El informe 2025 de Recorded Future sobre el ecosistema cibercriminal en América Latina y el Caribe documenta 452 ataques de ransomware, 29.000 credenciales expuestas en mercados de la dark web y un aumento del 46% en ataques a cajeros automáticos. La región no es un blanco secundario del cibercrimen global. Es un mercado consolidado.

Recorded Future publicó este año su análisis más exhaustivo del ecosistema criminal que opera en América Latina y el Caribe. No es especulación. Es un inventario de lo que ocurrió, incidentes documentados, grupos identificados, vectores de ataque trazados y cifras que eliminan cualquier posibilidad de minimizar la escala del problema. Lo que describe no es una amenaza emergente. Es una industria criminal que identificó en la región tres condiciones ideales de operación: infraestructura obsoleta, digitalización acelerada y una brecha de capacidad defensiva que los atacantes conocen con más precisión que muchos equipos de seguridad locales.

Brasil, México y Argentina concentran el volumen de ataques

Los 452 incidentes de ransomware registrados en LAC durante 2025 representan el 6% de todos los ataques de ransomware a nivel global. El porcentaje cobra otra dimensión cuando se compara con la participación regional en gasto global de ciberseguridad. La proporción entre exposición y defensa no es favorable.

La distribución por país sigue la lógica del tamaño económico. Brasil encabeza con 128 ataques, México con 78, Argentina con 63, Colombia con 51 y Perú con 27. Cinco países concentran más del 76% de los incidentes. Los grupos de ransomware priorizan los mercados con mayor capacidad de pago, donde el daño operativo de un cifrado genera presión real para negociar y donde las interdependencias entre organizaciones amplifican el efecto de cada ataque.

Colombia en cuarto lugar es un dato que confirma una tendencia que el análisis prospectivo del sector ya anticipaba. El país publicó su hoja de ruta de seguridad digital 2025-2027 como respuesta directa al deterioro documentado. Las políticas tardan en traducirse en capacidad operativa. Los atacantes no esperan ese ciclo.

Los sectores más atacados y la lógica detrás de cada elección

Por sectores, Fabricación lideró con 49 ataques, seguida por Salud con 36, Gobierno con 28, Tecnología de la Información con 21 y Educación con 20.

Fabricación en el primer lugar responde a una realidad técnica específica: las plantas industriales de la región operan con sistemas OT/ICS que no fueron diseñados para redes conectadas, que no reciben actualizaciones con regularidad y que, cuando se detienen por un cifrado, generan pérdidas económicas inmediatas y medibles. La presión para pagar el rescate es directamente proporcional al costo por hora de inactividad.

Salud y Gobierno responden a otra ecuación. Ambos sectores concentran datos de alto valor, operan con sistemas heredados que no pueden actualizarse sin interrumpir servicios críticos y tienen márgenes de negociación casi nulos cuando el ataque paraliza operaciones esenciales. Un hospital sin acceso a historiales clínicos no puede permitirse esperar semanas.

Las PYMES merecen análisis separado. Representan más del 95% de los negocios en la región y son el blanco de mayor volumen por razones opuestas a las corporaciones, menor resistencia técnica, recursos de seguridad limitados y menor capacidad para detectar una intrusión antes de que el ransomware se active. Para los grupos que automatizaron el ciclo de ataque completo, atacar miles de PYMES en paralelo es más eficiente que negociar meses con una empresa grande.

Los grupos que operaron en la región: Qilin, LockBit y The Gentlemen

Recorded Future identifica cinco grupos de ransomware como responsables principales de los ataques en LAC durante 2025: Qilin (Agenda), LockBit, Safepay, The Gentlemen y Kazu.

The Gentlemen tiene historial documentado en estas páginas. Su análisis técnico de TTPs muestra un grupo con criterio preciso en la selección de objetivos, capacidad de doble extorsión consolidada y una expansión deliberada hacia mercados con menor madurez defensiva. Su presencia en LAC no es oportunista. Es estratégica.

