con organismos de normalización del sector para, en última instancia, elevar el nivel para todo el ecosistema de TI. Teniendo esto en mente, HP ya ha presentado una propuesta al Trusted Computing Group para contribuir con la tecnología TPM Guard como estándar industrial.

Nuevas capacidades HP Wolf Security reducen costos y riesgos para empresas

• HP también está reforzando la seguridad en todo su portafolio comercial de PCs al anunciar nuevas capacidades de HP Wolf Security. Estos se centran en aumentar la sinergia entre Workforce Experience Platform (WXP), HP Wolf Security y la arquitectura empresarial para reducir la sobrecarga operativa y los riesgos cibernéticos. Entre las nuevas capacidades se encuentran:
• Integración Wolf Controller / WXP para reducir riesgo y fricción operativa
• Tarjeta móvil Wolf Connect de nueva generación para ofrecer mejor precisión con menor consumo energético
• Soporte más amplio para la plataforma Sure Recover a menor costo
• Recolección centralizada de registros de seguridad en el Wolf Controller

Resistencia cuántica: el futuro de la seguridad de impresión

Los expertos predicen que la posibilidad de que una computadora cuántica rompa la criptografía asimétrica existente puede alcanzar un 34% para 2034, lo que hace inminente la necesidad de protección resistente a la inteligencia cuántica.

Con impresoras cada vez más orientadas como punto de entrada a las redes, HP está ampliando la criptografía resistente a la inteligencia cuántica hacia una gama más amplia de dispositivos:

• Nuevas impresoras serie HP LaserJet Pro 4000/4100: Las primeras impresoras PYMES del mundo que cuentan con protección resistente a la inteligencia cuántica junto con chips de tóner, firmware y empaque resistentes a manipulaciones. HP Workforce Experience Platform y, opcionalmente, HP Security Manager, también permiten un cumplimiento de seguridad simplificado y una gestión de dispositivos a nivel de flota bajo una misma solución.

• Nuevas impresoras serie HP LaserJet Pro 5000/6000: Las primeras impresoras empresariales del mundo que vienen de fábrica con protección contra ataques cuánticos desde computadoras , reduciendo el riesgo de exposición . La serie también cuenta con HP Wolf Enterprise para detectar, aislarse y recuperarse automáticamente de ataques cibernéticos además de ser las únicas impresoras con detección y recuperación de amenazas de día cero durante la ejecución del código de memoria .

La serie HP LaserJet Enterprise 5000/6000 también contará con Automated Guided Redaction, que detecta y elimina información delicada, como datos personales o información financiera, ayudando a las empresas a cumplir con los requisitos de cumplimiento sin añadir pasos adicionales de revisión para el departamento de TI.

La entrada HP TPM Guard: la nueva defensa de los PCs se publicó primero en ZonaCISO.

Comúnmente se piensa que solo las grandes corporaciones son el objetivo de los cibercriminales, pero la realidad es que no hay ninguna empresa lo suficientemente pequeña como para no ser víctima de un ataque. Hoy, las pequeñas y medianas empresas (pymes) son un blanco fácil para los ciberatacantes, ya que la gran mayoría no cuentan con protección adecuada, protocolos de seguridad o planes básicos de respuesta a incidentes (IR).

Según reportes realizados por ESET, 1 de cada 4 empresas de Latinoamérica sufrió un ciberataque en el último año. Asimismo, aseguran que 27% de las organizaciones consultadas afirmaron haber sufrido un ciberataque y que un preocupante 32% reconoce no contar con herramientas que les permitan confirmar que no hayan sido atacadas. Esta situación toma especial relevancia en Chile por las fiscalizaciones de la ANCI, que exige medidas de ciberseguridad a entidades gubernamentales y Operadores de Importancia Vital (OIV), categoría que podría incluir a las pymes.

“La creciente sofisticación de los ciberataques, incluso en actividades cotidianas como contestar una llamada, leer un mensaje, descargar un archivo o escanear un código QR, ha generado una alerta significativa entre empresarios y dueños de pymes. Esta realidad ha impulsado la necesidad de una mejor información y preparación para comprender las amenazas y sus posibles consecuencias. Sin embargo, la gran mayoría desconoce qué acciones tomar o qué pasos seguir frente a un posible ataque a sus negocios”, explica André Goujon, CEO de Lockbits.

Las MiPymes representan el 98,6% de las empresas con inicio de actividades del país, donde un 75% son microempresas y un 21%, pequeñas empresas, de acuerdo con los datos del Servicio de Impuestos Internos (SII). La relevancia de este sector en la economía local subraya la necesidad de implementar medidas de respuesta efectivas ante ciberataques. Si bien la prevención es esencial como primera línea de acción, no basta por sí sola para contrarrestar un ataque.

