Ante la exigencia de rescate, Grafana se negó a pagar, citando la postura pública del FBI y la ausencia de cualquier garantía de recuperación real. La empresa confirmó que no hay evidencia de acceso a datos de clientes. Sin embargo, el robo del código fuente completo abre una ventana de riesgo indirecta: actores motivados pueden analizar ese código en busca de vulnerabilidades que todavía no han sido reportadas ni parcheadas en versiones actualmente en producción.

Megalodon: 5.718 ataques en seis horas

El caso Grafana no es un hecho aislado: es parte de un patrón. Investigadores documentaron la campaña “Megalodon”, que inyectó workflows de GitHub Actions maliciosos en 5.561 repositorios en apenas seis horas, con un volumen de 5.718 commits automatizados. Los payloads, codificados en base64, exfiltraban secretos de CI/CD, credenciales cloud, claves SSH y tokens OIDC hacia servidores externos. La velocidad y la escala del ataque representan un nuevo umbral en la automatización de ataques a la cadena de suministro de software.

Ambos incidentes comparten una raíz técnica común: la superficie de ataque de GitHub Actions, amplificada por configuraciones permisivas del GITHUB_TOKEN, ausencia de branch protection y falta de auditoría periódica de workflows. El riesgo de programar rápido sin controles de seguridad integrados es un patrón bien documentado en la industria: la presión por velocidad en los ciclos de desarrollo convierte estas configuraciones descuidadas en vectores de ataque activos.

La cadena de suministro de software

Grafana está instalado como plataforma de observabilidad y monitoreo en bancos, telcos y operadores de servicios esenciales en Chile. El robo del código fuente no genera impacto directo sobre instalaciones on-premise, pero acorta el tiempo disponible para que los equipos apliquen parches antes de que aparezca un exploit público basado en el código sustraído. La Ley Marco de Ciberseguridad (Ley 21.663) exige a los operadores de importancia vital gestión activa de vulnerabilidades sobre componentes de terceros, incluyendo plataformas de observabilidad y monitoreo.

El riesgo de Megalodon es más inmediato. Fintechs, áreas de desarrollo de la banca y startups tecnológicas chilenas trabajan en repositorios GitHub donde conviven workflows de CI/CD con credenciales que conectan directamente a infraestructura productiva en AWS, Azure o GCP. Un token OIDC comprometido puede traducirse en acceso a producción en minutos. La decisión de Grafana de no pagar se alinea con lo que los datos del mercado latinoamericano confirman sistemáticamente: el pago no garantiza recuperación y financia la siguiente operación.

Los controles que señalan los expertos

Los investigadores identifican tres controles prioritarios para organizaciones con prácticas DevOps. Primero, revisar y limitar los permisos del GITHUB_TOKEN en todos los workflows activos, deshabilitando push automático sobre ramas protegidas. Segundo, auditar todos los workflows agregados o modificados en las últimas dos semanas y rotar cualquier secreto expuesto en entornos de CI compartidos con repositorios públicos. Tercero, habilitar branch protection con required reviews en repositorios que contengan pipelines de despliegue a producción.

El dato más importante del incidente de Grafana no es el robo: es la detección. Los canary tokens alertaron cuando el daño ya estaba hecho, pero su ausencia habría dejado el compromiso invisible por semanas. Invertir en mecanismos de detección de exfiltración —incluyendo tokens trampa en secretos críticos— es tan urgente como blindar el acceso inicial.

Fuente: The Record / The Hacker News

La entrada Cadena de suministro de software: Grafana Labs rechaza rescate se publicó primero en ZonaCISO.

El Ejecutivo había propuesto a Joselyn Biermann, Roberto Godoy y Matías Larraguibel para integrar el consejo por 6, 4 y 2 años respectivamente. La Sala votó y los números no dieron: la agencia que debe fiscalizar el cumplimiento de la nueva ley de datos personales en Chile sigue sin cabeza a días del plazo legal.

Plazo que ya venció

La normativa que crea la agencia establece que su consejo debe estar constituido seis meses antes de la entrada en vigencia de la ley, fijada para diciembre de 2026. Ese plazo se cumple a fines de mayo, es decir, prácticamente ahora. En sesión, varios senadores plantearon la urgencia de resolver la situación: o se presenta una nueva terna, o se adecúa la normativa para ganar tiempo.

El presidente de la Comisión de Constitución, senador Pedro Araya, explicó que las comisiones unidas debieron además definir el quórum aplicable, porque la ley que crea la agencia exige 2/3, pero técnicamente no rige hasta diciembre. Por mayoría, las comisiones resolvieron que el umbral exigido es, de todas formas, dos tercios. En la Sala, ese umbral tampoco se alcanzó.

Tropiezos desde el inicio

El trámite arrastró dificultades desde el comienzo. Las comisiones unidas de Constitución y Economía tuvieron que sesionar dos veces: en la primera instancia se produjo un doble empate al evaluar si los candidatos cumplían los requisitos legales. Solo en la segunda sesión hubo mayoría para establecer que los tres profesionales satisfacían las exigencias y no presentaban inhabilidades ni incompatibilidades.

