Según un estudio regional de la certificadora G-Certi, el 68% de las empresas en América Latina sufrió al menos un incidente grave de seguridad en 2025, con un costo promedio de US$4,2 millones por brecha.

La misma investigación muestra que aquellas organizaciones que poseen certificación ISO 27001 vigente tienen un 62% menos de impacto financiero, 71% menos de tiempo de inactividad, una diferencia que refuerza la importancia de contar con marcos robustos de ciberseguridad y gestión de riesgos.

En ese contexto, Redvoiss anunció la obtención de la certificación ISO/IEC 27001:2022, “un importante hito que reafirma nuestro compromiso con la seguridad de la información. Los objetivos son concretos: proteger la confidencialidad de los datos personales y comerciales, garantizar la integridad de la información evitando alteraciones no autorizadas, y asegurar la disponibilidad de los sistemas cuando se necesiten”, señala David Iacobucci, CEO de la empresa.

La norma internacional ISO 27001 define los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI) basado en riesgo. Su adopción permite a las empresas identificar amenazas y controles exhaustivos.

Iacobucci destaca que esta certificación “fortalece la identificación de amenazas y vulnerabilidades cibernéticas antes de que ocurran, ayuda a cumplir leyes locales e internacionales de protección de datos, y demuestra a clientes y socios un compromiso serio con la seguridad, en un entorno cada vez más exigente”.

La certificación también adquiere especial relevancia en un escenario marcado por la próxima entrada en vigencia de la nueva Ley de Protección de Datos en Chile, en diciembre de este año. En ese marco, enfoques sistemáticos como ISO 27001 permiten a las empresas demostrar la disponibilidad, integridad y confidencialidad de su información, reduciendo la exposición a incidentes y vulneraciones de seguridad.

En un contexto donde las ciberamenazas, el procesamiento de datos y la Inteligencia Artificial crecen exponencialmente, contar con un marco robusto como ISO 27001 no solamente reduce riesgos financieros, sino que también refuerza la confianza del entorno.

Para el ejecutivo de Redvoiss este es sólo el comienzo; “seguiremos impulsando la excelencia operativa para proteger la información y contribuir a un ecosistema cada vez más seguro”.

La entrada Redvoiss recibe la certificación ISO 27001 se publicó primero en ZonaCISO.

El CyberDay Chile 2026 ya tiene fecha oficial y se realizará desde la medianoche del lunes 1 de junio hasta el miércoles 3 de junio. Organizado por la Cámara de Comercio de Santiago (CCS), el evento reunirá a cientos de marcas con ofertas y descuentos en categorías como tecnología, moda, hogar y viajes, generando uno de los períodos de mayor actividad para el comercio electrónico en el país.

Sin embargo, el aumento de las compras online y de las entregas a domicilio durante este gran evento de ventas online, también abre espacio para nuevas modalidades de fraude. Investigadores de Kaspersky advierten sobre estafas que aprovechan el alto flujo de pedidos asociados a este tipo de eventos, mediante el envío de paquetes falsos a consumidores.

Según explican, los ciberdelincuentes utilizan bases de datos filtradas para enviar encomiendas que incluyen códigos QR maliciosos. Al escanearlos desde sus teléfonos móviles, las víctimas son dirigidas a sitios fraudulentos donde pueden exponer su información personal y bancaria, e incluso ser inducidos a instalar de malware en sus dispositivos.

Los delincuentes utilizan los nombres y direcciones postales registrados en estas bases de datos para crear cuentas en plataformas de comercio electrónico y hacer pedidos, aunque vinculan sus propios correos electrónicos y métodos de pago para no levantar sospechas. Al llegar, el paquete incluye una tarjeta o pegatina con un código QR y un mensaje engañoso diseñado para generar curiosidad, cómo: “¡Recibiste un regalo! Escanea para saber quién lo envió” o “Deja una reseña y obtén una tarjeta de regalo de 100 dólares”.

Sin embargo, detrás de este amigable mensaje se oculta una trampa de quishing (phishing a través de códigos QR): si la víctima escanea el código, es dirigida a un sitio web malicioso donde se la persuade a ingresar sus datos de pago o códigos de verificación de sus apps bancarias con el fin de “activar” la supuesta tarjeta de regalo. En otras ocasiones, también se pide instalar una aplicación para confirmar la recepción del paquete y conocer al remitente, pero en realidad es malware disfrazado para acceder y tomar el control del dispositivo.

El nivel de riesgo es alarmante debido al desconocimiento de este tipo de amenazas, pues de acuerdo con un estudio de Kaspersky, 41% de los chilenos no sabe que los códigos QR falsos pueden ser la llave para ataques contra sus cuentas de banca en línea. Además, el origen de esta amenaza evidencia un problema previo de privacidad: si estás recibiendo estos paquetes, significa que tu dirección y otra información de contacto se filtraron en bases de datos y están circulando en foros clandestinos.

