El CyberDay Chile 2026 ya tiene fecha oficial y se realizará desde la medianoche del lunes 1 de junio hasta el miércoles 3 de junio. Organizado por la Cámara de Comercio de Santiago (CCS), el evento reunirá a cientos de marcas con ofertas y descuentos en categorías como tecnología, moda, hogar y viajes, generando uno de los períodos de mayor actividad para el comercio electrónico en el país.

Sin embargo, el aumento de las compras online y de las entregas a domicilio durante este gran evento de ventas online, también abre espacio para nuevas modalidades de fraude. Investigadores de Kaspersky advierten sobre estafas que aprovechan el alto flujo de pedidos asociados a este tipo de eventos, mediante el envío de paquetes falsos a consumidores.

Según explican, los ciberdelincuentes utilizan bases de datos filtradas para enviar encomiendas que incluyen códigos QR maliciosos. Al escanearlos desde sus teléfonos móviles, las víctimas son dirigidas a sitios fraudulentos donde pueden exponer su información personal y bancaria, e incluso ser inducidos a instalar de malware en sus dispositivos.

Los delincuentes utilizan los nombres y direcciones postales registrados en estas bases de datos para crear cuentas en plataformas de comercio electrónico y hacer pedidos, aunque vinculan sus propios correos electrónicos y métodos de pago para no levantar sospechas. Al llegar, el paquete incluye una tarjeta o pegatina con un código QR y un mensaje engañoso diseñado para generar curiosidad, cómo: “¡Recibiste un regalo! Escanea para saber quién lo envió” o “Deja una reseña y obtén una tarjeta de regalo de 100 dólares”.

Sin embargo, detrás de este amigable mensaje se oculta una trampa de quishing (phishing a través de códigos QR): si la víctima escanea el código, es dirigida a un sitio web malicioso donde se la persuade a ingresar sus datos de pago o códigos de verificación de sus apps bancarias con el fin de “activar” la supuesta tarjeta de regalo. En otras ocasiones, también se pide instalar una aplicación para confirmar la recepción del paquete y conocer al remitente, pero en realidad es malware disfrazado para acceder y tomar el control del dispositivo.

El nivel de riesgo es alarmante debido al desconocimiento de este tipo de amenazas, pues de acuerdo con un estudio de Kaspersky, 41% de los chilenos no sabe que los códigos QR falsos pueden ser la llave para ataques contra sus cuentas de banca en línea. Además, el origen de esta amenaza evidencia un problema previo de privacidad: si estás recibiendo estos paquetes, significa que tu dirección y otra información de contacto se filtraron en bases de datos y están circulando en foros clandestinos.

“Durante el CyberDay, que es el evento de compras online más importante del año en Chile, aumenta considerablemente la cantidad de envíos y eso también es aprovechado por los ciberdelincuentes para intentar engañar a las personas. Hoy existen estafas donde los usuarios reciben paquetes que nunca compraron o mensajes asociados a supuestas entregas, buscando generar confianza y urgencia para que escaneen códigos QR o ingresen a enlaces maliciosos. El principal riesgo es que muchas veces las víctimas creen que se trata de un error menor o de un envío promocional, cuando en realidad sus datos personales ya están siendo utilizados para fraudes más sofisticados. En este tipo de eventos, la recomendación es desconfiar de cualquier entrega inesperada y verificar siempre la información directamente con el comercio oficial”, explica Leandro Cuozzo, investigador de seguridad en el Equipo Global de Investigación y Análisis para América Kaspersky.

Para evitar ser víctima de este tipo de fraude durante CyberDay y el resto del año, los expertos de Kaspersky recomiendan:

• Desconfía de cualquier paquete no esperado: no lo abras rápidamente. Antes revisa con cuidado las etiquetas, la empresa de mensajería y el nombre de quien lo envía. Si nadie en tu hogar realizó la compra y no esperas obsequios, considéralo como sospechoso.
• Valida la autenticación del envío: si el paquete se entregó mediante un servicio de mensajería conocido y tiene un número de rastreo, visita el sitio web oficial de la empresa e ingrésalo manualmente. Usa sus canales de contacto legítimos, como el chat o teléfono, para confirmar la información del remitente y el estado real de la entrega.
• Nunca escanees códigos QR de origen dudoso y protege tus datos: los códigos impresos en tarjetas de regalo, avisos de entrega fallida o promociones sorpresa dentro de paquetes no solicitados suelen ser trampas. Sospecha si te piden compartir información sensible, descargar aplicaciones o pagar supuestos “impuestos de aduana” o “tarifas de envío”.
• Denuncia el envío sospechoso: repórtalo ante la empresa de entrega a domicilio y las autoridades correspondientes, incluso si no te robaron dinero. Toma fotos del empaque y de la guía, y conserva el paquete físico como evidencia para futuras investigaciones.
• Utiliza una solución de seguridad robusta: contar con un software de ciberseguridad confiable en tu dispositivo móvil, como Kaspersky Premium, es vital. Estas herramientas incluyen protección contra phishing y analizan enlaces en tiempo real, advirtiéndote y bloqueando cualquier amenaza antes de que comprometa tu información personal y financiera.