El ministro de la Secretaría General de la Presidencia, José García, advirtió durante esa segunda sesión de comisiones que conformar una terna válida es excepcionalmente difícil: la ley exige dedicación exclusiva al cargo y establece una larga lista de incompatibilidades que limita drásticamente el universo de candidatos posibles.

Lo que está en juego para las empresas

La Ley 21.719 de Protección de Datos Personales, promulgada en diciembre de 2024, moderniza el marco regulatorio chileno y tiene una vacancia de dos años. Para las empresas que operan en Chile —y que llevan meses trabajando en sus procesos de adecuación—, contar con una agencia operativa con autoridades designadas es fundamental: sin regulador, los criterios de fiscalización siguen sin definirse.

El rechazo senatorial tensiona el calendario de implementación. Con el plazo de mayo ya encima y el Congreso sin fecha para resolver, las organizaciones chilenas avanzan hacia el cumplimiento de una ley cuyo organismo fiscalizador aún no tiene directivos. El Senado deberá decidir en los próximos días si el Ejecutivo presenta una nueva propuesta o si se modifica la normativa para extender el plazo. Cualquiera de las dos salidas requiere velocidad.

Fuente: Senado de Chile — https://www.senado.cl/comunicaciones/noticias/desestiman-propuesta-de-consejeros-para-la-agencia-de-proteccion-de-datos

La entrada Chile sin regulador de datos: Senado rechaza terna presidencial se publicó primero en ZonaCISO.

En el marco del Día Internacional contra el Ransomware, que se conmemora el 12 de mayo, Kaspersky presentó un informe con una visión general de las tendencias que marcaron 2025 y un análisis de lo que se espera en el panorama de amenazas para 2026. La investigación revela que luego de América Latina, Asia-Pacífico es la región más afectada con 8% de las empresas vulneradas por ataques de ransomware, seguida por África con 7.62%, Medio Oriente con 7.27%, la Comunidad de Estados Independientes con 5.91% y Europa con 3.82% de instituciones perjudicadas.

A pesar de una ligera disminución en la proporción total de organizaciones afectadas por ransomware en 2025 en comparación con 2024, los usuarios siguen enfrentando un riesgo significativo, ya que los atacantes están industrializando sus operaciones, automatizando métodos de intrusión y enfocándose cada vez más en robar y filtrar datos sensibles, en lugar de limitarse a cifrar sistemas.

Una de las tendencias observadas en 2025 es el continuo aumento de los llamados “killers” de EDR (Endpoint Detection and Response), herramientas diseñadas específicamente para desactivar las soluciones de seguridad en los dispositivos antes de ejecutar el malware. Estos “EDR killers” se han convertido en un componente estándar de los ataques, lo que refleja intrusiones más deliberadas y metódicas.

Los investigadores también señalaron la aparición de familias de ransomware que adoptan estándares de criptografía postcuántica, una tendencia que Kaspersky ya había anticipado previamente. Este desarrollo indica un cambio preocupante hacia métodos de cifrado que podrían resistir futuros intentos de descifrado mediante computación cuántica.

El papel de los Initial Access Brokers (IABs) —intermediarios del cibercrimen que venden accesos corporativos previamente comprometidos a través de foros clandestinos y plataformas de mensajería— está en aumento. Los portales RDWeb (sitios web que permiten controlar dispositivos de forma remota) se están convirtiendo en objetivos cada vez más frecuentes, a medida que los grupos de ransomware continúan industrializando sus ataques mediante modelos de “Access-as-a-Service”. Como resultado, la barrera de entrada para lanzar ataques de ransomware sigue disminuyendo.

Grupos activos

Entre los grupos de ransomware más activos en 2025, con base en datos de sitios de filtración de información, Kaspersky identificó a Qilin como el operador dominante bajo el modelo de ransomware-as-a-service (RaaS), tras la interrupción de las operaciones de RansomHub. Clop se ubicó como el segundo grupo más activo, seguido por Akira en tercer lugar.

Proporción de víctimas por grupo de ransomware según sus sitios de filtración de datos (DLS), como porcentaje del total de víctimas reportadas por todos los grupos en 2025.

Si bien varios de los principales grupos de ransomware cesaron operaciones en 2025, continúan surgiendo nuevos actores. De cara a 2026, The Gentlemen se perfila como uno de los grupos emergentes más relevantes debido a su rápido crecimiento, operaciones estructuradas y un enfoque cada vez mayor en la extorsión centrada en datos. Es posible que este grupo incluya atacantes previamente vinculados a otras operaciones importantes de ransomware.

The Gentlemen ejemplifica un cambio más amplio en el ecosistema del ransomware, alejándose de campañas caóticas y de alto ruido hacia modelos de extorsión más escalables y con lógica empresarial, enfocados principalmente en el robo de información sensible, así como en ejercer presión reputacional y regulatoria, en lugar de depender exclusivamente del cifrado disruptivo de archivos.