“Durante el CyberDay, que es el evento de compras online más importante del año en Chile, aumenta considerablemente la cantidad de envíos y eso también es aprovechado por los ciberdelincuentes para intentar engañar a las personas. Hoy existen estafas donde los usuarios reciben paquetes que nunca compraron o mensajes asociados a supuestas entregas, buscando generar confianza y urgencia para que escaneen códigos QR o ingresen a enlaces maliciosos. El principal riesgo es que muchas veces las víctimas creen que se trata de un error menor o de un envío promocional, cuando en realidad sus datos personales ya están siendo utilizados para fraudes más sofisticados. En este tipo de eventos, la recomendación es desconfiar de cualquier entrega inesperada y verificar siempre la información directamente con el comercio oficial”, explica Leandro Cuozzo, investigador de seguridad en el Equipo Global de Investigación y Análisis para América Kaspersky.

Para evitar ser víctima de este tipo de fraude durante CyberDay y el resto del año, los expertos de Kaspersky recomiendan:

• Desconfía de cualquier paquete no esperado: no lo abras rápidamente. Antes revisa con cuidado las etiquetas, la empresa de mensajería y el nombre de quien lo envía. Si nadie en tu hogar realizó la compra y no esperas obsequios, considéralo como sospechoso.
• Valida la autenticación del envío: si el paquete se entregó mediante un servicio de mensajería conocido y tiene un número de rastreo, visita el sitio web oficial de la empresa e ingrésalo manualmente. Usa sus canales de contacto legítimos, como el chat o teléfono, para confirmar la información del remitente y el estado real de la entrega.
• Nunca escanees códigos QR de origen dudoso y protege tus datos: los códigos impresos en tarjetas de regalo, avisos de entrega fallida o promociones sorpresa dentro de paquetes no solicitados suelen ser trampas. Sospecha si te piden compartir información sensible, descargar aplicaciones o pagar supuestos “impuestos de aduana” o “tarifas de envío”.
• Denuncia el envío sospechoso: repórtalo ante la empresa de entrega a domicilio y las autoridades correspondientes, incluso si no te robaron dinero. Toma fotos del empaque y de la guía, y conserva el paquete físico como evidencia para futuras investigaciones.
• Utiliza una solución de seguridad robusta: contar con un software de ciberseguridad confiable en tu dispositivo móvil, como Kaspersky Premium, es vital. Estas herramientas incluyen protección contra phishing y analizan enlaces en tiempo real, advirtiéndote y bloqueando cualquier amenaza antes de que comprometa tu información personal y financiera.

La entrada Quishing en CyberDay: Kaspersky lanza alerta para Chile se publicó primero en ZonaCISO.

ESET, compañía líder en detección proactiva de amenazas, anuncia el nombramiento de Giuliana Ravenna como su nueva channel manager, siendo así la responsable de la gestión y desarrollo del ecosistema de canales de la organización para Chile y Argentina.

A partir de esta designación, la ejecutiva buscará continuar desarrollando estrategias para seguir con el crecimiento sostenido de la compañía, mientras potencia la red de socios de negocios. Su labor será fundamental para posicionar las soluciones de seguridad en diversos segmentos, trabajando de forma coordinada con la cadena de distribución.

“El nombramiento de Giuliana responde a la necesidad de optimizar y profundizar nuestra estrategia de canales en Chile, un mercado en el que vemos muy buenas proyecciones de crecimiento y oportunidades a futuro. Su experiencia en la gestión comercial de territorios como Argentina, Uruguay, Paraguay y Bolivia será clave para trabajar aún más cerca de nuestros partners, brindando mayor apoyo, foco y acompañamiento en el día a día. Buscamos potenciar el crecimiento de nuestros canales actuales, fortalecer su desarrollo y, al mismo tiempo, avanzar en la incorporación de nuevos socios que nos permitan seguir expandiendo nuestra presencia y generando nuevas oportunidades en estos mercados clave”, menciona Augusto Bainotti, director de ventas de ESET Latinoamérica.

Previo a esta posición, la ejecutiva se desempeñó en el área de Inside Sales donde fue responsable de la gestión comercial de la cartera de clientes activos, enfocándose en métricas de retención y expansión de cuentas a través de procesos de upgrades y cross-sell. Esta experiencia le permitió profundizar su conocimiento sobre la interacción operativa entre la marca, los distribuidores y el cliente final.

La trayectoria de Ravenna en el sector tecnológico se basa en una sólida experiencia profesional, la cual ha complementado con su formación académica técnica, lo que le permite tener una visión integral de las necesidades de seguridad informática de las empresas actuales.

