Ciberataques comunes en Latinoamérica y cómo protegerse en 2025

Categoría Ciberseguridad
Tiempo de lectura 13 min
Ciberataques comunes en Latinoamérica y cómo protegerse en 2025

América Latina se ha convertido en una de las regiones más golpeadas del mundo por los ciberataques. Durante 2024 y 2025, la región experimentó un crecimiento sostenido en la frecuencia y sofisticación de las amenazas, con consecuencias que pueden ser devastadoras para empresas de todos los tamaños. Según el informe de Check Point Research correspondiente al tercer trimestre de 2024, América Latina registró un promedio de 2.844 ciberataques por organización cada semana, un alza interanual del 72%, muy por encima del promedio global de 1.876 ataques por organización del mismo periodo.

Esta guía analiza el panorama actual de amenazas en la región, repasa los tipos de ataque más comunes con casos verificados y, sobre todo, comparte lo que vemos día a día trabajando en ciberseguridad con pequeñas y medianas empresas bolivianas. Si su organización opera en Latinoamérica, comprender estas amenazas no es opcional: es parte de la continuidad del negocio. Aclaramos algo desde el inicio: todas las cifras de esta guía están atribuidas a su fuente original y, cuando un dato no pudo verificarse, preferimos no publicarlo.

Panorama de amenazas en Latinoamérica

El ecosistema de ciberseguridad en América Latina presenta características únicas que lo hacen particularmente vulnerable. La combinación de rápida transformación digital, recursos limitados de seguridad, marcos regulatorios en desarrollo y factores socioeconómicos crea el ambiente perfecto para que los ciberdelincuentes prosperen.

Lo que dicen los informes de 2024-2025

Volumen de ataques sin precedentes. Según FortiGuard Labs (Fortinet), América Latina recibió alrededor de 921.000 millones de intentos de ciberataque durante 2024. Brasil concentró cerca del 39% de esa actividad (unos 356.000 millones de intentos), seguido por México (alrededor del 35%), Colombia y Perú; ningún país de la región queda al margen.

Las amenazas siguen creciendo. El ESET Security Report 2024 señala que los intentos de ciberataque en la región aumentaron cerca de un 70% interanual, y ubica al ransomware y al phishing como las principales amenazas para empresas y usuarios. En ese mismo informe, el 23% de las organizaciones encuestadas reconoció haber sufrido al menos un intento de ataque de ransomware en los dos años previos, y un 96% se declaró preocupado por esta amenaza. Los sectores que con más frecuencia aparecen en los reportes son salud, educación, gobierno y banca.

El costo de una brecha. No existe una cifra única y confiable del costo total del cibercrimen en la región, así que evitamos inventar una. Lo que sí está documentado: según el informe Cost of a Data Breach 2024 de IBM, el costo promedio de una filtración de datos en América Latina alcanzó los 2,76 millones de dólares, un 12,7% más que el año anterior. Para una PyME, una sola brecha de esa magnitud puede ser, literalmente, el fin del negocio.

Latinoamérica en cifras verificadas (2024)

  • 2.844 ataques/semana: promedio por organización en LATAM en el 3T 2024, frente a 1.876 del promedio global (Check Point Research)
  • ~921.000 millones: intentos de ciberataque registrados en la región durante 2024 (FortiGuard Labs / Fortinet)
  • +70% interanual: aumento de los intentos de ciberataque en la región (ESET Security Report 2024)
  • 23% de las empresas: sufrieron al menos un intento de ransomware en los dos años previos (ESET Security Report 2024)
  • USD 2,76 millones: costo promedio de una filtración de datos en LATAM, +12,7% interanual (IBM, Cost of a Data Breach 2024)

Factores que hacen vulnerable a LATAM

Aceleración digital sin madurez en seguridad. La pandemia aceleró la adopción de tecnologías digitales, cloud computing y trabajo remoto, pero muchas organizaciones implementaron estas soluciones sin consideraciones adecuadas de seguridad. Esta brecha entre digitalización y protección crea vulnerabilidades masivas.

Recursos limitados y falta de talento. La escasez de profesionales de ciberseguridad es un problema global: el Cybersecurity Workforce Study 2024 de ISC2 estimó una brecha mundial de cerca de 4,8 millones de especialistas, con la región latinoamericana entre las que reportan déficit de habilidades clave. En la práctica, las PyMEs, que constituyen la inmensa mayoría del tejido empresarial de la región, rara vez cuentan con alguien dedicado exclusivamente a seguridad: la responsabilidad suele recaer en el mismo encargado de sistemas, o directamente en el dueño.