La entrada Quishing en CyberDay: Kaspersky lanza alerta para Chile se publicó primero en ZonaCISO.

El Ejecutivo había propuesto a Joselyn Biermann, Roberto Godoy y Matías Larraguibel para integrar el consejo por 6, 4 y 2 años respectivamente. La Sala votó y los números no dieron: la agencia que debe fiscalizar el cumplimiento de la nueva ley de datos personales en Chile sigue sin cabeza a días del plazo legal.

Plazo que ya venció

La normativa que crea la agencia establece que su consejo debe estar constituido seis meses antes de la entrada en vigencia de la ley, fijada para diciembre de 2026. Ese plazo se cumple a fines de mayo, es decir, prácticamente ahora. En sesión, varios senadores plantearon la urgencia de resolver la situación: o se presenta una nueva terna, o se adecúa la normativa para ganar tiempo.

El presidente de la Comisión de Constitución, senador Pedro Araya, explicó que las comisiones unidas debieron además definir el quórum aplicable, porque la ley que crea la agencia exige 2/3, pero técnicamente no rige hasta diciembre. Por mayoría, las comisiones resolvieron que el umbral exigido es, de todas formas, dos tercios. En la Sala, ese umbral tampoco se alcanzó.

Tropiezos desde el inicio

El trámite arrastró dificultades desde el comienzo. Las comisiones unidas de Constitución y Economía tuvieron que sesionar dos veces: en la primera instancia se produjo un doble empate al evaluar si los candidatos cumplían los requisitos legales. Solo en la segunda sesión hubo mayoría para establecer que los tres profesionales satisfacían las exigencias y no presentaban inhabilidades ni incompatibilidades.

El ministro de la Secretaría General de la Presidencia, José García, advirtió durante esa segunda sesión de comisiones que conformar una terna válida es excepcionalmente difícil: la ley exige dedicación exclusiva al cargo y establece una larga lista de incompatibilidades que limita drásticamente el universo de candidatos posibles.

Lo que está en juego para las empresas

La Ley 21.719 de Protección de Datos Personales, promulgada en diciembre de 2024, moderniza el marco regulatorio chileno y tiene una vacancia de dos años. Para las empresas que operan en Chile —y que llevan meses trabajando en sus procesos de adecuación—, contar con una agencia operativa con autoridades designadas es fundamental: sin regulador, los criterios de fiscalización siguen sin definirse.

El rechazo senatorial tensiona el calendario de implementación. Con el plazo de mayo ya encima y el Congreso sin fecha para resolver, las organizaciones chilenas avanzan hacia el cumplimiento de una ley cuyo organismo fiscalizador aún no tiene directivos. El Senado deberá decidir en los próximos días si el Ejecutivo presenta una nueva propuesta o si se modifica la normativa para extender el plazo. Cualquiera de las dos salidas requiere velocidad.

Fuente: Senado de Chile — https://www.senado.cl/comunicaciones/noticias/desestiman-propuesta-de-consejeros-para-la-agencia-de-proteccion-de-datos

La entrada Chile sin regulador de datos: Senado rechaza terna presidencial se publicó primero en ZonaCISO.

En el marco del Día Internacional contra el Ransomware, que se conmemora el 12 de mayo, Kaspersky presentó un informe con una visión general de las tendencias que marcaron 2025 y un análisis de lo que se espera en el panorama de amenazas para 2026. La investigación revela que luego de América Latina, Asia-Pacífico es la región más afectada con 8% de las empresas vulneradas por ataques de ransomware, seguida por África con 7.62%, Medio Oriente con 7.27%, la Comunidad de Estados Independientes con 5.91% y Europa con 3.82% de instituciones perjudicadas.

A pesar de una ligera disminución en la proporción total de organizaciones afectadas por ransomware en 2025 en comparación con 2024, los usuarios siguen enfrentando un riesgo significativo, ya que los atacantes están industrializando sus operaciones, automatizando métodos de intrusión y enfocándose cada vez más en robar y filtrar datos sensibles, en lugar de limitarse a cifrar sistemas.

Una de las tendencias observadas en 2025 es el continuo aumento de los llamados “killers” de EDR (Endpoint Detection and Response), herramientas diseñadas específicamente para desactivar las soluciones de seguridad en los dispositivos antes de ejecutar el malware. Estos “EDR killers” se han convertido en un componente estándar de los ataques, lo que refleja intrusiones más deliberadas y metódicas.

Los investigadores también señalaron la aparición de familias de ransomware que adoptan estándares de criptografía postcuántica, una tendencia que Kaspersky ya había anticipado previamente. Este desarrollo indica un cambio preocupante hacia métodos de cifrado que podrían resistir futuros intentos de descifrado mediante computación cuántica.