“Asumo este nuevo desafío con entusiasmo y el compromiso de continuar fortaleciendo nuestro ecosistema de canales. Mi principal objetivo es que nuestros partners nos vean como un aliado estratégico para el crecimiento de sus negocios, trabajando en conjunto para llevar soluciones de seguridad a más organizaciones, sobre todo con la Ley Marco en Ciberseguridad y la próxima Ley de Protección de Datos Personales chilena”, asegura Giuliana Ravenna, channel manager para Argentina y Chile de ESET Latinoamérica.

La entrada ESET nombra nueva channel manager para Chile se publicó primero en ZonaCISO.

La norma no es nueva. La CMF la emitió el 17 de junio de 2025, hace casi un año. El plazo de transición fue diseñado para dar tiempo suficiente. La pregunta que deben responder los CISOs del sector financiero esta semana es directa: ¿está tu institución lista o no?

Qué exige la NCG 538

La autenticación reforzada implica validar la identidad del cliente mediante al menos dos factores independientes: algo que sabe (contraseña), algo que tiene (dispositivo) y algo que es (biometría — huella dactilar, reconocimiento facial, voz). Para operaciones de bajo riesgo, la combinación mínima es contraseña más dispositivo. Para transferencias de montos significativos o cambios de datos críticos, la norma empuja hacia la incorporación del factor biométrico.

Lo que la CMF deja en claro en sus considerandos es el contexto que justifica la urgencia: el fraude digital impulsado por IA está erosionando la efectividad de los mecanismos tradicionales. Los sistemas de phishing de nueva generación pueden capturar credenciales en tiempo real. Las tarjetas de coordenadas, que durante años fueron el estándar, son hoy un control insuficiente frente a ataques automatizados.

Según datos del informe de Endeavor Data Unit e Incode Technologies, Chile registró más de 27.600 millones de intentos de ciberataque en 2025, con la banca entre los principales blancos. El costo promedio de una filtración en el país alcanza US$ 3,81 millones. Ese es el escenario de riesgo que la NCG 538 busca mitigar.

La excepción que no es una salida

En marzo de 2026, la CMF puso en consulta una modificación puntual a la norma: permitir que grupos específicos de clientes con dificultades de adopción tecnológica — adultos mayores, personas con limitaciones de accesibilidad o desplazamiento — sigan utilizando tarjetas de coordenadas transitoriamente. Sin embargo, esta excepción no posterga el deadline ni reduce la obligación central. Las instituciones que opten por mantener este grupo deberán informarlo a la CMF antes del 1 de agosto, con justificación documentada, criterios objetivos y cifras exactas de los clientes incluidos.

Dicho de otro modo: la excepción genera su propia carga de cumplimiento. No es una puerta trasera para quienes no alcanzaron a implementar ARC.

Lo que el CISO debe verificar ahora

La NCG 538 no solo establece obligaciones técnicas sobre los sistemas de autenticación. También transfiere la responsabilidad a la institución financiera cuando utiliza soluciones tecnológicas de terceros para cumplir con la norma. El proveedor puede fallar — la obligación regulatoria no se delega.

Los equipos de seguridad y cumplimiento deben responder, como mínimo, tres preguntas antes del 1 de agosto: primero, ¿todos los flujos de operaciones críticas están cubiertos por ARC, o hay canales (web, app móvil, sucursal digital) que aún operan con factores simples? Segundo, ¿la arquitectura de CIAM (Customer Identity and Access Management) está preparada para escalar con la demanda de agosto, cuando la norma entre en vigencia simultáneamente para todo el mercado? Tercero, ¿los contratos con proveedores de biometría o MFA establecen SLAs alineados con los requisitos de disponibilidad que exige la CMF?

Esta regulación es también una oportunidad para revisar la estrategia de identidad más allá del cumplimiento puntual. En un sector donde la IA genera vulnerabilidades que eluden el 2FA, el piso regulatorio de la NCG 538 es exactamente eso: un piso, no un techo. Y en un ecosistema donde el fraude digital se ha industrializado, las instituciones que solo corran a cumplir el mínimo estarán rezagadas antes de que termine el año.

El 1 de agosto llegará. La pregunta es si llegará con los sistemas listos o con el equipo jurídico redactando un plan de acción.

Fuente: CMF Chile — https://www.cmfchile.cl/normativa/ncg_538_2025.pdf

La entrada Autenticación reforzada CMF: el 1 de agosto no espera se publicó primero en ZonaCISO.