El ejecutivo señala que a pesar de la existencia de herramientas de prevención esenciales como antivirus, firewall y antispam, la implementación de un plan de contingencia sólido en las pymes sigue siendo una asignatura pendiente. “Dicho plan es esencial no solo para contener el impacto de un ciberataque, sino también para identificar y analizar la causa de la vulnerabilidad. Esto permite reforzar las medidas de seguridad y asegurar la continuidad de las operaciones, incluso a pesar del incidente”, agrega.

Claves para desarrollar un plan de respuesta ante incidentes

Aunque no se dimensione, las pymes también gestionan bases de datos con información sensible, tanto de clientes como interna. Esto plantea una pregunta fundamental: ¿Está mi negocio realmente preparado para afrontar un ciberataque? Este punto es vital, ya que, para estas empresas, el esfuerzo de muchos años podría perderse en un instante por no priorizar ni valorar la consultoría y las herramientas tecnológicas adecuadas.

En este contexto, Lockbits comparte la lista de verificación mínima de un plan de respuesta a incidentes para detectar, contener y recuperar la información:

• Momento de preparación. Establecer directrices fundamentales como punto de partida para enfrentar un ciberataque. Es crucial disponer de una lista de contactos 24/7 que incluya personal de TI, proveedores, legal, comunicaciones y gerencia para asegurar que cada área tome las medidas necesarias según su responsabilidad.

• Detección. Las alertas se pueden generar mediante soluciones de ciberseguridad complementarias (XDR, SIEM) o a través del reporte de un usuario o proveedor. En este punto, es esencial registrar meticulosamente todos los detalles del incidente: datos, hora, fecha, sistema afectado y cualquier evidencia, incluso aquella que parezca irrelevante. Esta información será fundamental para determinar la causa raíz del ciberataque.

• Contención. Estas se fundamentan en tres pilares, contener la amenaza (por ejemplo, segmentando la red para limitar su propagación); gestionar los accesos comprometidos bloqueando credenciales y forzando el cambio de contraseñas; y finalmente, bloquear la amenaza cortando las vías de ataque (como conexiones RDP/VPN no autorizadas) y neutralizando los Indicadores de Compromiso (IoCs).

• Erradicación. En este punto es clave eliminar las amenazas presentes en el sistema. Para mejorar la seguridad, se deben instalar actualizaciones (parches) y verificar qué tan grave fue el incidente, además de buscar otros equipos que podrían estar afectados.

• Recuperación. Implica la restauración a partir de una copia de seguridad limpia, seguida de una validación exhaustiva de la integración y un monitoreo intensivo (48 a 72 horas). Una vez funcione correctamente, se realiza el retorno gradual a la producción normal, priorizando siempre la puesta en marcha de los sistemas más críticos por etapas.

• Lecciones aprendidas. El análisis post-incidente y la mejora continua implica analizar la data recopilada para determinar qué falló, qué procesos y personas se vieron afectadas, qué mejoras se pueden implementar y quiénes son los responsables con plazos de acción. La experiencia obtenida permite mapear los riesgos de forma efectiva, mejorando la preparación y respuesta ante futuros ciberataques.

“Es importante que los procesos y acciones definidos se cumplan y ejecuten en cada etapa. En el contexto de las pymes, a menudo se prioriza solo la solución inmediata, dejando de lado el análisis de la información. Cumplir todo el proceso es necesario para establecer antecedentes y mapear riesgos; más allá de la prevención y la solución, el aprendizaje derivado de estas situaciones también constituye un elemento clave”, finaliza Goujon.

La entrada Pymes un blanco fácil para los ciberataques – Lockbits se publicó primero en ZonaCISO.

De acuerdo con el análisis de Check Point, durante marzo las organizaciones de América Latina registraron cerca de 3.050 ataques semanales, frente a poco más de 2.000 a nivel global. En el caso específico de entidades gubernamentales, la cifra escala a aproximadamente 4.200 ataques por semana, lo que posiciona al sector público entre los objetivos prioritarios para actores criminales, grupos hacktivistas y operaciones de espionaje.

Ciberataques gobiernos de Latinoamérica

El reporte difundido por Dark Reading y sustentado en cifras de Check Point destaca una serie de incidentes recientes que reflejan la intensidad del fenómeno. En México, un grupo de hacktivistas habría comprometido al menos nueve agencias gubernamentales con apoyo de sistemas de inteligencia artificial, accediendo potencialmente a más de 195 millones de identidades y registros tributarios.