La doble extorsión es el estándar operativo de estos grupos, cifrado de datos más extracción previa, con amenaza de publicación en blogs de vergüenza pública si no se paga el rescate. El cifrado solo es la mitad de la presión. La amenaza de filtración afecta incluso a las organizaciones que tenían backups funcionales y que técnicamente podían recuperarse sin pagar.

El informe documenta además algo que complica el panorama más allá del cibercrimen convencional, grupos APT vinculados a ciberespionaje estatal que incorporan ransomware y tácticas cibercriminales en sus operaciones en LAC para obtener financiamiento. Dark Caracal y Storm-2603 aparecen en ese cruce. La distinción entre espionaje patrocinado por estados y crimen organizado con motivación financiera se está erosionando en tiempo real.

Infostealers: LummaC2 cedió terreno a Vidar tras la presión policial

Las 29.000 referencias a credenciales expuestas de LAC en mercados como Russian Market son el insumo que alimenta el resto del ecosistema criminal. Esas credenciales provienen de infostealers: malware que se instala silenciosamente, extrae contraseñas, cookies de sesión y datos almacenados, y los envía a servidores controlados por los atacantes.

En la primera mitad de 2025, LummaC2 fue el infostealer más activo en LAC. Tras intervenciones policiales que presionaron las operaciones del grupo responsable, los atacantes regionales migraron con rapidez hacia Vidar, que dominó la segunda mitad del año. Esa transición rápida entre herramientas bajo presión policial es un indicador de la resiliencia operativa del ecosistema: cuando un vector se cierra, la infraestructura criminal ya tiene el siguiente listo.

Las credenciales robadas no son un fin en sí mismas. Son el acceso inicial que otros grupos compran en esos mercados para lanzar ataques BEC, escalar privilegios dentro de redes corporativas o vender el acceso a operadores de ransomware. Es el mismo modelo de especialización por capas que describimos al analizar el crecimiento de botnets en 2025: cada actor en la cadena hace una sola cosa con eficiencia máxima.

Android como plataforma principal de ataque bancario móvil

El 84,59% de los dispositivos móviles en Sudamérica usan Android. Ese dato explica por qué la región es el mercado natural de los troyanos bancarios móviles y por qué los grupos criminales no necesitan invertir en exploits de iOS cuando pueden cubrir la mayoría del mercado objetivo con malware diseñado para el sistema operativo más extendido.

Las variantes documentadas en LAC incluyen Grandoreiro, Mispadu, Casabaneiro y Coyote. La mecánica es consistente entre variantes, instalación silenciosa, superposición de pantallas falsas sobre aplicaciones bancarias legítimas, interceptación de credenciales y en los casos más avanzados, bloqueo del acceso del usuario a su propia aplicación mientras el atacante completa la operación.

El vector de distribución que marca tendencia en el informe es WhatsApp. La campaña identificada como "Water Saci" ilustra la mecánica con precisión, un archivo ZIP enviado por WhatsApp que al ejecutarse instala el troyano. El canal le otorga al mensaje un nivel de confianza implícito que el correo de phishing no puede igualar.

El receptor no está evaluando si confiar en un remitente desconocido. Está abriendo un archivo que llegó por el mismo canal que usa para hablar con su familia. El problema de ingeniería social en LATAM no es solo técnico. El canal de mayor confianza cultural es también el vector de distribución más eficiente.

Lo que ocurre después de que ese malware exfiltra datos, credenciales, accesos, contactos, sucede en otro ecosistema. Recorded Future identifica Telegram y el foro DarkForums como los principales canales de coordinación y comercio criminal en la región. Telegram es la elección operativa por razones concretas: soporte para canales con grandes audiencias, capacidad de automatizar operaciones con bots, cifrado y una moderación de contenido que no interrumpe el negocio.