Ante la exigencia de rescate, Grafana se negó a pagar, citando la postura pública del FBI y la ausencia de cualquier garantía de recuperación real. La empresa confirmó que no hay evidencia de acceso a datos de clientes. Sin embargo, el robo del código fuente completo abre una ventana de riesgo indirecta: actores motivados pueden analizar ese código en busca de vulnerabilidades que todavía no han sido reportadas ni parcheadas en versiones actualmente en producción.

Megalodon: 5.718 ataques en seis horas

El caso Grafana no es un hecho aislado: es parte de un patrón. Investigadores documentaron la campaña “Megalodon”, que inyectó workflows de GitHub Actions maliciosos en 5.561 repositorios en apenas seis horas, con un volumen de 5.718 commits automatizados. Los payloads, codificados en base64, exfiltraban secretos de CI/CD, credenciales cloud, claves SSH y tokens OIDC hacia servidores externos. La velocidad y la escala del ataque representan un nuevo umbral en la automatización de ataques a la cadena de suministro de software.

Ambos incidentes comparten una raíz técnica común: la superficie de ataque de GitHub Actions, amplificada por configuraciones permisivas del GITHUB_TOKEN, ausencia de branch protection y falta de auditoría periódica de workflows. El riesgo de programar rápido sin controles de seguridad integrados es un patrón bien documentado en la industria: la presión por velocidad en los ciclos de desarrollo convierte estas configuraciones descuidadas en vectores de ataque activos.

La cadena de suministro de software

Grafana está instalado como plataforma de observabilidad y monitoreo en bancos, telcos y operadores de servicios esenciales en Chile. El robo del código fuente no genera impacto directo sobre instalaciones on-premise, pero acorta el tiempo disponible para que los equipos apliquen parches antes de que aparezca un exploit público basado en el código sustraído. La Ley Marco de Ciberseguridad (Ley 21.663) exige a los operadores de importancia vital gestión activa de vulnerabilidades sobre componentes de terceros, incluyendo plataformas de observabilidad y monitoreo.

El riesgo de Megalodon es más inmediato. Fintechs, áreas de desarrollo de la banca y startups tecnológicas chilenas trabajan en repositorios GitHub donde conviven workflows de CI/CD con credenciales que conectan directamente a infraestructura productiva en AWS, Azure o GCP. Un token OIDC comprometido puede traducirse en acceso a producción en minutos. La decisión de Grafana de no pagar se alinea con lo que los datos del mercado latinoamericano confirman sistemáticamente: el pago no garantiza recuperación y financia la siguiente operación.

Los controles que señalan los expertos

Los investigadores identifican tres controles prioritarios para organizaciones con prácticas DevOps. Primero, revisar y limitar los permisos del GITHUB_TOKEN en todos los workflows activos, deshabilitando push automático sobre ramas protegidas. Segundo, auditar todos los workflows agregados o modificados en las últimas dos semanas y rotar cualquier secreto expuesto en entornos de CI compartidos con repositorios públicos. Tercero, habilitar branch protection con required reviews en repositorios que contengan pipelines de despliegue a producción.

El dato más importante del incidente de Grafana no es el robo: es la detección. Los canary tokens alertaron cuando el daño ya estaba hecho, pero su ausencia habría dejado el compromiso invisible por semanas. Invertir en mecanismos de detección de exfiltración —incluyendo tokens trampa en secretos críticos— es tan urgente como blindar el acceso inicial.

Fuente: The Record / The Hacker News

La entrada Cadena de suministro de software: Grafana Labs rechaza rescate se publicó primero en ZonaCISO.

El Ejecutivo había propuesto a Joselyn Biermann, Roberto Godoy y Matías Larraguibel para integrar el consejo por 6, 4 y 2 años respectivamente. La Sala votó y los números no dieron: la agencia que debe fiscalizar el cumplimiento de la nueva ley de datos personales en Chile sigue sin cabeza a días del plazo legal.

Plazo que ya venció

La normativa que crea la agencia establece que su consejo debe estar constituido seis meses antes de la entrada en vigencia de la ley, fijada para diciembre de 2026. Ese plazo se cumple a fines de mayo, es decir, prácticamente ahora. En sesión, varios senadores plantearon la urgencia de resolver la situación: o se presenta una nueva terna, o se adecúa la normativa para ganar tiempo.

El presidente de la Comisión de Constitución, senador Pedro Araya, explicó que las comisiones unidas debieron además definir el quórum aplicable, porque la ley que crea la agencia exige 2/3, pero técnicamente no rige hasta diciembre. Por mayoría, las comisiones resolvieron que el umbral exigido es, de todas formas, dos tercios. En la Sala, ese umbral tampoco se alcanzó.

Tropiezos desde el inicio

El trámite arrastró dificultades desde el comienzo. Las comisiones unidas de Constitución y Economía tuvieron que sesionar dos veces: en la primera instancia se produjo un doble empate al evaluar si los candidatos cumplían los requisitos legales. Solo en la segunda sesión hubo mayoría para establecer que los tres profesionales satisfacían las exigencias y no presentaban inhabilidades ni incompatibilidades.