“El ransomware ha evolucionado hasta convertirse en un ecosistema altamente organizado, enfocado en monetizar datos robados, desactivar defensas y escalar ataques con una eficiencia similar a la de un negocio. Los actores de amenazas se están adaptando rápidamente, utilizando herramientas legítimas como armas, explotando infraestructuras de acceso remoto e incluso adoptando criptografía postcuántica mucho antes de lo esperado. El propósito del Día Mundial contra el Ransomware es generar conciencia global sobre las amenazas que representa este tipo de ataques y promover mejores prácticas de prevención y respuesta. Por ello, instamos a empresas y todos los usuarios a mantenerse protegidos, implementar defensas en capas, invertir en respaldos de información y fortalecer sus niveles de cultura digital para hacer frente a estos ataques”, comenta Fabio Assolini, investigador líder en Seguridad para América Latina en Kaspersky.

En el Día Mundial contra el Ransomware y más allá, los expertos de Kaspersky recomiendan a las organizaciones seguir estas buenas prácticas para protegerse frente a este tipo de ataques:

• Activar la protección contra ransomware en todos los endpoints. Existe una herramienta gratuita, Kaspersky Anti-Ransomware Tool for Business, que protege computadoras y servidores frente a ransomware y otros tipos de malware, previene exploits y es compatible con soluciones de seguridad ya instaladas.
• Mantener siempre actualizado el software en todos los dispositivos que se utilicen para evitar que los atacantes exploten vulnerabilidades y se infiltren en su red.
• Enfocar su estrategia de defensa en la detección de movimientos laterales y la exfiltración de datos hacia internet. Es importanteprestar atención al tráfico saliente para identificar posibles conexiones de ciberdelincuentes a su red; así como configurar copias de seguridad fuera de línea que no puedan ser manipuladas por intrusos y asegurarse de poder acceder a ellas rápidamente cuando sea necesario o en caso de emergencia.
• Las empresas de sectores no industriales pueden protegerse implementando soluciones anti-APT y EDR, que permiten capacidades avanzadas para la detección de amenazas, la investigación y la remediación oportuna de incidentes. Asimismo, las organizaciones pueden proporcionar a sus equipos SOC acceso a la información de inteligencia de amenazas más reciente y fortalecer continuamente sus habilidades mediante capacitación profesional. Todo lo anterior está disponible dentro de Kaspersky Next.

El reporte completo puede encontrarlo en Securelist.

La entrada Kaspersky: ransomware lidera ataques en América Latina se publicó primero en ZonaCISO.

El phishing cumplimiento regulatorio llegó disfrazado de comunicaciones internas de conducta corporativa. Los correos usaban nombres como “Internal Regulatory COC” y “Workforce Communications”, con asuntos como “Internal case log issued under conduct policy”. Para reforzar credibilidad, los mensajes incluían avisos de que el contenido había sido “revisado y aprobado por un canal interno autorizado” y usaban el logo de Paubox —un servicio legítimo de comunicaciones conformes con HIPAA— creando la apariencia de un proceso oficial de cumplimiento de salud.

Cómo opera el ataque AiTM

La cadena de ataque tenía cinco etapas diseñadas para filtrar defensas automatizadas y presionar al usuario. El correo incluía un PDF con el “expediente del caso de conducta” y un enlace de “Revisar materiales del caso”. Ese enlace llevaba a una página con un CAPTCHA de Cloudflare, seguido de una página intermedia que solicitaba autenticación, un segundo CAPTCHA de imágenes, y finalmente la pantalla de inicio de sesión real de Microsoft.

Esa pantalla era legítima —y ese es el punto crítico. Los atacantes no montaron una página falsa de login: instalaron un proxy entre el usuario y Microsoft. Cuando la víctima completaba su autenticación con MFA incluido, el atacante capturaba el token de sesión resultante en tiempo real, obteniendo acceso directo a la cuenta sin necesitar la contraseña ni el segundo factor. El MFA por SMS, TOTP o notificación push no protege contra esta clase de ataque.

Phishing cumplimiento regulatorio en Chile

Los sectores más afectados por la campaña son de alta relevancia en Chile: salud y ciencias de la vida (19% de los objetivos), servicios financieros (18%), servicios profesionales (11%) y tecnología y software (11%). Las clínicas, isapres, bancos y consultoras chilenas con infraestructura Microsoft 365 son exactamente el perfil que esta campaña apuntó.

La dimensión local tiene un agravante específico. La implementación de la Ley Marco de Ciberseguridad (Ley 21.663) y la Ley 21.719 de Datos Personales está generando un volumen inusual de comunicaciones de cumplimiento hacia ejecutivos, equipos legales y responsables de seguridad. Ese contexto crea condiciones ideales para que un correo que simule una “revisión interna de conducta regulatoria” no active alarmas inmediatas, incluso en personas entrenadas.