El papel de los Initial Access Brokers (IABs) —intermediarios del cibercrimen que venden accesos corporativos previamente comprometidos a través de foros clandestinos y plataformas de mensajería— está en aumento. Los portales RDWeb (sitios web que permiten controlar dispositivos de forma remota) se están convirtiendo en objetivos cada vez más frecuentes, a medida que los grupos de ransomware continúan industrializando sus ataques mediante modelos de “Access-as-a-Service”. Como resultado, la barrera de entrada para lanzar ataques de ransomware sigue disminuyendo.

Grupos activos

Entre los grupos de ransomware más activos en 2025, con base en datos de sitios de filtración de información, Kaspersky identificó a Qilin como el operador dominante bajo el modelo de ransomware-as-a-service (RaaS), tras la interrupción de las operaciones de RansomHub. Clop se ubicó como el segundo grupo más activo, seguido por Akira en tercer lugar.

Proporción de víctimas por grupo de ransomware según sus sitios de filtración de datos (DLS), como porcentaje del total de víctimas reportadas por todos los grupos en 2025.

Si bien varios de los principales grupos de ransomware cesaron operaciones en 2025, continúan surgiendo nuevos actores. De cara a 2026, The Gentlemen se perfila como uno de los grupos emergentes más relevantes debido a su rápido crecimiento, operaciones estructuradas y un enfoque cada vez mayor en la extorsión centrada en datos. Es posible que este grupo incluya atacantes previamente vinculados a otras operaciones importantes de ransomware.

The Gentlemen ejemplifica un cambio más amplio en el ecosistema del ransomware, alejándose de campañas caóticas y de alto ruido hacia modelos de extorsión más escalables y con lógica empresarial, enfocados principalmente en el robo de información sensible, así como en ejercer presión reputacional y regulatoria, en lugar de depender exclusivamente del cifrado disruptivo de archivos.

“El ransomware ha evolucionado hasta convertirse en un ecosistema altamente organizado, enfocado en monetizar datos robados, desactivar defensas y escalar ataques con una eficiencia similar a la de un negocio. Los actores de amenazas se están adaptando rápidamente, utilizando herramientas legítimas como armas, explotando infraestructuras de acceso remoto e incluso adoptando criptografía postcuántica mucho antes de lo esperado. El propósito del Día Mundial contra el Ransomware es generar conciencia global sobre las amenazas que representa este tipo de ataques y promover mejores prácticas de prevención y respuesta. Por ello, instamos a empresas y todos los usuarios a mantenerse protegidos, implementar defensas en capas, invertir en respaldos de información y fortalecer sus niveles de cultura digital para hacer frente a estos ataques”, comenta Fabio Assolini, investigador líder en Seguridad para América Latina en Kaspersky.

En el Día Mundial contra el Ransomware y más allá, los expertos de Kaspersky recomiendan a las organizaciones seguir estas buenas prácticas para protegerse frente a este tipo de ataques:

• Activar la protección contra ransomware en todos los endpoints. Existe una herramienta gratuita, Kaspersky Anti-Ransomware Tool for Business, que protege computadoras y servidores frente a ransomware y otros tipos de malware, previene exploits y es compatible con soluciones de seguridad ya instaladas.
• Mantener siempre actualizado el software en todos los dispositivos que se utilicen para evitar que los atacantes exploten vulnerabilidades y se infiltren en su red.
• Enfocar su estrategia de defensa en la detección de movimientos laterales y la exfiltración de datos hacia internet. Es importanteprestar atención al tráfico saliente para identificar posibles conexiones de ciberdelincuentes a su red; así como configurar copias de seguridad fuera de línea que no puedan ser manipuladas por intrusos y asegurarse de poder acceder a ellas rápidamente cuando sea necesario o en caso de emergencia.
• Las empresas de sectores no industriales pueden protegerse implementando soluciones anti-APT y EDR, que permiten capacidades avanzadas para la detección de amenazas, la investigación y la remediación oportuna de incidentes. Asimismo, las organizaciones pueden proporcionar a sus equipos SOC acceso a la información de inteligencia de amenazas más reciente y fortalecer continuamente sus habilidades mediante capacitación profesional. Todo lo anterior está disponible dentro de Kaspersky Next.

El reporte completo puede encontrarlo en Securelist.

La entrada Kaspersky: ransomware lidera ataques en América Latina se publicó primero en ZonaCISO.

El phishing cumplimiento regulatorio llegó disfrazado de comunicaciones internas de conducta corporativa. Los correos usaban nombres como “Internal Regulatory COC” y “Workforce Communications”, con asuntos como “Internal case log issued under conduct policy”. Para reforzar credibilidad, los mensajes incluían avisos de que el contenido había sido “revisado y aprobado por un canal interno autorizado” y usaban el logo de Paubox —un servicio legítimo de comunicaciones conformes con HIPAA— creando la apariencia de un proceso oficial de cumplimiento de salud.

Cómo opera el ataque AiTM

La cadena de ataque tenía cinco etapas diseñadas para filtrar defensas automatizadas y presionar al usuario. El correo incluía un PDF con el “expediente del caso de conducta” y un enlace de “Revisar materiales del caso”. Ese enlace llevaba a una página con un CAPTCHA de Cloudflare, seguido de una página intermedia que solicitaba autenticación, un segundo CAPTCHA de imágenes, y finalmente la pantalla de inicio de sesión real de Microsoft.