El ministro de la Secretaría General de la Presidencia, José García, advirtió durante esa segunda sesión de comisiones que conformar una terna válida es excepcionalmente difícil: la ley exige dedicación exclusiva al cargo y establece una larga lista de incompatibilidades que limita drásticamente el universo de candidatos posibles.

Lo que está en juego para las empresas

La Ley 21.719 de Protección de Datos Personales, promulgada en diciembre de 2024, moderniza el marco regulatorio chileno y tiene una vacancia de dos años. Para las empresas que operan en Chile —y que llevan meses trabajando en sus procesos de adecuación—, contar con una agencia operativa con autoridades designadas es fundamental: sin regulador, los criterios de fiscalización siguen sin definirse.

El rechazo senatorial tensiona el calendario de implementación. Con el plazo de mayo ya encima y el Congreso sin fecha para resolver, las organizaciones chilenas avanzan hacia el cumplimiento de una ley cuyo organismo fiscalizador aún no tiene directivos. El Senado deberá decidir en los próximos días si el Ejecutivo presenta una nueva propuesta o si se modifica la normativa para extender el plazo. Cualquiera de las dos salidas requiere velocidad.

Fuente: Senado de Chile — https://www.senado.cl/comunicaciones/noticias/desestiman-propuesta-de-consejeros-para-la-agencia-de-proteccion-de-datos

La entrada Chile sin regulador de datos: Senado rechaza terna presidencial se publicó primero en ZonaCISO.

El indicador que realmente importa es el de detección fallida: el 18% de las organizaciones chilenas no logró detectar ni contener el ataque más significativo del año antes de que causara daño. Eso posiciona a Chile como el quinto país con peor tasa de detección entre los 17 mercados encuestados, solo detrás de Brasil (21,6%), Suiza (21,1%), Japón (19,6%) y España (18,1%). En la práctica, casi dos de cada diez organizaciones chilenas que fueron atacadas no lo supieron a tiempo.

La detección: el problema más grave

El promedio global de organizaciones que no pudieron contener su ataque de identidad antes de sufrir daño fue de 14,4%. Chile está 3,6 puntos porcentuales por encima de ese umbral. La brecha parece menor en papel; no lo es en consecuencias.

Para las organizaciones que no logran detener el ataque, el costo promedio de recuperación alcanza US$ 1,64 millones, con una mediana de US$ 750.000. El 73% de estas organizaciones estimó costos de recuperación por sobre los US$ 250.000. Las consecuencias más frecuentes son robo de datos (48,8% de los casos), ransomware (48,4%) y extorsión (43,9%). En promedio, cada organización afectada reportó dos consecuencias distintas por incidente.

La brecha de detección también varía por tamaño de organización: el 19,4% de las empresas más pequeñas (100 a 250 empleados) no logró detectar el ataque a tiempo, frente al 11,3% de las medianas (1.001 a 3.000 empleados). En Chile, donde una parte importante de las organizaciones con infraestructura digital cae en el segmento menor, ese dato es directamente aplicable.

Por qué fallamos en identidad

Las causas raíz que explican el éxito de los ataques de identidad son consistentes globalmente: error humano (42,7% de los casos) y gestión débil de identidades no humanas, o NHI (40,6%). Las NHI incluyen cuentas de servicio, claves de API, tokens OAuth y agentes de IA autónomos — entidades que raramente se auditan con la misma rigurosidad que las cuentas humanas y que frecuentemente acumulan permisos amplios sin supervisión activa.

Los datos de higiene operativa revelan dónde está el problema de fondo: solo el 34% de las organizaciones rota o audita sus NHI con frecuencia semanal o mayor. Solo el 24% monitorea de forma continua los intentos de acceso inusuales. Y según Sophos X-Ops, en el 59,5% de los incidentes analizados por sus equipos de respuesta, la autenticación de múltiples factores (MFA) estaba ausente en el sistema afectado — una tecnología que lleva décadas disponible y que todavía no se despliega de forma consistente.

Las organizaciones con gestión débil de NHI también pagan un precio financiero adicional: su costo de recuperación es US$ 147.000 más alto que el promedio, son un 27,9% más propensas a sufrir desvío de pagos y un 24,4% más propensas a ser extorsionadas. Y hay un dato que conecta todo el ecosistema de riesgo: el 67% de las víctimas de ransomware confirmó que el incidente de cifrado fue el mismo evento que su ataque de identidad más significativo. La identidad comprometida no es un problema paralelo — es la puerta de entrada del ransomware.