El dato técnico más importante de esta campaña es que el MFA estándar no es suficiente frente a ataques AiTM. La única defensa efectiva es el MFA resistente a phishing: llaves de seguridad FIDO2, Windows Hello o passkeys, que vinculan criptográficamente la autenticación al dominio legítimo y no pueden ser interceptadas por un proxy. Las organizaciones que aún usan SMS u OTP deben asumir que ese control no las protege de esta clase de ataque.

La segunda medida urgente es incluir el escenario de “revisión de conducta corporativa” en los programas de simulación de phishing internos. Si los colaboradores no han visto un correo que llegue de “Workforce Communications” con un PDF adjunto y múltiples etapas de verificación, no están calibrados para detectarlo. Esta campaña —multicapa, con infraestructura legítima y urgencia emocional— no es una excepción: es el nuevo estándar de sofisticación.

Fuente: Microsoft Security Blog — https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/

La entrada Microsoft alerta de phishing de “cumplimiento regulatorio” se publicó primero en ZonaCISO.

La vulnerabilidad cPanel hosting impacta directamente la capa de administración de los servidores web. cPanel es el software de gestión de hosting más utilizado a nivel global, presente en millones de servidores que alojan sitios de empresas, instituciones y organismos públicos. Un atacante que logre explotar la falla puede comprometer no solo un sitio, sino todos los sitios alojados en ese servidor: datos, credenciales y configuraciones quedan expuestos de forma simultánea.

Cómo operan los atacantes

La falla permite la ejecución remota de código sin necesidad de credenciales válidas. Los atacantes primero realizan un escaneo masivo para identificar servidores vulnerables expuestos en internet y luego aplican fuerza bruta sobre los paneles de administración. Una vez dentro, el paso típico es la instalación de webshells para mantener acceso persistente, la exfiltración de bases de datos o el uso del servidor comprometido como plataforma para ataques secundarios.

El volumen de 44.000 IPs involucradas en esta vulnerabilidad crítica en cPanel apunta a una operación organizada, no a ataques oportunistas aislados. Los investigadores detectaron que la actividad maliciosa se intensificó en los días posteriores a la divulgación pública de la CVE: un patrón habitual donde los grupos de amenaza priorizan explotar la ventana de tiempo en que la falla es conocida pero los parches aún no se han aplicado masivamente.

Vulnerabilidad cPanel hosting en Chile

En Chile, cPanel tiene penetración relevante en el mercado de hosting compartido y administrado. Proveedores locales alojan en estos servidores sitios de pymes, municipios, instituciones educacionales y servicios públicos que generalmente no cuentan con equipos de seguridad propios. La dependencia en la infraestructura del proveedor para estas organizaciones es total: si el servidor está comprometido, ellas también lo están, sin saberlo.

La dimensión regulatoria es igualmente relevante. Bajo la Ley Marco de Ciberseguridad (Ley 21.663), los operadores de servicios esenciales tienen la obligación de reportar incidentes que afecten la disponibilidad o integridad de sus sistemas a la ANCI. Un compromiso masivo de servidores cPanel que alojen infraestructura crítica chilena podría activar este mecanismo y generar obligaciones inmediatas de notificación. Los CISOs de organizaciones con hosting tercerizado deben verificar el estado de sus proveedores esta semana.

La prioridad inmediata es identificar si la organización o sus proveedores utilizan cPanel. El fabricante ya publicó el parche para la CVE-2026-41940 y su aplicación es urgente. Los administradores de sistemas deben revisar logs de acceso en busca de patrones de fuerza bruta y confirmar si algún servidor pudo haberse comprometido antes de la actualización.

Para quienes subcontratan el hosting, el paso correcto es contactar al proveedor y exigir confirmación escrita del estado de actualización de sus servidores. Si la respuesta no llega en menos de 48 horas, eso es información sobre las capacidades reales de respuesta del proveedor. Esta situación también es una oportunidad para revisar contratos de servicio y verificar que incluyan obligaciones explícitas de seguridad y tiempos de respuesta ante vulnerabilidades críticas.

Fuente: The Hacker News — https://thehackernews.com/2026/05/critical-cpanel-vulnerability.html

La entrada Vulnerabilidad crítica en cPanel: 44.000 IPs comprometidas se publicó primero en ZonaCISO.

En la jornada, Atassi describió un mercado chileno en plena maduración regulatoria. La Ley Marco de Ciberseguridad (Ley 21.663) y las exigencias de la CMF sobre servicios financieros digitales están obligando a las organizaciones a ir más allá del cumplimiento puntua en relación con los riesgos de identidad. Destacó además cómo las grandes empresas están cada vez más dispuestas a invertir en soluciones que les aseguren el cumplimiento con la normativas de cada mercado.