Esa pantalla era legítima —y ese es el punto crítico. Los atacantes no montaron una página falsa de login: instalaron un proxy entre el usuario y Microsoft. Cuando la víctima completaba su autenticación con MFA incluido, el atacante capturaba el token de sesión resultante en tiempo real, obteniendo acceso directo a la cuenta sin necesitar la contraseña ni el segundo factor. El MFA por SMS, TOTP o notificación push no protege contra esta clase de ataque.

Phishing cumplimiento regulatorio en Chile

Los sectores más afectados por la campaña son de alta relevancia en Chile: salud y ciencias de la vida (19% de los objetivos), servicios financieros (18%), servicios profesionales (11%) y tecnología y software (11%). Las clínicas, isapres, bancos y consultoras chilenas con infraestructura Microsoft 365 son exactamente el perfil que esta campaña apuntó.

La dimensión local tiene un agravante específico. La implementación de la Ley Marco de Ciberseguridad (Ley 21.663) y la Ley 21.719 de Datos Personales está generando un volumen inusual de comunicaciones de cumplimiento hacia ejecutivos, equipos legales y responsables de seguridad. Ese contexto crea condiciones ideales para que un correo que simule una “revisión interna de conducta regulatoria” no active alarmas inmediatas, incluso en personas entrenadas.

El dato técnico más importante de esta campaña es que el MFA estándar no es suficiente frente a ataques AiTM. La única defensa efectiva es el MFA resistente a phishing: llaves de seguridad FIDO2, Windows Hello o passkeys, que vinculan criptográficamente la autenticación al dominio legítimo y no pueden ser interceptadas por un proxy. Las organizaciones que aún usan SMS u OTP deben asumir que ese control no las protege de esta clase de ataque.

La segunda medida urgente es incluir el escenario de “revisión de conducta corporativa” en los programas de simulación de phishing internos. Si los colaboradores no han visto un correo que llegue de “Workforce Communications” con un PDF adjunto y múltiples etapas de verificación, no están calibrados para detectarlo. Esta campaña —multicapa, con infraestructura legítima y urgencia emocional— no es una excepción: es el nuevo estándar de sofisticación.

Fuente: Microsoft Security Blog — https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/

La entrada Microsoft alerta de phishing de “cumplimiento regulatorio” se publicó primero en ZonaCISO.

La vulnerabilidad cPanel hosting impacta directamente la capa de administración de los servidores web. cPanel es el software de gestión de hosting más utilizado a nivel global, presente en millones de servidores que alojan sitios de empresas, instituciones y organismos públicos. Un atacante que logre explotar la falla puede comprometer no solo un sitio, sino todos los sitios alojados en ese servidor: datos, credenciales y configuraciones quedan expuestos de forma simultánea.

Cómo operan los atacantes

La falla permite la ejecución remota de código sin necesidad de credenciales válidas. Los atacantes primero realizan un escaneo masivo para identificar servidores vulnerables expuestos en internet y luego aplican fuerza bruta sobre los paneles de administración. Una vez dentro, el paso típico es la instalación de webshells para mantener acceso persistente, la exfiltración de bases de datos o el uso del servidor comprometido como plataforma para ataques secundarios.

El volumen de 44.000 IPs involucradas en esta vulnerabilidad crítica en cPanel apunta a una operación organizada, no a ataques oportunistas aislados. Los investigadores detectaron que la actividad maliciosa se intensificó en los días posteriores a la divulgación pública de la CVE: un patrón habitual donde los grupos de amenaza priorizan explotar la ventana de tiempo en que la falla es conocida pero los parches aún no se han aplicado masivamente.

Vulnerabilidad cPanel hosting en Chile

En Chile, cPanel tiene penetración relevante en el mercado de hosting compartido y administrado. Proveedores locales alojan en estos servidores sitios de pymes, municipios, instituciones educacionales y servicios públicos que generalmente no cuentan con equipos de seguridad propios. La dependencia en la infraestructura del proveedor para estas organizaciones es total: si el servidor está comprometido, ellas también lo están, sin saberlo.

La dimensión regulatoria es igualmente relevante. Bajo la Ley Marco de Ciberseguridad (Ley 21.663), los operadores de servicios esenciales tienen la obligación de reportar incidentes que afecten la disponibilidad o integridad de sus sistemas a la ANCI. Un compromiso masivo de servidores cPanel que alojen infraestructura crítica chilena podría activar este mecanismo y generar obligaciones inmediatas de notificación. Los CISOs de organizaciones con hosting tercerizado deben verificar el estado de sus proveedores esta semana.

La prioridad inmediata es identificar si la organización o sus proveedores utilizan cPanel. El fabricante ya publicó el parche para la CVE-2026-41940 y su aplicación es urgente. Los administradores de sistemas deben revisar logs de acceso en busca de patrones de fuerza bruta y confirmar si algún servidor pudo haberse comprometido antes de la actualización.