DarkForums complementa con la infraestructura de mercado, bases de datos filtradas, accesos VPN comprometidos, credenciales corporativas en venta, todo disponible en foros con reglas de reputación propias. La distribución del malware ocurre en WhatsApp. La cadena de valor que lo financia opera en Telegram y la dark web.

El Tren de Aragua, Ploutus y los cajeros automáticos como objetivo físico-digital

El aumento del 46% en ataques con malware a cajeros automáticos tiene un protagonista que cruza la frontera entre crimen organizado tradicional y cibercrimen: el Tren de Aragua, banda criminal venezolana con presencia activa en varios países de la región, que participó en esquemas de jackpotting usando el malware Ploutus.

El jackpotting requiere acceso físico al cajero: se instala el malware directamente en el hardware, se fuerza una dispensación automatizada de todo el efectivo disponible. No es un ataque sofisticado en términos de código, pero es altamente eficiente cuando se combina con redes de distribución del crimen organizado que pueden gestionar docenas de operaciones simultáneas en diferentes ubicaciones. La convergencia entre el crimen físico con estructura organizativa establecida y las herramientas técnicas del cibercrimen es uno de los desarrollos más significativos que el informe documenta.

PhantomCard y RelayNFC, cuando el teléfono de la víctima se convierte en el skimmer

Si existe una señal de alerta temprana en el informe, es el surgimiento de malware Android diseñado para subvertir NFC, la tecnología que usan las tarjetas sin contacto. PhantomCard y RelayNFC no funcionan como un robo de proximidad en la calle. Funcionan como una evolución de la ingeniería social donde el teléfono infectado de la víctima se convierte en la terminal de lectura del atacante.

La mecánica es precisa: el malware llega al dispositivo a través de páginas web maliciosas que suplantan aplicaciones legítimas. Una vez instalado, muestra una pantalla falsa que solicita a la víctima que acerque su tarjeta física a la parte trasera de su propio teléfono e ingrese su PIN, bajo la excusa de "autenticarse" o "verificar" algo.

Cuando la víctima obedece, el dispositivo infectado lee los datos NFC de la tarjeta y los transmite en tiempo real al teléfono del atacante, quien los usa para realizar compras en terminales POS o retirar efectivo de cajeros. El atacante no estuvo cerca de la billetera en ningún momento. Convenció a la víctima de que escaneara su propia tarjeta.

Esa inversión de roles es lo que hace a este vector especialmente difícil de defender con controles técnicos estándar. Las alertas de transacciones y los bloqueos geográficos llegan después. El ecosistema de fraude bancario en LATAM demostró en 2025 que la ventana entre el ataque emergente y la defensa efectiva es exactamente donde se concentran las pérdidas más grandes.

La IA reduce la barrera de entrada y escala el volumen de ataque

El informe cierra con una variable que tiene implicaciones estructurales para la región. La Inteligencia Artificial ha reducido la barrera de entrada al cibercrimen. Mensajes de phishing en español y portugués nativos, sin los errores de traducción que históricamente funcionaban como señal de alerta, generados y distribuidos de forma automatizada a escala. Operadores que no necesitan conocer el idioma de su víctima ni comprender los contextos culturales que hacen un mensaje creíble: solo necesitan un modelo de lenguaje y el prompt correcto.

Esto no es un desarrollo futuro. Es el estado actual de una amenaza que ya opera con automatización como estándar operativo. La IA no creó el cibercrimen en LAC. Lo escaló por encima del umbral que las defensas diseñadas para el volumen de 2023 pueden manejar en 2026.

Los 452 ataques de ransomware, las 29.000 credenciales en la dark web y el 46% de crecimiento en jackpotting no son el problema en sí mismos. Son la evidencia de que existe un ecosistema criminal maduro, especializado y con capacidad de adaptación rápida operando en una región que sigue cerrando la brecha entre digitalización y defensa más lento de lo que ese ecosistema evoluciona.

¿Cuánto tiempo puede sostenerse esa asimetría antes de que los incidentes de 2025 parezcan el punto de partida?