Los principales clientes en Chile para Jumio están centrados en el segmento de banca, con varias fintech en su portafolio, aunque el ejecutivo también señaló un vector de riesgo que crece con discreción: las plataformas de apuestas en línea. Las herramientas tecnológicas disponibles hoy permiten lanzar un sitio web con mínimos conocimientos técnicos, lo que está al alcance tanto de emprendedores legítimos como de actores con intenciones fraudulentas. Sin regulación adecuada, ese ecosistema se convierte en terreno propicio para el fraude de identidad a escala. La reputación de marca, advirtió Atassi, es un activo que las fintech chilenas no pueden perder: un incidente mal gestionado puede costar más que el fraude mismo en términos de confianza del cliente y exposición regulatoria.

Verificar una vez, ¿confiar siempre?

Durante décadas, la gestión de los riesgos de identidad ha operado bajo la premisa errónea de que una decisión tomada en el onboarding sigue siendo válida indefinidamente. En realidad, un usuario verificado hoy puede convertirse mañana en un riesgo de fraude significativo a medida que surgen nuevos patrones, conexiones y señales. Estudios preliminares muestran hasta un 25% más de riesgo detectado después del onboarding inicial, amenazas que los sistemas de verificación tradicional simplemente no pueden ver.

Al mismo tiempo, la rápida proliferación de la IA está cambiando el panorama. Los estafadores están implementando agentes de IA altamente sofisticados para escalar sus ataques utilizando deepfakes, identidades sintéticas y técnicas de inyección (Jumio registró un aumento del 700% en los intentos de inyección año tras año).

Jumio Watch analiza continuamente las señales de identidad para detectar cambios significativos en el riesgo mucho después de que se completa la verificación. Cuando nueva inteligencia indica que una verificación previamente aprobada puede ahora presentar riesgo, los clientes de Jumio son alertados de forma proactiva para que investiguen, lo que les permite tomar medidas después del evento inicial de incorporación y verificación, y cerrar una importante brecha en los enfoques tradicionales de verificación de identidad.

Riesgos de Identidad: Cómo funciona Jumio Watch

El producto opera sobre el Jumio Identity Graph, una red que analiza continuamente patrones y conexiones de decenas de millones de identidades en múltiples empresas e industrias a nivel global. Los patrones de fraude detectados en un cliente alimentan y agudizan las evaluaciones de riesgo del resto de la plataforma.

Las capacidades clave incluyen marcado posterior a la verificación —las verificaciones aprobadas en el onboarding se reevalúan en forma continua—, alertas diarias proactivas para equipos de fraude y cumplimiento, y gestión de riesgo de toda la cartera de clientes. Los equipos de investigación acceden a un portal con visibilidad detallada de cada alerta y controles de acceso por usuario.

“El riesgo evoluciona, y también debería hacerlo tu estrategia de identidad”, dijo Bala Kumar, presidente y director de producto y tecnología de Jumio. “Con Jumio Watch, le estamos dando a nuestros clientes algo que la industria nunca ha ofrecido: no solo detección de riesgo en el onboarding, sino la capacidad de detectar riesgos que solo se hacen visibles con el tiempo.”

La misma lógica que impulsa Jumio Watch sustenta otro concepto central que Atassi destacó para 2026: la identidad reutilizable. La idea es directa: un usuario verifica su identidad una sola vez y puede reutilizar esa verificación para acceder a múltiples servicios o instituciones sin repetir el proceso. Según el análisis de tendencias de Jumio para 2026, este modelo opera sobre la misma infraestructura del Identity Graph, que reúne decenas de millones de transacciones legítimas y fraudulentas en múltiples industrias para afinar cada decisión de riesgo.

Jumio Watch está diseñado para los equipos en la primera línea del riesgo de identidad: investigadores de fraude, analistas de cumplimiento, líderes de riesgo y equipos de seguridad en servicios financieros, criptomonedas, gaming y plataformas de mercado.

Jumio Watch está disponible desde ahora, con nuevas capacidades planificadas a lo largo de 2026. Más información en www.jumio.com/es.

La entrada Jumio: los riesgos de identidad van más allá del onboarding se publicó primero en ZonaCISO.

Tras el abandono del desarrollo de Agent Tesla por parte de sus creadores, otras familias de malware como Formbook y SnakeStealer tomaron protagonismo en el ecosistema de robo de información. Si bien las detecciones globales de infostealers disminuyeron un 18% durante el segundo semestre de 2025, los especialistas advierten que las campañas se volvieron más sofisticadas, impulsadas por nuevas técnicas de ingeniería social y el uso de inteligencia artificial.

“Los infostealers siguen siendo una de las herramientas favoritas de los cibercriminales porque permiten robar grandes volúmenes de credenciales e información sensible de forma silenciosa. Aunque en el último año vimos una disminución en el volumen de detecciones, también observamos una evolución en su sofisticación, con campañas mejor dirigidas y el uso de nuevas tecnologías para optimizar los ataques”, comenta David González, Especialista en Seguridad Informática de ESET Latinoamérica.

Las familias de malware con mayor impacto en la región

De acuerdo con la telemetría de ESET, estas son algunas de las familias de infostealers con mayor presencia en Latinoamérica:

Formbook (Win/Formbook): Fue la familia más detectada a nivel global al cierre de 2025, con 17,3% del total de detecciones, principalmente distribuida a través de campañas de phishing.