Para quienes subcontratan el hosting, el paso correcto es contactar al proveedor y exigir confirmación escrita del estado de actualización de sus servidores. Si la respuesta no llega en menos de 48 horas, eso es información sobre las capacidades reales de respuesta del proveedor. Esta situación también es una oportunidad para revisar contratos de servicio y verificar que incluyan obligaciones explícitas de seguridad y tiempos de respuesta ante vulnerabilidades críticas.

Fuente: The Hacker News — https://thehackernews.com/2026/05/critical-cpanel-vulnerability.html

La entrada Vulnerabilidad crítica en cPanel: 44.000 IPs comprometidas se publicó primero en ZonaCISO.

En la jornada, Atassi describió un mercado chileno en plena maduración regulatoria. La Ley Marco de Ciberseguridad (Ley 21.663) y las exigencias de la CMF sobre servicios financieros digitales están obligando a las organizaciones a ir más allá del cumplimiento puntua en relación con los riesgos de identidad. Destacó además cómo las grandes empresas están cada vez más dispuestas a invertir en soluciones que les aseguren el cumplimiento con la normativas de cada mercado.

Los principales clientes en Chile para Jumio están centrados en el segmento de banca, con varias fintech en su portafolio, aunque el ejecutivo también señaló un vector de riesgo que crece con discreción: las plataformas de apuestas en línea. Las herramientas tecnológicas disponibles hoy permiten lanzar un sitio web con mínimos conocimientos técnicos, lo que está al alcance tanto de emprendedores legítimos como de actores con intenciones fraudulentas. Sin regulación adecuada, ese ecosistema se convierte en terreno propicio para el fraude de identidad a escala. La reputación de marca, advirtió Atassi, es un activo que las fintech chilenas no pueden perder: un incidente mal gestionado puede costar más que el fraude mismo en términos de confianza del cliente y exposición regulatoria.

Verificar una vez, ¿confiar siempre?

Durante décadas, la gestión de los riesgos de identidad ha operado bajo la premisa errónea de que una decisión tomada en el onboarding sigue siendo válida indefinidamente. En realidad, un usuario verificado hoy puede convertirse mañana en un riesgo de fraude significativo a medida que surgen nuevos patrones, conexiones y señales. Estudios preliminares muestran hasta un 25% más de riesgo detectado después del onboarding inicial, amenazas que los sistemas de verificación tradicional simplemente no pueden ver.

Al mismo tiempo, la rápida proliferación de la IA está cambiando el panorama. Los estafadores están implementando agentes de IA altamente sofisticados para escalar sus ataques utilizando deepfakes, identidades sintéticas y técnicas de inyección (Jumio registró un aumento del 700% en los intentos de inyección año tras año).

Jumio Watch analiza continuamente las señales de identidad para detectar cambios significativos en el riesgo mucho después de que se completa la verificación. Cuando nueva inteligencia indica que una verificación previamente aprobada puede ahora presentar riesgo, los clientes de Jumio son alertados de forma proactiva para que investiguen, lo que les permite tomar medidas después del evento inicial de incorporación y verificación, y cerrar una importante brecha en los enfoques tradicionales de verificación de identidad.

Riesgos de Identidad: Cómo funciona Jumio Watch

El producto opera sobre el Jumio Identity Graph, una red que analiza continuamente patrones y conexiones de decenas de millones de identidades en múltiples empresas e industrias a nivel global. Los patrones de fraude detectados en un cliente alimentan y agudizan las evaluaciones de riesgo del resto de la plataforma.

Las capacidades clave incluyen marcado posterior a la verificación —las verificaciones aprobadas en el onboarding se reevalúan en forma continua—, alertas diarias proactivas para equipos de fraude y cumplimiento, y gestión de riesgo de toda la cartera de clientes. Los equipos de investigación acceden a un portal con visibilidad detallada de cada alerta y controles de acceso por usuario.

“El riesgo evoluciona, y también debería hacerlo tu estrategia de identidad”, dijo Bala Kumar, presidente y director de producto y tecnología de Jumio. “Con Jumio Watch, le estamos dando a nuestros clientes algo que la industria nunca ha ofrecido: no solo detección de riesgo en el onboarding, sino la capacidad de detectar riesgos que solo se hacen visibles con el tiempo.”

La misma lógica que impulsa Jumio Watch sustenta otro concepto central que Atassi destacó para 2026: la identidad reutilizable. La idea es directa: un usuario verifica su identidad una sola vez y puede reutilizar esa verificación para acceder a múltiples servicios o instituciones sin repetir el proceso. Según el análisis de tendencias de Jumio para 2026, este modelo opera sobre la misma infraestructura del Identity Graph, que reúne decenas de millones de transacciones legítimas y fraudulentas en múltiples industrias para afinar cada decisión de riesgo.

Jumio Watch está diseñado para los equipos en la primera línea del riesgo de identidad: investigadores de fraude, analistas de cumplimiento, líderes de riesgo y equipos de seguridad en servicios financieros, criptomonedas, gaming y plataformas de mercado.

Jumio Watch está disponible desde ahora, con nuevas capacidades planificadas a lo largo de 2026. Más información en www.jumio.com/es.

