La campaña, denominada PassiveNeuron y que también afecta a entidades de Asia y África, fue observada por primera vez en diciembre de 2024 y se mantenía activa hasta agosto de 2025, con un sostenido interés en comprometer infraestructuras críticas de la región.

Luego de seis meses de inactividad, PassiveNeuron ha retomado con fuerza sus operaciones, utilizando principalmente tres herramientas, dos de ellas previamente desconocidas, para infiltrarse y mantener acceso persistente en las redes comprometidas.

Estas herramientas son Neursite, una puerta trasera modular; NeuralExecutor, un implante basado en .NET; y Cobalt Strike, un marco de pruebas de penetración empleado frecuentemente por ciberatacantes.

Neursite opera como una puerta trasera mediante la cual los atacantes obtienen datos sobre los sistemas afectados y se mueven dentro de las redes comprometidas, aprovechando los equipos infectados para acceder a otros recursos críticos. Los investigadores detectaron que en algunos casos esta herramienta se comunicaba tanto con servidores externos controlados por los atacantes como con otros sistemas internos comprometidos.

NeuralExecutor, por su parte, es un componente que descarga y ejecuta instrucciones o archivos adicionales enviados remotamente por los atacantes, lo que le permite expandir sus funciones y adaptarse a distintos entornos, incrementando así su eficacia para mantener el control sobre los sistemas infectados.

“PassiveNeuron destaca por su enfoque en comprometer servidores, que a menudo son la columna vertebral de las redes organizacionales. Los servidores expuestos a Internet son objetivos especialmente atractivos para los grupos de amenazas persistentes avanzadas (APT), ya que un solo host comprometido puede otorgar acceso a sistemas críticos. Por ello, es esencial minimizar la superficie de ataque relacionada con ellos y monitorear continuamente las aplicaciones de servidor para detectar y detener posibles infecciones”, indica Fabio Assolini, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

El equipo de GReAT detectó que ciertas partes del código contenían nombres de funciones escritos con caracteres cirílicos, aparentemente introducidos intencionalmente por los atacantes. Este tipo de elementos, conocidos como falsas banderas o false flag, se usan para confundir a los analistas y que atribuyan el ataque a otros grupos o regiones.

Según las tácticas y técnicas observadas, Kaspersky considera con bajo nivel de confianza que la campaña de ciberespionaje podría relacionarse con un actor de amenazas de habla china. La compañía había identificado previamente actividad de PassiveNeuron, a comienzos del año pasado, describiendo la operación como altamente sofisticada y destinada a evadir la detección.

Esta modalidad de ataques representa un serio riesgo para las organizaciones, pues los servidores comprometidos pueden emplearse para acceder a información confidencial, modificar procesos internos o interrumpir operaciones críticas. “Al tratarse de equipos que suelen actuar como núcleo de las infraestructuras corporativas, un compromiso en estos sistemas puede abrir la puerta a una infiltración profunda y sostenida dentro de la red, permitiendo a los atacantes moverse lateralmente, instalar nuevas herramientas maliciosas y mantener el control durante largos periodos sin ser detectados”, destaca Assolini.

Junto con el impacto técnico, las consecuencias para las empresas pueden ser operativas, financieras y reputacionales. La pérdida de datos sensibles, la interrupción de servicios o el uso de los servidores comprometidos como entrada para atacar a socios o clientes puede provocar importantes daños y poner en riesgo la confianza en la organización.

A modo de prevención contra este tipo de ataques dirigidos en el marco de campañas de ciberespionaje contra organizaciones gubernamentales, los expertos de Kaspersky recomiendan:

•             Potencie la protección de los servidores y redes internas. Mantener los sistemas actualizados, limitar el acceso a los servicios expuestos a Internet y aplicar políticas estrictas de contraseñas y autenticación puede reducir significativamente las oportunidades de ataque.

•             Anime la colaboración entre las áreas técnicas y de gestión. La seguridad no debe limitarse al departamento de TI: toda la organización debe conocer los protocolos básicos para reportar y actuar frente a posibles amenazas.

•             Difunda la formación y la conciencia en seguridad. Muchos incidentes comienzan con un simple correo de phishing o una técnica de ingeniería social. Capacitar a los empleados para reconocer mensajes sospechosos, enlaces falsos o archivos adjuntos maliciosos es una de las medidas más efectivas para evitar intrusiones.