En paralelo, la autoridad sanitaria de Colombia, la Superintendencia Nacional de Salud (Supersalud), reportó más de 23 millones de ataques y sondeos durante el mismo período, mientras que en Puerto Rico el Departamento de Transportes suspendió temporalmente la emisión de licencias de conducir tras un incidente cibernético que, aunque finalmente no prosperó, obligó a interrumpir servicios críticos.

El artículo señala que la mayor parte de estas operaciones responde a motivaciones financieras. Sin embargo, el riesgo ya no se limita al cibercrimen tradicional. También se observa una evolución hacia amenazas híbridas, donde confluyen espionaje estatal, campañas políticamente motivadas y grupos especializados en acceso inicial.

La exposición constante de servicios públicos conectados a Internet, sumada a plataformas heredadas difíciles de reemplazar, crea un entorno especialmente vulnerable para los gobiernos latinoamericanos.

Phishing y credenciales robadas

Uno de los hallazgos más relevantes del informe de Check Point Software es el peso del phishing como vector de acceso inicial. Aproximadamente 82% de los archivos maliciosos en la región llega por correo electrónico, muy por encima del promedio mundial de 56%.

Este patrón está alimentando un problema estructural: la proliferación de credenciales comprometidas en canales de Telegram y mercados de la dark web. Los infostealers capturan accesos, los brokers los empaquetan y posteriormente los venden a afiliados de ransomware u otros actores especializados.

La madurez de los atacantes contrasta con la menor madurez defensiva de muchas instituciones públicas. De acuerdo con el análisis citado por Dark Reading, América Latina enfrenta una brecha de aproximadamente 350.000 profesionales de ciberseguridad, lo que impacta directamente en capacidades de hardening, monitoreo y respuesta.

Para los CISOs del sector público, la lectura es clara: fortalecer la seguridad del correo, mejorar la visibilidad del perímetro expuesto, acelerar la gestión de parches y reducir la exposición de datos ciudadanos se han convertido en prioridades estratégicas.

Fuente: Dark Reading, con datos de Check Point Software Technologies — leer artículo original

La entrada Check Point alerta por ciberataques a gobiernos en América Latina se publicó primero en ZonaCISO.

De manera online fue realizada el cuarto taller correspondiente al proyecto “Fortalecimiento y desarrollo de capacidades en América Latina y el Caribe en materia de ciberseguridad”, financiado por la Unión Europea y ejecutado por la Agencia Nacional de Ciberseguridad (ANCI), con el apoyo de la Agencia Chilena de Cooperación Internacional para el Desarrollo (AGCID).

La instancia, realizada las mañanas del 12 y el 13 de marzo, contó con la participación de la directora nacional (s) de la ANCI, Michelle Bordachar Benoit, el director ejecutivo de la AGCID, Enrique O’Farrill, y de Pía Hevia, oficial de Cooperación de la Delegación de la Unión Europea en Chile.

Estudios sobre regulación y gobernanza en ciberseguridad

Como parte del taller fueron presentados los avances de dos estudios. El primero de estos, llamado “Análisis comparado de modelos regulatorios de ciberseguridad”, trató el debate existente sobre cuánto y cómo debe regular un Estado con el fin de reducir los riesgos digitales que enfrenta un país. Esto, en base a la comparación de distintos modelos internacionales, con particular énfasis en los de Singapur, con un poder regulatorio centralizado, y Australia, ejemplo de un sistema distribuido.

Elaborado por la Pontificia Universidad Católica de Valparaíso, el segundo informe presentado, “Modelos de gobernanza pública de la ciberseguridad (infraestructura crítica e inteligencia)”, contrastó distintos modelos de gobernanza pública en ciberseguridad y protección de infraestructuras críticas, partiendo por definir esta materia —y los conceptos de gobernanza estratégica y gobernanza operativa— para ahondar luego en los sistemas de gobernanza en ciberseguridad usados en Alemania, España y Francia.

Hacia modelos híbridos: las conclusiones del taller

Ambas exposiciones coincidieron en que la ciberseguridad se ha consolidado como un ámbito de política pública que requiere marcos institucionales robustos y mecanismos efectivos de coordinación entre múltiples actores.

Además, el análisis comparado evidencia que no existe un único modelo óptimo de regulación o gobernanza, sino que los distintos países han desarrollado configuraciones institucionales diversas, adaptadas a sus tradiciones jurídicas, estructuras administrativas y niveles de madurez digital.