La entrada Jumio: los riesgos de identidad van más allá del onboarding se publicó primero en ZonaCISO.

Según el estudio Reporte Global sobre el Panorama de Amenazas 2026 de FortiGuard Labs, la unidad de inteligencia de Fortinet, Chile registró 8,8 billones de intentos de ciberataques durante 2025, posicionándose como el cuarto país más afectado de América Latina, detrás de Brasil, México y Colombia. De ese total, 5 billones correspondieron a escaneos activos. La cifra contrasta radicalmente con los 27.600 millones de intentos registrados en el país durante 2024, lo que evidencia una escalada sin precedentes en la actividad maliciosa dirigida al mercado local.

El informe, elaborado exclusivamente a partir de telemetría propia y analizado bajo el marco MITRE ATT&CK, sitúa a Chile dentro de un panorama regional que totaliza 843,3 billones de intentos de ciberataques en Latinoamérica durante 2025. El reporte documenta además un cambio estructural en la naturaleza del cibercrimen: los actores maliciosos ya no operan mediante campañas aisladas, sino como ecosistemas organizados que cubren el ciclo completo de una amenaza, apoyados crecientemente en agentes de IA.

Ransomware: 389% más víctimas

Uno de los hallazgos más críticos del reporte es el crecimiento exponencial de las víctimas de ransomware. La inteligencia de FortiRecon identificó 7.831 víctimas confirmadas a nivel global en 2025, frente a aproximadamente 1.600 del año anterior, lo que representa un incremento del 389% año con año. Este salto está impulsado en parte por la disponibilidad masiva de kits de cibercrimen basados en inteligencia artificial como WormGPT, FraudGPT e IA de fuerza bruta, comercializados como servicios en la dark web.

Los sectores más afectados fueron manufactura con 1.284 casos, servicios financieros con 824 y comercio con 682. Geográficamente, Estados Unidos concentró 3.381 víctimas, seguido de Canadá con 374 y Alemania con 291.

La IA reduce el tiempo de explotación

El reporte de FortiGuard Labs documenta una reducción drástica en el tiempo de explotación (TTE) de vulnerabilidades. Reportes anteriores marcaban un TTE de 4,7 días; hoy, la inteligencia de FortiGuard registra un TTE de 24 a 48 horas para ataques críticos. Un caso ilustrativo: los intentos de explotación activos de la vulnerabilidad React2Shell se produjeron a horas de su revelación pública.

Esta aceleración está vinculada directamente al uso de agentes de IA por parte de los threat actors, que automatizan reconocimiento, explotación y ejecución. En paralelo, la telemetría de FortiGate IPS detectó una reducción del 22% en ataques de fuerza bruta, señal no de menor actividad, sino de mayor precisión: menos intentos contra objetivos mejor seleccionados. En términos absolutos, esto equivale a cerca de 67,6 billones de eventos de fuerza bruta globales, con aproximadamente 185 millones de intentos diarios.

Para Derek Manky, VP Global de Inteligencia de Amenazas en FortiGuard Labs, el mensaje para los equipos de defensa es directo: “Los ciber defensores deben evolucionar las operaciones de ciberseguridad hacia una defensa industrializada y adoptar herramientas impulsadas por IA que respondan a la misma velocidad de las amenazas modernas.” En un entorno donde el margen entre la exposición de una vulnerabilidad y su explotación activa se mide en horas, la velocidad de detección y respuesta deja de ser una ventaja competitiva para convertirse en un requisito operacional.

Fuente: Fortinet / FortiGuard Labs

La entrada Fortinet: Chile registra 8,8 billones de ciberataques en 2025 se publicó primero en ZonaCISO.

De acuerdo datos de la encuesta CISO, realizada por Kaspersky, el 70% de las organizaciones en Chile afirma haber observado un aumento significativo en el número de ataques en los últimos dos años, mientras que el 78% señala que estas amenazas también se han vuelto más sofisticadas.

Este escenario genera preocupación entre los líderes de seguridad: el 88% de los encuestados en el país considera que aún queda “algo” o “mucho” por hacer para garantizar la protección de sistemas y datos en los próximos dos años, y el 48% cree que ese esfuerzo será considerable.

Según expertos de Kaspersky, la evolución del panorama de amenazas refleja un cambio en el comportamiento de los ciberdelincuentes, quienes han comenzado a combinar el uso de herramientas legítimas en distintas etapas de los ataques para dificultar su detección, explotar vulnerabilidades en sistemas y ejecutar fraudes potenciados por inteligencia artificial, dejando el uso de malware para las fases finales.

Entre los principales riesgos que enfrentan las organizaciones en nuestro país se encuentran las brechas de seguridad en entornos de nube (42%) y los ataques basados en inteligencia artificial (42%), junto con amenazas como el phishing y la ingeniería social (34%), el ransomware (30%), los ataques a la cadena de suministro (22%), los riesgos internos (28%) y las amenazas persistentes avanzadas (APT) (28%). Estos vectores comparten su capacidad de adaptarse rápidamente a las defensas organizacionales y explotar múltiples puntos de ataque de forma simultánea, lo que dificulta su detección en etapas tempranas.