Lumma Stealer (Win/Spy.LummaStealer): Protagonista de ataques masivos dirigidos especialmente a usuarios en México, enfocados en el robo de credenciales y datos almacenados en navegadores.

Agent Tesla (MSIL/Spy.AgentTesla): A pesar de la desaceleración en su desarrollo, continúa siendo ampliamente distribuido mediante descargadores de malware como CloudEyE (GuLoader).

NGate / PhantomCard (Android/Spy.NGate): Una amenaza de spyware móvil orientada principalmente al ecosistema bancario brasileño, con capacidades para robar contactos y datos de tarjetas.

Spy.Banker_(JS/Spy.Banker): Troyanos basados en JavaScript que afectan principalmente a usuarios de servicios financieros y registran una tasa de detección global cercana al 9,5%.

Latinoamérica, un objetivo relevante

El análisis también muestra que Latinoamérica se consolidó como una región de interés para los cibercriminales.

En México, por ejemplo, el 8 de julio de 2025 se registró un pico que concentró el 70% de las detecciones globales de Lumma Stealer, a raíz de una campaña masiva de spam con señuelos en español.

Brasil, por su parte, se posicionó como uno de los principales focos de fraudes mediante tecnología NFC, con malware móvil que suplanta a bancos y plataformas de comercio electrónico.

Otros países de la región también registraron actividad relevante. En Perú, por ejemplo, se detectó un alto volumen de ataques que utilizan la técnica ClickFix, mientras que Chile reportó presencia de NGate, una avanzada herramienta de espionaje vinculada a ataques mediante NFC. En tanto, Colombia y Argentina mantienen una presencia constante en los mapas de detección de infostealers.

Cómo se distribuyen estas amenazas

Entre los principales vectores de infección se destacan:

• Phishing y spam localizado, con archivos adjuntos maliciosos que simulan facturas o pedidos.
• ClickFix, una técnica de ingeniería social que muestra falsos errores del sistema o invita a activar un software para dejarlo totalmente funcionable o desbloquear nuevas características de paga; en ambos casos se busca convencer al usuario de ejecutar comandos maliciosos.
• Descargadores de malware, como CloudEyE (GuLoader), que experimentaron un fuerte crecimiento durante el segundo semestre de 2025.
• Sitios web fraudulentos, que suplantan tiendas oficiales como Google Play para distribuir aplicaciones maliciosas.

Conclusión

Durante 2025 los infostealers redujeron su volumen, pero aumentaron en sofisticación, impulsados por el uso de inteligencia artificial y el crecimiento del modelo Malware-as-a-Service (MaaS). En este contexto, Latinoamérica se consolidó como un objetivo clave para los cibercriminales.

De cara a 2026, los especialistas destacan la importancia de reforzar la protección de credenciales, mejorar la detección temprana de estas amenazas y fortalecer la seguridad en entornos móviles y tecnologías como NFC, cada vez más utilizadas en ataques financieros.

La entrada ESET: Infostealers en Latinoamérica evolucionan en 2025 se publicó primero en ZonaCISO.

El equipo de Threat Research de Kaspersky ha publicado un análisis técnico sobre RenEngine, un loader de malware que se distribuye a través de juegos modificados y software pirateado. Detectado por primera vez en marzo de 2025, la amenaza ha afectado a usuarios en varias regiones, incluida América Latina, y amplía el riesgo más allá de la comunidad gaming hacia quienes buscan programas sin licencia.

Kaspersky detectó por primera vez muestras de RenEngine en marzo de 2025, momento desde el cual sus soluciones comenzaron a bloquear activamente esta amenaza. Aunque al principio se pensó que el malware se distribuía principalmente a través de juegos “crackeados”, los analistas descubrieron que los ciberdelincuentes habían creado decenas de sitios web para propagar este loader mediante distintos tipos de software pirateado, incluidos programas populares de diseño gráfico como CorelDRAW.

Este hallazgo amplía considerablemente la superficie de ataque: el riesgo no afecta únicamente a jugadores, sino también a usuarios que descargan aplicaciones profesionales sin licencia. El patrón de distribución apunta a ciberataques oportunistas más que a campañas dirigidas contra objetivos específicos.

¿Cómo funciona la infección?

Cuando Kaspersky detectó RenEngine, encontró que este programa malicioso se estaba usando para instalar Lumma Stealer, un tipo de malware diseñado para robar información de la víctima. En campañas más recientes, los investigadores vieron que ahora los atacantes lo están usando sobre todo para instalar ACR Stealer, aunque en algunos casos también han distribuido Vidar Stealer, que cumple una función similar.

El engaño comienza con versiones alteradas de juegos desarrollados con Ren’Py, un motor de desarrollo muy utilizado para crear novelas visuales, es decir, juegos centrados en historias e imágenes. Cuando una persona descarga e instala uno de estos archivos infectados, en pantalla todo parece normal: aparece una ventana de carga que da la impresión de que el juego se está abriendo correctamente. Sin embargo, mientras el usuario cree que el programa está iniciando, en segundo plano se ejecutan instrucciones ocultas y maliciosas.