Adopción masiva de banca digital. América Latina lidera globalmente en adopción de fintech y banca móvil, creando nuevos vectores de ataque. Los ciberdelincuentes aprovechan la curva de aprendizaje de usuarios inexpertos para perpetrar fraudes.

Phishing: el ataque más frecuente

El phishing sigue siendo una de las amenazas más extendidas en Latinoamérica. El ESET Security Report 2024 lo ubica, junto al ransomware, como una de las principales amenazas para empresas y usuarios, y la telemetría de ESET detectó cerca de 2 millones de muestras únicas de phishing en la región solo en el primer semestre de 2024. Su efectividad no depende tanto de fallas técnicas como de explotar la psicología humana: la prisa, el miedo y la confianza.

Lo que vemos en el terreno. En el trabajo de seguridad que hacemos en Bemorex con PyMEs bolivianas, el phishing es, de lejos, la puerta de entrada más común. No suele ser un ataque sofisticado: es un correo que imita al banco, una factura falsa de un "proveedor" o un mensaje de WhatsApp que se hace pasar por el gerente. El patrón se repite porque funciona, y porque del otro lado casi nunca hay capacitación previa.

Variantes comunes en la región

Phishing bancario. Los atacantes se hacen pasar por instituciones financieras legítimas, enviando correos que alertan sobre "actividad sospechosa", "verificación de cuenta necesaria" o "actualización de seguridad requerida". Los mensajes incluyen enlaces a sitios web falsificados que capturan credenciales bancarias.

La escala del problema es enorme: según un análisis de Kaspersky, más de un millón de cuentas bancarias resultaron comprometidas en la región por robo de credenciales durante 2025, con Brasil entre los países más afectados. Un detalle clave es que ya no basta con mirar el candado del navegador: los atacantes replican los sitios bancarios con tanto cuidado que incluso obtienen certificados SSL válidos para sus dominios falsos, de modo que el candado aparece igual. La verificación tiene que hacerse sobre la dirección completa, no sobre el ícono.

Phishing de autoridades gubernamentales. Haciéndose pasar por agencias tributarias (SAT en México, DIAN en Colombia, SUNAT en Perú, SII en Chile, SIN en Bolivia), los atacantes envían notificaciones de "auditoría pendiente", "multas impuestas" o "reembolsos disponibles". El miedo a problemas legales impulsa a las víctimas a actuar sin pensar.

Vishing y smishing. El phishing se ha expandido más allá del correo electrónico. El "vishing" (phishing por voz) utiliza llamadas telefónicas, mientras que el "smishing" (phishing por SMS) explota mensajes de texto. En Colombia, la Policía Nacional desarticuló en 2025 una red criminal (Operación "Resident") que, haciéndose pasar por funcionarios bancarios mediante vishing y phishing, habría ejecutado más de 2.400 fraudes y causado un impacto superior a los 2.126 millones de pesos colombianos, afectando a cerca de 1.100 personas, según El Tiempo. El grupo operaba con roles definidos y horarios, como una verdadera empresa.

Señales de alerta y cómo identificar phishing

Urgencia artificial. Los mensajes legítimos rara vez requieren acción inmediata. Frases como "su cuenta será suspendida en 24 horas" o "responda ahora para evitar cargos" son banderas rojas.

Errores gramaticales y ortográficos. Aunque los ataques se han sofisticado, muchos mensajes de phishing contienen errores sutiles de redacción, especialmente en traducciones del inglés al español.

Direcciones de correo sospechosas. Examine cuidadosamente el remitente. Los atacantes usan dominios similares pero no idénticos: "banco-nacional.com" vs "banconacional.com", o "[email protected]" (con cero en lugar de O).

Enlaces que no coinciden. Coloque el cursor sobre cualquier enlace sin hacer clic. La URL real aparecerá en la esquina inferior del navegador. Si no coincide con el sitio oficial de la organización, es phishing.

El phishing funciona porque explota la confianza y el miedo, no las vulnerabilidades técnicas. Una regla simple resuelve la mayoría de los casos: ningún banco serio le pedirá contraseñas, códigos o claves por correo, SMS o WhatsApp. Ante cualquier duda, contacte directamente a la institución por sus canales oficiales, nunca a través del enlace o el número que viene en el mensaje. — David Morales Vega, Bemorex

Ransomware: el secuestro que paraliza empresas

El ransomware es una de las amenazas más devastadoras para las empresas latinoamericanas. Este malware cifra los archivos de la organización, deja los sistemas inoperables y exige un rescate a cambio de la clave de descifrado. El dato regional es contundente: según Kaspersky, en 2025 América Latina se consolidó como la región más afectada del mundo por el ransomware, con cerca del 8% de las organizaciones de la región sufriendo este tipo de ataque, por encima de Asia-Pacífico, Europa y otras regiones. Brasil concentra alrededor de un tercio de los incidentes regionales.