Además de la creciente complejidad de los ataques, los equipos de seguridad enfrentan retos operativos internos para responder con rapidez a los incidentes. La encuesta en Chile muestra que los procesos más demorados son el análisis de causa raíz, citado por el 38% de las empresas, la identificación de amenazas en tiempo real (36%), la coordinación de la respuesta entre equipos (32%), la contención y mitigación de incidentes (20%) y la investigación de alertas de seguridad (10%).

“Este escenario muestra que el desafío ya no es solo enfrentar más ataques, sino hacerlo con estructuras de seguridad que muchas veces no están preparadas para responder con la velocidad que hoy se requiere. La falta de integración y la dependencia de procesos manuales generan puntos ciegos que retrasan la detección y amplían el margen de acción de los atacantes dentro de las organizaciones”, señala Andrea Fernández, Gerente General para SOLA en Kaspersky.

Ante este contexto, los especialistas de Kaspersky destacan tres desafíos clave. El primero es mejorar la visibilidad sobre ataques en curso o en etapas iniciales, integrando inteligencia de amenazas de fuentes confiables que permita identificar campañas, tácticas e indicadores de compromiso antes de que impacten a la organización.

El segundo desafío es la detección de amenazas avanzadas dentro del entorno corporativo, ya que los ataques modernos utilizan múltiples etapas y técnicas de evasión. Para reducir este riesgo, los expertos recomiendan adoptar tecnologías como EDR y XDR, que emplean correlación automatizada y análisis de comportamiento para identificar actividades sospechosas en tiempo real.

Por último, muchas organizaciones enfrentan procesos de respuesta fragmentados y lentos, lo que prolonga el tiempo necesario para contener un incidente. En este sentido, revisar los flujos operativos e incorporar automatización e integración entre herramientas de seguridad puede reducir significativamente el tiempo entre la detección y la contención de un ataque.

“Cerrar esta brecha implica avanzar hacia modelos de seguridad más conectados, donde la tecnología, los procesos y las capacidades del equipo trabajen de forma coordinada. En un entorno cada vez más complejo, la capacidad de anticipar y responder de manera ágil es lo que marca la diferencia en la protección del negocio”, concluye Fernández.

Para conocer más sobre la investigación de Kaspersky, visite la página especial y descargue el informe Encuesta CISO 2025.

La entrada Ciberataques en Chile aumentan 70% según Kaspersky se publicó primero en ZonaCISO.

Tras el abandono del desarrollo de Agent Tesla por parte de sus creadores, otras familias de malware como Formbook y SnakeStealer tomaron protagonismo en el ecosistema de robo de información. Si bien las detecciones globales de infostealers disminuyeron un 18% durante el segundo semestre de 2025, los especialistas advierten que las campañas se volvieron más sofisticadas, impulsadas por nuevas técnicas de ingeniería social y el uso de inteligencia artificial.

“Los infostealers siguen siendo una de las herramientas favoritas de los cibercriminales porque permiten robar grandes volúmenes de credenciales e información sensible de forma silenciosa. Aunque en el último año vimos una disminución en el volumen de detecciones, también observamos una evolución en su sofisticación, con campañas mejor dirigidas y el uso de nuevas tecnologías para optimizar los ataques”, comenta David González, Especialista en Seguridad Informática de ESET Latinoamérica.

Las familias de malware con mayor impacto en la región

De acuerdo con la telemetría de ESET, estas son algunas de las familias de infostealers con mayor presencia en Latinoamérica:

Formbook (Win/Formbook): Fue la familia más detectada a nivel global al cierre de 2025, con 17,3% del total de detecciones, principalmente distribuida a través de campañas de phishing.

Lumma Stealer (Win/Spy.LummaStealer): Protagonista de ataques masivos dirigidos especialmente a usuarios en México, enfocados en el robo de credenciales y datos almacenados en navegadores.

Agent Tesla (MSIL/Spy.AgentTesla): A pesar de la desaceleración en su desarrollo, continúa siendo ampliamente distribuido mediante descargadores de malware como CloudEyE (GuLoader).

NGate / PhantomCard (Android/Spy.NGate): Una amenaza de spyware móvil orientada principalmente al ecosistema bancario brasileño, con capacidades para robar contactos y datos de tarjetas.

Spy.Banker_(JS/Spy.Banker): Troyanos basados en JavaScript que afectan principalmente a usuarios de servicios financieros y registran una tasa de detección global cercana al 9,5%.

Latinoamérica, un objetivo relevante

El análisis también muestra que Latinoamérica se consolidó como una región de interés para los cibercriminales.

En México, por ejemplo, el 8 de julio de 2025 se registró un pico que concentró el 70% de las detecciones globales de Lumma Stealer, a raíz de una campaña masiva de spam con señuelos en español.

Brasil, por su parte, se posicionó como uno de los principales focos de fraudes mediante tecnología NFC, con malware móvil que suplanta a bancos y plataformas de comercio electrónico.