•             Integre inteligencia de amenazas para optimizar la toma de decisiones en seguridad. Disponer de información verificada sobre los actores, tácticas y herramientas que se usan en ataques reales permite a las organizaciones anticiparse y responder con mayor precisión. La Inteligencia de Amenazas de Kaspersky reúne conocimiento global y análisis expertos que ayudan a los equipos de seguridad a priorizar riesgos, detectar comportamientos sospechosos y potenciar sus defensas antes de que se produzca un incidente.

La entrada Detectan campaña de ciberespionaje que busca infiltrarse en redes corporativas y gubernamentales se publicó primero en ZonaCISO.

Actualmente, las APIs (Interfaces de Programación de Aplicaciones) son el motor de la economía digital, permitiendo la integración entre sistemas, la habilitación de servicios para clientes y socios, y la innovación en múltiples industrias. Sin embargo, el nuevo estudio de Entel Digital “Amenazas a APIs 2025: Riesgos y vectores clave”, muestra que esta conectividad ha convertido a las APIs en un vector de riesgo prioritario, donde cada endpoint expuesto puede transformarse en una puerta de entrada a datos sensibles y procesos críticos de negocio.

En Chile, el reporte establece que se ha observado un crecimiento sostenido en iniciativas de integración API tanto en sectores públicos como privados. Impulsando, por ejemplo, la implementación del Sistema de Finanzas Abiertas (SFA) también conocido como “open banking”, lo cual será regulado bajo la Ley Fintech.

Además, la nueva Ley de Protección de Datos Personales está elevando el nivel de escrutinio sobre el manejo seguro de datos personales a través de APIs, lo que incrementa los riesgos regulatorios y financieros para las empresas que no adopten controles robustos. La falta de validaciones y controles adecuados expone información personal identificable (PII) y credenciales. Un ejemplo de esto es el incidente ocurrido en el sector asegurador donde se filtraron más de 650.000 correos electrónicos.

Luis Elola, subgerente de productos de ciberseguridad de Entel Digital sostiene que “hay cuatro elementos para fomentar la seguridad de las APIs: implementar monitoreo y descubrimiento continuo con análisis de comportamiento para detectar datos sensibles expuestos y patrones anómalos; aplicar controles de validación “enforcement” de políticas de seguridad y lógica de negocio a nivel de servidor (llevar a las API a un modelo positivo de seguridad); usar mecanismos de “rate limiting” inteligentes y segmentados; e incluir pruebas específicas de abuso de lógica en procesos de pentesting y auditorías de seguridad.”

Impacto de APIs de terceros

El informe “Amenazas a APIs 2025: Riesgos y vectores clave” resalta también el riesgo que representa para las empresas las APIs de terceros. Muchas de estas APIs de terceros pueden carecer de estándares de seguridad rigurosos o quedar fuera de las políticas de monitoreo, convirtiéndose en puntos débiles expuestos a ser explotados para acceder a datos sensibles o interrumpir servicios críticos.

Elola sostiene que “para mitigar estos riesgos se recomienda mantener un inventario actualizado de todas las integraciones de terceros; realizar evaluaciones periódicas de riesgo, priorizando las APIs que manejan datos críticos; implementar controles de acceso de mínimo privilegio y monitoreo continuo con alertas ante comportamientos sospechosos; y establecer acuerdos de nivel de servicio (SLA) con proveedores que garanticen el cumplimiento de estándares de seguridad.”

IA Generativa

La adopción de IA Generativa en entornos productivos ha incrementado el uso de APIs para la integración de modelos como OpenAI, Google Gemini e IBM Watson, ampliando la superficie de ataque y generando preocupaciones sobre la protección de datos sensibles y la integridad de los flujos automatizados.

De acuerdo con cifras compartidas por Entel Digital, a 60% de los ejecutivos les preocupa que se filtren datos a través de las APIs por la IA Generativa y el crecimiento de la superficie de ataque por esta tecnología.

Luis Elola concluye que “mirando hacia el año 2026, la acelerada adopción de arquitecturas basadas en microservicios y servicios digitales exige un enfoque de seguridad “by design”, integrando descubrimiento y clasificación de datos sensibles de manera automática, monitoreo en tiempo real, análisis de comportamiento y controles Zero Trust en todas las etapas del ciclo de vida de las APIs. Asimismo, la gestión de la seguridad en APIs debe ser considerada como una prioridad estratégica que combine tecnología avanzada, automatización de controles y capacitación continua, permitiendo así reducir riesgos regulatorios y operativos, proteger datos sensibles y mantener la resiliencia en un entorno digital cada vez más interconectado.”

La entrada APIs se han convertido en un vector de riesgo prioritario para las empresas se publicó primero en ZonaCISO.