Sectores chilenos más expuestos

A nivel global, los sectores con mayor tasa de brechas de identidad son energía y utilities (80,3%), gobierno central (78,4%), construcción (76,1%), manufactura (73,6%) y servicios financieros (71%). Todos tienen representación relevante en Chile, y los más críticos operan bajo marcos regulatorios que activan obligaciones concretas.

Bajo la Ley Marco de Ciberseguridad (Ley 21.663), las organizaciones de infraestructura crítica — energía, telecomunicaciones, banca y servicios del Estado — deben notificar incidentes al CSIRT Nacional dentro de las tres horas desde que toman conocimiento. Una organización que cae en el 18% que no detecta su brecha a tiempo no solo absorbe más daño: también arriesga incumplir sus obligaciones regulatorias. Las dos palancas que el informe de Sophos hace urgentes son PAM (Privileged Access Management) para el control de accesos privilegiados y MFA resistente a phishing para las cuentas críticas. Para los CISOs en Chile, el punto de partida es más básico aún: saber cuántas identidades no humanas tiene la organización. La mayoría no lo sabe.

Fuente: Sophos

La entrada Brechas de identidad en Chile: el 18% no las detectó se publicó primero en ZonaCISO.

En el marco del Día Internacional contra el Ransomware, que se conmemora el 12 de mayo, Kaspersky presentó un informe con una visión general de las tendencias que marcaron 2025 y un análisis de lo que se espera en el panorama de amenazas para 2026. La investigación revela que luego de América Latina, Asia-Pacífico es la región más afectada con 8% de las empresas vulneradas por ataques de ransomware, seguida por África con 7.62%, Medio Oriente con 7.27%, la Comunidad de Estados Independientes con 5.91% y Europa con 3.82% de instituciones perjudicadas.

A pesar de una ligera disminución en la proporción total de organizaciones afectadas por ransomware en 2025 en comparación con 2024, los usuarios siguen enfrentando un riesgo significativo, ya que los atacantes están industrializando sus operaciones, automatizando métodos de intrusión y enfocándose cada vez más en robar y filtrar datos sensibles, en lugar de limitarse a cifrar sistemas.

Una de las tendencias observadas en 2025 es el continuo aumento de los llamados “killers” de EDR (Endpoint Detection and Response), herramientas diseñadas específicamente para desactivar las soluciones de seguridad en los dispositivos antes de ejecutar el malware. Estos “EDR killers” se han convertido en un componente estándar de los ataques, lo que refleja intrusiones más deliberadas y metódicas.

Los investigadores también señalaron la aparición de familias de ransomware que adoptan estándares de criptografía postcuántica, una tendencia que Kaspersky ya había anticipado previamente. Este desarrollo indica un cambio preocupante hacia métodos de cifrado que podrían resistir futuros intentos de descifrado mediante computación cuántica.

El papel de los Initial Access Brokers (IABs) —intermediarios del cibercrimen que venden accesos corporativos previamente comprometidos a través de foros clandestinos y plataformas de mensajería— está en aumento. Los portales RDWeb (sitios web que permiten controlar dispositivos de forma remota) se están convirtiendo en objetivos cada vez más frecuentes, a medida que los grupos de ransomware continúan industrializando sus ataques mediante modelos de “Access-as-a-Service”. Como resultado, la barrera de entrada para lanzar ataques de ransomware sigue disminuyendo.

Grupos activos

Entre los grupos de ransomware más activos en 2025, con base en datos de sitios de filtración de información, Kaspersky identificó a Qilin como el operador dominante bajo el modelo de ransomware-as-a-service (RaaS), tras la interrupción de las operaciones de RansomHub. Clop se ubicó como el segundo grupo más activo, seguido por Akira en tercer lugar.

Proporción de víctimas por grupo de ransomware según sus sitios de filtración de datos (DLS), como porcentaje del total de víctimas reportadas por todos los grupos en 2025.

Si bien varios de los principales grupos de ransomware cesaron operaciones en 2025, continúan surgiendo nuevos actores. De cara a 2026, The Gentlemen se perfila como uno de los grupos emergentes más relevantes debido a su rápido crecimiento, operaciones estructuradas y un enfoque cada vez mayor en la extorsión centrada en datos. Es posible que este grupo incluya atacantes previamente vinculados a otras operaciones importantes de ransomware.

The Gentlemen ejemplifica un cambio más amplio en el ecosistema del ransomware, alejándose de campañas caóticas y de alto ruido hacia modelos de extorsión más escalables y con lógica empresarial, enfocados principalmente en el robo de información sensible, así como en ejercer presión reputacional y regulatoria, en lugar de depender exclusivamente del cifrado disruptivo de archivos.