Evolución del ransomware en LATAM

De ataques masivos a dirigidos. Los primeros ransomware se distribuían indiscriminadamente esperando infectar muchas víctimas. Hoy, grupos criminales investigan cuidadosamente sus objetivos, identificando empresas con capacidad de pago y datos valiosos. Este enfoque "big game hunting" ha hecho los ataques mucho más efectivos.

Doble y triple extorsión. Los atacantes modernos no solo cifran datos: primero los roban. Si la víctima se niega a pagar o tiene buenos respaldos, los criminales amenazan con publicar información confidencial, contactar clientes para informarles de la brecha o lanzar ataques DDoS adicionales. Esta evolución hace el ransomware extremadamente peligroso.

El panorama de grupos cambia constantemente

Un punto importante, y donde muchos artículos quedan desactualizados: los grupos de ransomware no son eternos. En 2024, dos de los nombres más temidos cayeron. LockBit, que durante años operó como "Ransomware-as-a-Service" (RaaS) y llegó a ser uno de los más activos del mundo, fue golpeado en febrero de 2024 por la operación internacional "Cronos", que incautó su infraestructura. Poco después, BlackCat/ALPHV —un grupo sofisticado cuyo ransomware estaba escrito en Rust para dificultar su detección y que tras encarar acciones policiales había animado a sus afiliados a atacar hospitales— desapareció en marzo de 2024 tras un sonado caso de "exit scam".

El vacío, sin embargo, se llena rápido. Según Kaspersky, hacia 2025 el grupo Qilin se consolidó como el RaaS dominante tras la interrupción de RansomHub, seguido por Clop y Akira, con Medusa ganando notoriedad por atacar hospitales y escuelas. La lección práctica es clara: no sirve protegerse contra "un grupo" en particular, porque mañana habrá otro. Hay que protegerse contra la técnica.

El verdadero talón de Aquiles: los respaldos

Aquí entra nuestra experiencia directa, y es probablemente la lección más importante de toda la guía. En el trabajo de seguridad con PyMEs bolivianas, lo que más nos encontramos no es un atacante genial: son organizaciones sin respaldos confiables. Muchas creen tener copias de seguridad, pero al revisarlas descubrimos que nunca se probó una restauración, que el respaldo está en el mismo servidor o la misma red que sería cifrada en un ataque, o que simplemente dejó de ejecutarse hace meses sin que nadie lo notara.

El ransomware moderno apunta justamente a eso: muchas variantes buscan y cifran también los respaldos accesibles desde la red antes de actuar. Por eso insistimos en la regla 3-2-1: tres copias de los datos, en dos tipos de medio distintos, con al menos una copia fuera de línea o aislada de la red (offline / inmutable). Un respaldo offline que sí se restaura es, en la práctica, la mejor herramienta anti-ransomware que existe: convierte una crisis que podría cerrar la empresa en una molesta tarde de recuperación.

Ransomware en LATAM: datos verificados

  • Región #1: en 2025, América Latina fue la región más afectada del mundo por ransomware, con cerca del 8% de las organizaciones golpeadas (Kaspersky)
  • ~1/3 de los incidentes: se concentran en Brasil, el país más atacado de la región (Kaspersky)
  • 23% de las empresas: sufrieron al menos un intento de ransomware en los dos años previos (ESET Security Report 2024)
  • USD 5,37 millones: costo de una brecha con cifrado de datos sin involucrar a las autoridades, que baja a USD 4,38 millones cuando sí se involucra (IBM, 2024)
  • 63%: de las víctimas de ransomware que recurrieron a las autoridades lograron evitar pagar el rescate (IBM, 2024)

BEC: el fraude del correo corporativo

Business Email Compromise (BEC) o Compromiso de Correo Electrónico Corporativo es una amenaza creciente que cuesta a empresas latinoamericanas cientos de millones de dólares anualmente. A diferencia del ransomware que paraliza sistemas, el BEC roba dinero directamente mediante engaño sofisticado.

Cómo funciona el BEC

Los atacantes comprometen o falsifican cuentas de correo de ejecutivos, proveedores o socios comerciales. Usando esta identidad confiable, solicitan transferencias bancarias urgentes, cambios en información de pago de proveedores o envío de información confidencial.

El ataque típico sigue estos pasos: primero, los criminales investigan la organización objetivo mediante redes sociales, sitios web corporativos y LinkedIn, identificando jerarquías, relaciones comerciales y procedimientos financieros. Luego, comprometen una cuenta de correo mediante phishing o hackeo, o crean dominios falsificados casi idénticos.