Esas instrucciones están preparadas para pasar desapercibidas ante herramientas de análisis y seguridad. Después de activarse, descargan otras amenazas en el equipo mediante HijackLoader, una herramienta usada por ciberdelincuentes para introducir malware adicional sin levantar sospechas. En la práctica, esto hace que la infección no ocurra de una sola vez, sino en varias etapas: primero se abre el archivo infectado, luego se ejecuta el código oculto y, finalmente, se descargan e instalan otros programas maliciosos en el dispositivo.

“Esta amenaza demuestra cómo los ciberdelincuentes amplían sus tácticas para llegar a más víctimas. Además de utilizar juegos pirateados como vector de distribución, también recurren a software de productividad crackeado, como herramientas de diseño o edición, que muchas personas descargan sin considerar el riesgo. Esto aumenta significativamente la superficie de ataque y expone tanto a usuarios individuales como a empresas a posibles robos de información. Además, cuando un motor de juego o un programa no verifica la integridad de sus recursos, los atacantes pueden modificar sus archivos e insertar código malicioso que se ejecuta automáticamente en cuanto el usuario abre el programa, permitiendo que el malware se instale sin generar señales evidentes”, afirma Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

Las soluciones de Kaspersky detectan RenEngine como Trojan.Python.Agent.nb y HEUR:Trojan.Python.Agent.gen, mientras que HijackLoader se identifica como Trojan.Win32.Penguish y Trojan.Win32.DllHijacker.

Para reducir el riesgo de infección en este tipo de casos, los expertos de Kaspersky recomiendan:

• Descargar juegos y programas solo desde fuentes oficiales. El software pirateado o descargado de páginas no oficiales suele ser modificado para incluir malware que se instala junto con el programa.
• Verificar siempre la procedencia de los archivos antes de instalarlos. Si un juego o aplicación normalmente es de pago y aparece gratis en un sitio desconocido, es una señal de alerta de que podría haber sido alterado para distribuir malware.
• Mantener el sistema operativo y las aplicaciones actualizados. Las actualizaciones corrigen fallas de seguridad que los atacantes suelen aprovechar para infectar dispositivos.
• Utilizar una solución de seguridad confiable, como Kaspersky Premium. Este tipo de herramientas ayuda a detectar comportamientos sospechosos y bloquear amenazas incluso cuando el archivo malicioso intenta hacerse pasar por un programa legítimo.

La entrada RenEngine: malware en software pirateado que alerta a empresas se publicó primero en ZonaCISO.

Una paradoja preocupante domina el escenario de la ciberseguridad entre las empresas de Chile. Aunque la mayoría de los líderes de TI afirma adoptar estrategias preventivas, en la práctica se evidencia la ausencia incluso de métodos reactivos y una falta de claridad sobre lo que realmente caracteriza una defensa proactiva. Este fenómeno de “proactividad de fachada” fue identificado por el CISO Survey, un estudio encargado por Kaspersky y realizado con 300 responsables de seguridad de seis países de la región, incluido Chile.

Según la investigación, el 72% de los líderes en Chile clasifica su enfoque de protección como proactivo. Sin embargo, esta cifra contrasta con brechas básicas dentro de las organizaciones. De acuerdo con el informe, el 54% de las empresas opera sin firewall, el 30% no utiliza inteligencia de amenazas para anticipar ataques y el 32% carece incluso de software antivirus.

Los datos también muestran una confusión conceptual sobre las posturas de defensa. Entre los encuestados, el 54% clasifica erróneamente el antivirus como una solución proactiva. En la práctica, se trata de un recurso reactivo, que activa alertas solo después de que se ha identificado una amenaza.

También resulta preocupante que el 22% y el 22% de los encuestados, respectivamente, consideren que EDR (Endpoint Detection and Response) y XDR (Extended Detection and Response) son tecnologías reactivas. En realidad, estos sistemas avanzados son partes fundamentales de una estructura preventiva, ya que correlacionan datos provenientes de múltiples vectores —como redes, correos electrónicos y entornos en la nube— para identificar intrusiones antes de que se conviertan en crisis.

“Una estrategia realmente proactiva no se define solo por las herramientas que una organización tiene instaladas, sino por su capacidad de identificar señales tempranas de ataque y actuar antes de que el incidente escale. Cuando esa distinción no está clara, las empresas pueden terminar priorizando soluciones equivocadas y dejando espacios que los ciberdelincuentes aprovechan”, asegura Andrea Fernández, Gerente General para SOLA en Kaspersky.