“El ransomware ha evolucionado hasta convertirse en un ecosistema altamente organizado, enfocado en monetizar datos robados, desactivar defensas y escalar ataques con una eficiencia similar a la de un negocio. Los actores de amenazas se están adaptando rápidamente, utilizando herramientas legítimas como armas, explotando infraestructuras de acceso remoto e incluso adoptando criptografía postcuántica mucho antes de lo esperado. El propósito del Día Mundial contra el Ransomware es generar conciencia global sobre las amenazas que representa este tipo de ataques y promover mejores prácticas de prevención y respuesta. Por ello, instamos a empresas y todos los usuarios a mantenerse protegidos, implementar defensas en capas, invertir en respaldos de información y fortalecer sus niveles de cultura digital para hacer frente a estos ataques”, comenta Fabio Assolini, investigador líder en Seguridad para América Latina en Kaspersky.

En el Día Mundial contra el Ransomware y más allá, los expertos de Kaspersky recomiendan a las organizaciones seguir estas buenas prácticas para protegerse frente a este tipo de ataques:

• Activar la protección contra ransomware en todos los endpoints. Existe una herramienta gratuita, Kaspersky Anti-Ransomware Tool for Business, que protege computadoras y servidores frente a ransomware y otros tipos de malware, previene exploits y es compatible con soluciones de seguridad ya instaladas.
• Mantener siempre actualizado el software en todos los dispositivos que se utilicen para evitar que los atacantes exploten vulnerabilidades y se infiltren en su red.
• Enfocar su estrategia de defensa en la detección de movimientos laterales y la exfiltración de datos hacia internet. Es importanteprestar atención al tráfico saliente para identificar posibles conexiones de ciberdelincuentes a su red; así como configurar copias de seguridad fuera de línea que no puedan ser manipuladas por intrusos y asegurarse de poder acceder a ellas rápidamente cuando sea necesario o en caso de emergencia.
• Las empresas de sectores no industriales pueden protegerse implementando soluciones anti-APT y EDR, que permiten capacidades avanzadas para la detección de amenazas, la investigación y la remediación oportuna de incidentes. Asimismo, las organizaciones pueden proporcionar a sus equipos SOC acceso a la información de inteligencia de amenazas más reciente y fortalecer continuamente sus habilidades mediante capacitación profesional. Todo lo anterior está disponible dentro de Kaspersky Next.

El reporte completo puede encontrarlo en Securelist.

La entrada Kaspersky: ransomware lidera ataques en América Latina se publicó primero en ZonaCISO.

El ataque fue frenado antes de ejecutarse. La intervención proactiva de GTIG —que coordinó la divulgación responsable con el proveedor afectado— habría impedido la campaña planificada. Pero el hallazgo tiene un peso que va más allá del incidente puntual: la IA ya está siendo usada para descubrir y armar vulnerabilidades de día cero, no como hipótesis futura sino como práctica documentada en el ecosistema del cibercrimen organizado.

La atribución al uso de IA no es directa sino de alta confianza. GTIG señala que, aunque no cree que Gemini haya sido utilizado, la estructura del código delata la autoría de un modelo de lenguaje: comentarios educativos que explican el código paso a paso, un puntaje CVSS alucinado incluido como si fuera real, y un estilo Python “de manual de texto” altamente característico de los datos de entrenamiento de los grandes modelos de lenguaje.

Día cero que burla el 2FA

Esta vulnerabilidad de día cero que elude el 2FA no sigue los patrones que detectan las herramientas de análisis tradicionales. No hay corrupción de memoria ni sanitización de entradas deficiente. El fallo es un error semántico de lógica de alto nivel: el desarrollador codificó de forma fija una excepción de confianza que contradice la lógica de aplicación del doble factor en el resto del sistema. La evasión además requiere credenciales válidas del usuario objetivo, lo que la sitúa en cadenas de ataque más sofisticadas.

Las herramientas de análisis estático están optimizadas para detectar crashes y flujos de datos. Esta clase de fallo no produce ninguno. Los modelos de lenguaje de frontera, en cambio, realizan razonamiento contextual: leen la intención del desarrollador y correlacionan la lógica de aplicación del 2FA con las contradicciones de sus excepciones codificadas. Esa capacidad de identificar lo que está “estratégicamente roto pero funcionalmente correcto” es exactamente el diferenciador que hace a la IA especialmente peligrosa para descubrir este tipo de fallas.

Chile y la Ley 21.663 ante este riesgo

En Chile, el 2FA es un control de seguridad explícitamente recomendado bajo los marcos normativos derivados de la Ley Marco de Ciberseguridad (Ley 21.663) y forma parte de los controles mínimos esperados por la CMF para entidades del sector financiero. El hallazgo de GTIG no invalida el 2FA como control, pero obliga a reconsiderar su jerarquía dentro de la arquitectura de identidad y su suficiencia como única barrera para accesos críticos.