Se destacó asimismo que la tendencia internacional apunta hacia modelos híbridos, que combinan intervención estatal, cooperación público-privada y mecanismos de autorregulación regulada.

Otra conclusión relevante es que los países de América Latina y el Caribe se encuentran en un proceso de transición regulatoria, avanzando desde enfoques centrados en la penalización de conductas hacia marcos más amplios basados en la gestión de riesgos, la resiliencia de infraestructuras críticas y la coordinación institucional.

Finalmente, el taller reafirmó la importancia de fortalecer las capacidades institucionales y técnicas en la región, así como de promover espacios de cooperación internacional y aprendizaje comparado, que permitan adaptar las experiencias internacionales a las realidades institucionales y normativas de los países de la región.

Diez países de la región participaron en la iniciativa

En este cuarto taller participaron representantes de Brasil, Costa Rica, Ecuador, Jamaica, México, Panamá, Perú, República Dominicana, Trinidad y Tobago y Uruguay.

La entrada Ciberseguridad en Latinoamérica: ANCI lidera talleres regionales se publicó primero en ZonaCISO.

Expertos de Kaspersky descubrieron una campaña dirigida que involucra a Horabot, una amenaza de origen brasileño que combina un troyano bancario, un propagador de correos electrónicos y una cadena de ataque notablemente compleja. Durante la investigación, los analistas identificaron una página web expuesta por el actor de la amenaza que contenía una base de datos con registros desde mayo de 2025, en la que se identificaron 5.384 víctimas, de las cuales el 93% se encuentran en México.

El engaño comienza con una página falsa de verificación (CAPTCHA) que le pide al usuario realizar una acción inusual: abrir la ventana “Ejecutar” del computador, pegar un comando y ejecutarlo. Cuando la persona sigue estas instrucciones, sin saberlo inicia el proceso de infección. A partir de ese momento se activa una cadena de acciones ocultas en el sistema que permiten que el malware se instale sin que el usuario lo note.

Una vez dentro del dispositivo, el malware recopila información del equipo y del usuario, como la dirección IP, datos del sistema operativo y la ubicación, y envía estos datos a servidores controlados por los atacantes. Además, instala un troyano bancario que puede mostrar ventanas emergentes falsas que imitan a las de bancos conocidos, con el objetivo de engañar a la víctima y hacer que ingrese sus credenciales bancarias.

Qué roba Horabot y cómo se propaga entre víctimas

La amenaza también intenta propagarse a otras personas. Para ello, extrae direcciones de correo electrónico desde los equipos infectados y las envía a los servidores de los atacantes. Posteriormente, desde cuentas comprometidas se envían correos de phishing con archivos PDF maliciosos, que invitan a los destinatarios a abrir un supuesto “archivo confidencial” o una “factura”. Al hacer clic en el documento o en el botón que contiene, el proceso de infección comienza nuevamente en el nuevo dispositivo.

“Aunque Horabot ha sido detectado por la comunidad de ciberseguridad durante varios años, la amenaza sigue siendo altamente activa en 2026. Además, el malware continúa evolucionando y adquiriendo nuevas funcionalidades, incluidas actualizaciones en su cifrado y en la lógica de manejo de protocolos. Por ello, es fundamental mantener las soluciones de seguridad actualizadas para permanecer protegidos”, afirma Mateus Salgado, SOC Team Lead en Kaspersky.

Recomendaciones de Kaspersky para empresas y usuarios

Para mitigar el riesgo de amenazas como Horabot, los expertos de Kaspersky recomiendan a las empresas:

• Capacitar a los empleados para reconocer fraudes digitales, especialmente correos sospechosos, enlaces desconocidos o archivos adjuntos inesperados. Muchos ataques comienzan con un simple error humano, por lo que la concienciación es una de las primeras líneas de defensa.
• Fortalecer los controles de seguridad existentes con detección liderada por expertos y acceso a inteligencia global de amenazas mediante soluciones como Kaspersky Managed Detection and Response (MDR), que cubren todo el ciclo de gestión de incidentes, desde la identificación de amenazas hasta la protección continua y la remediación.
• Establecer o fortalecer un Centro de Operaciones de Seguridad (SOC) para mejorar la capacidad de detección y respuesta frente a incidentes. Kaspersky ofrece servicios de consultoría para ayudar a las organizaciones a construir un SOC desde cero o mejorar sus operaciones de seguridad existentes.

La entrada Kaspersky alerta sobre malware Horabot en América Latina se publicó primero en ZonaCISO.