Otros países de la región también registraron actividad relevante. En Perú, por ejemplo, se detectó un alto volumen de ataques que utilizan la técnica ClickFix, mientras que Chile reportó presencia de NGate, una avanzada herramienta de espionaje vinculada a ataques mediante NFC. En tanto, Colombia y Argentina mantienen una presencia constante en los mapas de detección de infostealers.

Cómo se distribuyen estas amenazas

Entre los principales vectores de infección se destacan:

• Phishing y spam localizado, con archivos adjuntos maliciosos que simulan facturas o pedidos.
• ClickFix, una técnica de ingeniería social que muestra falsos errores del sistema o invita a activar un software para dejarlo totalmente funcionable o desbloquear nuevas características de paga; en ambos casos se busca convencer al usuario de ejecutar comandos maliciosos.
• Descargadores de malware, como CloudEyE (GuLoader), que experimentaron un fuerte crecimiento durante el segundo semestre de 2025.
• Sitios web fraudulentos, que suplantan tiendas oficiales como Google Play para distribuir aplicaciones maliciosas.

Conclusión

Durante 2025 los infostealers redujeron su volumen, pero aumentaron en sofisticación, impulsados por el uso de inteligencia artificial y el crecimiento del modelo Malware-as-a-Service (MaaS). En este contexto, Latinoamérica se consolidó como un objetivo clave para los cibercriminales.

De cara a 2026, los especialistas destacan la importancia de reforzar la protección de credenciales, mejorar la detección temprana de estas amenazas y fortalecer la seguridad en entornos móviles y tecnologías como NFC, cada vez más utilizadas en ataques financieros.

La entrada ESET: Infostealers en Latinoamérica evolucionan en 2025 se publicó primero en ZonaCISO.

Expertos de Kaspersky descubrieron una campaña dirigida que involucra a Horabot, una amenaza de origen brasileño que combina un troyano bancario, un propagador de correos electrónicos y una cadena de ataque notablemente compleja. Durante la investigación, los analistas identificaron una página web expuesta por el actor de la amenaza que contenía una base de datos con registros desde mayo de 2025, en la que se identificaron 5.384 víctimas, de las cuales el 93% se encuentran en México.

El engaño comienza con una página falsa de verificación (CAPTCHA) que le pide al usuario realizar una acción inusual: abrir la ventana “Ejecutar” del computador, pegar un comando y ejecutarlo. Cuando la persona sigue estas instrucciones, sin saberlo inicia el proceso de infección. A partir de ese momento se activa una cadena de acciones ocultas en el sistema que permiten que el malware se instale sin que el usuario lo note.

Una vez dentro del dispositivo, el malware recopila información del equipo y del usuario, como la dirección IP, datos del sistema operativo y la ubicación, y envía estos datos a servidores controlados por los atacantes. Además, instala un troyano bancario que puede mostrar ventanas emergentes falsas que imitan a las de bancos conocidos, con el objetivo de engañar a la víctima y hacer que ingrese sus credenciales bancarias.

Qué roba Horabot y cómo se propaga entre víctimas

La amenaza también intenta propagarse a otras personas. Para ello, extrae direcciones de correo electrónico desde los equipos infectados y las envía a los servidores de los atacantes. Posteriormente, desde cuentas comprometidas se envían correos de phishing con archivos PDF maliciosos, que invitan a los destinatarios a abrir un supuesto “archivo confidencial” o una “factura”. Al hacer clic en el documento o en el botón que contiene, el proceso de infección comienza nuevamente en el nuevo dispositivo.

“Aunque Horabot ha sido detectado por la comunidad de ciberseguridad durante varios años, la amenaza sigue siendo altamente activa en 2026. Además, el malware continúa evolucionando y adquiriendo nuevas funcionalidades, incluidas actualizaciones en su cifrado y en la lógica de manejo de protocolos. Por ello, es fundamental mantener las soluciones de seguridad actualizadas para permanecer protegidos”, afirma Mateus Salgado, SOC Team Lead en Kaspersky.

Recomendaciones de Kaspersky para empresas y usuarios

Para mitigar el riesgo de amenazas como Horabot, los expertos de Kaspersky recomiendan a las empresas:

• Capacitar a los empleados para reconocer fraudes digitales, especialmente correos sospechosos, enlaces desconocidos o archivos adjuntos inesperados. Muchos ataques comienzan con un simple error humano, por lo que la concienciación es una de las primeras líneas de defensa.
• Fortalecer los controles de seguridad existentes con detección liderada por expertos y acceso a inteligencia global de amenazas mediante soluciones como Kaspersky Managed Detection and Response (MDR), que cubren todo el ciclo de gestión de incidentes, desde la identificación de amenazas hasta la protección continua y la remediación.
• Establecer o fortalecer un Centro de Operaciones de Seguridad (SOC) para mejorar la capacidad de detección y respuesta frente a incidentes. Kaspersky ofrece servicios de consultoría para ayudar a las organizaciones a construir un SOC desde cero o mejorar sus operaciones de seguridad existentes.

La entrada Kaspersky alerta sobre malware Horabot en América Latina se publicó primero en ZonaCISO.