El CSIRT Nacional y la ANCI no han emitido una alerta específica sobre este vector al cierre de este artículo. Sin embargo, el reporte tiene implicancias directas para cualquier organización chilena que utilice herramientas de administración de sistemas open source con acceso expuesto a internet, categoría frecuente en entornos de TI corporativos y de gobierno.

La recomendación no es desactivar el 2FA, sino entender sus límites y complementarlo. Los estándares FIDO2/WebAuthn y las passkeys son resistentes estructuralmente a este tipo de vulnerabilidad de día cero porque la clave de autenticación nunca abandona el dispositivo del usuario y no depende de lógica de servidor que pueda contener excepciones codificadas.

Tres acciones concretas: revisar qué herramientas de administración de sistemas están expuestas a internet con 2FA como único control de acceso; verificar el estado de actualizaciones en herramientas open source de administración de servidores; evaluar la migración a FIDO2 para los accesos más críticos. La vulnerabilidad fue frenada esta vez. La capacidad ya existe.

Fuente: Google Threat Intelligence Group — https://cloud.google.com/blog/topics/threat-intelligence/ai-vulnerability-exploitation-initial-access

La entrada GTIG: IA crea vulnerabilidad día cero que elude el 2FA se publicó primero en ZonaCISO.

El phishing cumplimiento regulatorio llegó disfrazado de comunicaciones internas de conducta corporativa. Los correos usaban nombres como “Internal Regulatory COC” y “Workforce Communications”, con asuntos como “Internal case log issued under conduct policy”. Para reforzar credibilidad, los mensajes incluían avisos de que el contenido había sido “revisado y aprobado por un canal interno autorizado” y usaban el logo de Paubox —un servicio legítimo de comunicaciones conformes con HIPAA— creando la apariencia de un proceso oficial de cumplimiento de salud.

Cómo opera el ataque AiTM

La cadena de ataque tenía cinco etapas diseñadas para filtrar defensas automatizadas y presionar al usuario. El correo incluía un PDF con el “expediente del caso de conducta” y un enlace de “Revisar materiales del caso”. Ese enlace llevaba a una página con un CAPTCHA de Cloudflare, seguido de una página intermedia que solicitaba autenticación, un segundo CAPTCHA de imágenes, y finalmente la pantalla de inicio de sesión real de Microsoft.

Esa pantalla era legítima —y ese es el punto crítico. Los atacantes no montaron una página falsa de login: instalaron un proxy entre el usuario y Microsoft. Cuando la víctima completaba su autenticación con MFA incluido, el atacante capturaba el token de sesión resultante en tiempo real, obteniendo acceso directo a la cuenta sin necesitar la contraseña ni el segundo factor. El MFA por SMS, TOTP o notificación push no protege contra esta clase de ataque.

Phishing cumplimiento regulatorio en Chile

Los sectores más afectados por la campaña son de alta relevancia en Chile: salud y ciencias de la vida (19% de los objetivos), servicios financieros (18%), servicios profesionales (11%) y tecnología y software (11%). Las clínicas, isapres, bancos y consultoras chilenas con infraestructura Microsoft 365 son exactamente el perfil que esta campaña apuntó.

La dimensión local tiene un agravante específico. La implementación de la Ley Marco de Ciberseguridad (Ley 21.663) y la Ley 21.719 de Datos Personales está generando un volumen inusual de comunicaciones de cumplimiento hacia ejecutivos, equipos legales y responsables de seguridad. Ese contexto crea condiciones ideales para que un correo que simule una “revisión interna de conducta regulatoria” no active alarmas inmediatas, incluso en personas entrenadas.

El dato técnico más importante de esta campaña es que el MFA estándar no es suficiente frente a ataques AiTM. La única defensa efectiva es el MFA resistente a phishing: llaves de seguridad FIDO2, Windows Hello o passkeys, que vinculan criptográficamente la autenticación al dominio legítimo y no pueden ser interceptadas por un proxy. Las organizaciones que aún usan SMS u OTP deben asumir que ese control no las protege de esta clase de ataque.

La segunda medida urgente es incluir el escenario de “revisión de conducta corporativa” en los programas de simulación de phishing internos. Si los colaboradores no han visto un correo que llegue de “Workforce Communications” con un PDF adjunto y múltiples etapas de verificación, no están calibrados para detectarlo. Esta campaña —multicapa, con infraestructura legítima y urgencia emocional— no es una excepción: es el nuevo estándar de sofisticación.

Fuente: Microsoft Security Blog — https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/

La entrada Microsoft alerta de phishing de “cumplimiento regulatorio” se publicó primero en ZonaCISO.