Para reducir la “proactividad de fachada” y fortalecer la resiliencia digital, Kaspersky recomienda realizar ajustes en la gobernanza de seguridad, con foco en alineación estratégica, automatización y madurez tecnológica. La compañía destaca las siguientes medidas:

• Promover talleres ejecutivos de alineación, orientados a aclarar a la alta dirección las diferencias entre tecnologías reactivas, como firewall y antivirus, y tecnologías proactivas, como inteligencia de amenazas, SIEM y XDR, capaces de anticipar riesgos y correlacionar eventos en etapas tempranas.
• Desarrollar hojas de ruta tecnológicas alineadas con el nivel de madurez cibernética de la organización, consolidando controles básicos y priorizando gradualmente la integración de soluciones de detección y respuesta en endpoints (EDR) y de orquestación y automatización (SOAR), reduciendo la dependencia de procesos manuales.
• Establecer indicadores claros de desempeño (KPIs) y de riesgo (KRIs), conectando la ciberseguridad directamente con los objetivos del negocio, con foco en métricas como el tiempo medio de detección y respuesta, la tasa de ataques evitados en la fase de reconocimiento y la frecuencia de ejercicios de simulación.
• Crear una agenda recurrente de evaluaciones de riesgo, con periodicidad mínima trimestral, evitando que las revisiones de seguridad ocurran solo después de incidentes internos o casos ampliamente divulgados en el mercado.
• Automatizar el uso de inteligencia de amenazas, sustituyendo la compilación manual de información por feeds integrados a las plataformas de seguridad, lo que permite identificar comportamientos anómalos en tiempo real y acelerar la respuesta a incidentes.

La entrada Empresas chilenas sobreestiman su ciberseguridad: 72% cree ser proactiva se publicó primero en ZonaCISO.

En un reciente informe técnico, Google Threat Intelligence Group (GTIG) y Mandiant revelaron el desmantelamiento de una prolífica campaña de ciberespionaje atribuida a UNC2814, un grupo con presuntos nexos con la República Popular China que ha sido rastreado desde 2017. La operación ha tenido un impacto global significativo, confirmando intrusiones en 53 organizaciones de 42 países, incluyendo a Chile.

El centro de esta campaña es un novedoso backdoor denominado GRIDTIDE, un malware basado en lenguaje C diseñado para la ejecución de comandos shell arbitrarios y la transferencia de archivos. Lo que hace a esta amenaza particularmente desafiante para los equipos de respuesta a incidentes es su táctica de “living-off-the-cloud”.

GRIDTIDE: El abuso de APIs legítimas como vector de persistencia

En lugar de explotar vulnerabilidades de software tradicionales, UNC2814 abusa de las funciones legítimas de la API de Google Sheets para camuflar su tráfico de Comando y Control (C2) como actividad benigna de servicios SaaS. Según el reporte, el malware utiliza un mecanismo de polling basado en celdas:

• Celda A1: Utilizada para consultar comandos del atacante y devolver estados de éxito (ej. “Server-Command-Success”).
• Celdas A2-An: Empleadas para la transferencia de datos y salida de comandos.
• Celda V1: Destinada al almacenamiento de metadatos técnicos del endpoint comprometido.

Esta técnica permite que las comunicaciones maliciosas se mezclen con el tráfico legítimo de la nube, evadiendo los controles de seguridad perimetrales que no realizan inspección profunda de tráfico de confianza.

Impacto en Chile y el sector Telecomunicaciones

La revelación de estas operaciones en Chile coincide con la tensión geopolítica derivada del proyecto del cable submarino de fibra óptica entre China y Chile. Mientras que el gobierno de Estados Unidos ya había calificado dicho plan como una “amenaza a la seguridad regional”, el informe de Google confirma que sectores estratégicos como gobiernos y telecomunicaciones han sido los objetivos principales de UNC2814.

En los sistemas vulnerados, se detectó el acceso a Información de Identificación Personal (PII), incluyendo nombres, números de identificación y registros de llamadas, lo que sugiere que el objetivo final era la vigilancia de personas de interés y el seguimiento de comunicaciones sensibles.

Acciones de mitigación y recomendaciones

Para neutralizar la amenaza, Google procedió a:

1. Cancelar todos los proyectos de Google Cloud bajo control de los atacantes.
2. Revocar el acceso a las credenciales y APIs de Google Sheets utilizadas para coordinar las intrusiones.
3. Liberar un conjunto de Indicadores de Compromiso (IOC) para que las organizaciones puedan identificar rastros de GRIDTIDE en sus redes.

Para los CISOs en Chile, este incidente subraya la necesidad de revisar la exposición en el borde de la red (network edge), ya que UNC2814 suele obtener acceso inicial mediante la explotación de servidores web y sistemas perimetrales que carecen de soluciones de detección de malware.

Google advierte que, dada la escala de estas intrusiones —fruto de años de esfuerzo enfocado—, es probable que el grupo intente restablecer su huella global próximamente. La recomendación para las organizaciones locales es implementar monitoreo estricto sobre el uso de APIs de servicios en la nube y fortalecer la seguridad en activos críticos de red.

La entrada Google desmantela red de ciberespionaje chino operando en Chile se publicó primero en ZonaCISO.