Lumu Technologies, la compañía de ciberseguridad pionera en el modelo de Continuous Compromise Assessment®, presentó hoy su informe Compromise Report 2026, en el que identifica cuatro grandes tendencias de ciberseguridad asociadas al uso de herramientas y técnicas por parte de los delincuentes como: anonymizers, droppers y downloaders, infostealers y ransomware.

El informe evidencia un aumento sostenido de la actividad maliciosa en Latinoamérica, impulsado por la rápida digitalización de sectores estratégicos y brechas persistentes en los controles de seguridad. En Centroamérica y el Caribe, Gobierno (27,1%) y Telecomunicaciones (22,9%) concentran la mayor exposición a infostealers, mientras que en ransomware estos mismos sectores registran el mayor impacto, con 27,7% y 16,6%, respectivamente. En Sudamérica, Telecomunicaciones (22,1%) y Gobierno (17,5%) son los sectores más afectados por infostealers, mientras que el ransomware se dirige principalmente a Telecomunicaciones (23,3%) y Educación (23,3%). Por su parte, en México los sectores de Telecomunicaciones (22,2%) y Educación (20,2%) son los más impactados por infostealers, mientras que en ransomware los mayores niveles de afectación se concentran en Educación (35,7%) y Telecomunicaciones (32,1%).

“Este año hemos observado un cambio estratégico en los métodos de ataque, pasando de malware altamente visible a técnicas mucho más sigilosas. Ya no buscamos al enemigo en la puerta; debemos asumir que ya está dentro. Los atacantes han perfeccionado la capacidad de camuflar su actividad dentro de herramientas legítimas y del ruido normal de la red, sustituyendo la fuerza bruta por evasión basada en comportamiento, y favoreciendo el uso de anonymizers, DNS tunneling y dominios generados con IA”, afirmó Ricardo Villadiego, fundador y CEO de Lumu.

“Nuestro informe más reciente funciona como un plan de batalla para los líderes de seguridad, al desglosar la anatomía de estas nuevas amenazas invisibles, desde Keitaro hasta DeathRansom. Además, resalta la importancia del monitoreo continuo, la integración fluida de herramientas y el uso de inteligencia de amenazas accionable”, añade Villadiego.

El informe de Lumu revela que los atacantes han dejado atrás las brechas “ruidosas” para adoptar estrategias de evasión “lentas y silenciosas” (low-and-slow), dominando las tácticas de Living-off-the-Land y ocultándose dentro de herramientas ya existentes. Para ello, pueden utilizar VPNs, sistemas legítimos de distribución de tráfico o canales de DNS cifrado. El reporte señala que la evidencia más clara de este cambio se refleja en las Tactics, Techniques, and Procedures (TTPs).

Los datos del framework MITRE ATT&CK muestran una tendencia clara: los atacantes están priorizando la evasión por encima de todo. De forma notable, Command and Control (C2) ha reemplazado a “Execution” (ejecución de código o comandos dentro de la red) dentro de las tres principales TTPs, lo que indica un cambio de prioridades: los adversarios están menos enfocados en ejecutar código destructivo de inmediato y más en mantener un canal persistente y silencioso dentro de las redes, sin activar alertas

Entre los principales hallazgos del informe de Lumu se destacan:

• La anonimización se mantuvo durante todo el año como el Indicador de Compromisos (IoC) más detectado, consolidándose como una táctica fundamental.
• Los ‘anonymizers’ más detectados a nivel global incluyen servicios como Tor y VPNs privadas.
• Lumu detectó con mayor frecuencia el dropper Keitaro, un sistema de distribución de tráfico (TDS) legítimo utilizado por equipos de marketing para redirigir tráfico web, que los atacantes han construido para crear una especie de “alfombra roja” para el malware.
• A pesar de las acciones de desmantelamiento contra el infostealer Lumma Stealer, basado en el modelo malware-as-a-service (MaaS), los sensores de Lumu Technologies detectaron nuevas infecciones de Lumma, más resilientes, a finales de julio de 2025.
• Aunque Lumma sigue siendo dominante, el panorama evolucionó con la aparición de nuevos ladrones de credenciales financieras como MagentoCore, Remo y Ramnit.
• El ecosistema de ransomware en 2025 estuvo marcado por la fragmentación de grupos que se separaron de bandas grandes y conocidas, siendo DeathRansom el grupo más relevante.

Panorama de amenazas para Latinoamérica:

• DeathRansom se consolidó como la principal familia de ransomware en Latinoamérica, concentrando 62,5% de las detecciones en Centroamérica y el Caribe y 53,3% en Sudamérica, superando ampliamente a otros grupos como Interlock y MOvy / Maze Ransom.
• A nivel país, la mayor concentración de actividad asociada a DeathRansom se registraron en: Brasil (33,3%), Argentina (22,9%) y Colombia (20,8%) en Sudamérica; en Guatemala (46,7%), República Dominicana (13,3%) y Costa Rica (13,3%) en Centroamérica y el Caribe; y en México (42,9%) dentro de Norteamérica.
• En la región, Keitaro afectó principalmente a países como: Argentina (28,8%), Guatemala (37,5%) y México (32,8%)
• Las campañas de infostealers dominaron gran parte de la actividad maliciosa en la región, con Lumma Stealer como la familia más detectada tanto en Centroamérica y el Caribe (29,2%) como en Sudamérica (43,1%).

Para acceder al informe completo, visite Compromise Report 2026.

La entrada Reporte de Lumu revela giro a ciberataques más silenciosos y persistentes se publicó primero en ZonaCISO.

Los sistemas de detección de Kaspersky descubrieron un promedio de 500,000 archivos maliciosos al día en 2025, un 7% más que el año anterior. A nivel global, varias amenazas mostraron un repunte notable: las detecciones de ladrones de contraseñas crecieron 59%, las de software espía (spyware) aumentaron 51% y las de puertas traseras (backdoors) subieron 6% respecto a 2024. En América Latina, la tendencia también fue al alza: los backdoors aumentaron 24%, los ladrones de contraseñas 35% y el spyware 64%.

Estos hallazgos forman parte del Boletín de Seguridad de Kaspersky (KSB)[1], donde los expertos analizan las principales tendencias de ciberseguridad del último año.

De acuerdo con el análisis, Windows sigue siendo el principal objetivo de los ciberataques; el 48% de los usuarios de este sistema operativo fue blanco de distintos tipos de amenazas a lo largo de 2025. En el caso de los usuarios de Mac, la cifra es del 29%.

Amenazas web

A nivel mundial, el 27% de los usuarios fue víctima de ataques de amenazas web, es decir, malware que ataca cuando las personas están conectadas a Internet. Las amenazas web no se limitan a la actividad en línea, sino que requieren en algún punto conectarse a internet para completar la infección o causar daño.

Amenazas en dispositivos

El 33% de los usuarios sufrió ataques con amenazas en dispositivos. Estas incluyen malware que se propaga a través de unidades USB extraíbles, CD y DVD, o que inicialmente llega a una computadora en formatos no abiertos (por ejemplo, programas en instaladores complejos, archivos cifrados, etc.).

Tendencias regionales de 2024 a 2025 (detecciones de malware)

La entrada El cibercrimen en cifras: Kaspersky detectó medio millón de archivos maliciosos al día en 2025 se publicó primero en ZonaCISO.