Finalmente, en el momento oportuno (frecuentemente cuando saben que un ejecutivo está viajando o de vacaciones), envían instrucciones fraudulentas que parecen completamente legítimas. Las transferencias suelen dirigirse a cuentas bancarias intermediarias en múltiples países, dificultando enormemente la recuperación de fondos.

Variantes de BEC prevalentes en LATAM

Fraude del CEO. El atacante se hace pasar por el CEO o director financiero, enviando correos urgentes a empleados de contabilidad solicitando transferencias inmediatas para "adquisiciones confidenciales" o "oportunidades de inversión sensibles al tiempo".

Este tipo de fraude está creciendo de forma sostenida en la región. En Perú, por ejemplo, El Comercio documentó que el BEC —el fraude que engaña a las empresas por correo electrónico— viene en aumento, en plena ola de ciberataques al sector empresarial. El esquema es casi siempre el mismo: un dominio casi idéntico al real (por ejemplo, agregando una palabra o cambiando una letra), un correo que aparenta venir del gerente o de un proveedor de confianza, y una transferencia "urgente" que no admite verificación. La urgencia es la herramienta principal del atacante.

Fraude de proveedor. Los atacantes comprometen el correo de un proveedor legítimo o crean uno falso, enviando facturas con información de pago modificada. Las empresas transfieren pagos a cuentas controladas por criminales, sin darse cuenta hasta que el proveedor real reclama el pago.

Fraude de nómina. Haciéndose pasar por empleados, los atacantes solicitan cambios en información de depósito directo. La empresa paga nóminas a cuentas fraudulentas sin que el empleado real lo sepa hasta que no recibe su salario.

Prevención de BEC

Verificación de dos canales. Implemente políticas que requieran confirmar cualquier solicitud financiera por segunda vía: si llega por correo, confirme por teléfono usando números de directorio corporativo, nunca los incluidos en el mensaje.

Autenticación de correo electrónico. Configure protocolos SPF, DKIM y DMARC en su dominio para prevenir falsificación de correos. Estos protocolos verifican que los correos supuestamente de su dominio realmente se originaron en sus servidores.

Capacitación específica. Entrene especialmente a empleados con acceso a finanzas sobre tácticas de BEC. Muchos ataques exitosos ocurren porque los empleados temen cuestionar solicitudes de superiores.

Contraseñas fuertes y segundo factor. Aquí va otra observación de campo: la otra constante en las PyMEs que auditamos son las contraseñas débiles y reutilizadas —la misma clave para el correo, la banca y las redes sociales, muchas veces anotada en un papel o compartida por WhatsApp—. Una sola de esas credenciales filtrada le abre al atacante el correo desde el que luego monta un BEC creíble. Por eso, antes que cualquier herramienta cara, recomendamos lo más rentable: contraseñas únicas gestionadas con un administrador de contraseñas y, sobre todo, autenticación multifactor (MFA) activada en el correo corporativo y las cuentas críticas. El MFA por sí solo detiene la enorme mayoría de los accesos no autorizados.

Amenazas emergentes en la región

Mientras phishing, ransomware y BEC dominan el panorama actual, nuevas amenazas están emergiendo específicamente dirigidas al contexto latinoamericano.

Cryptojacking

El cryptojacking instala silenciosamente software de minería de criptomonedas en sistemas corporativos, usando los recursos de cómputo de la víctima para generar ganancias para los atacantes. No es una amenaza nueva, pero sigue activa en la región: ESET ha documentado la actividad de grupos como 8220 Gang y Red BerryMiner afectando a sectores industrial, de servicios y telecomunicaciones en Latinoamérica, y entre los sitios donde más se detectan estos mineros figuran páginas de piratería y de descarga de archivos no oficiales.

Los síntomas incluyen computadoras lentas, sobrecalentamiento, ventiladores trabajando constantemente y facturas de electricidad inexplicablemente altas. Muchas organizaciones no detectan cryptojacking durante meses porque no causa daño visible inmediato.

Ataques a dispositivos IoT

La proliferación de dispositivos IoT en empresas (cámaras de seguridad, termostatos inteligentes, sistemas de acceso) crea nuevos vectores de ataque. Estos dispositivos frecuentemente tienen seguridad débil, contraseñas predeterminadas y se olvidan en actualizaciones de seguridad.

El riesgo es concreto y lo vemos en el terreno: cámaras IP con la contraseña de fábrica, DVR expuestos a internet y dispositivos que nadie vuelve a actualizar después de instalarlos. Cualquiera de ellos puede convertirse en la puerta de entrada para infiltrarse en la red interna de una organización. La recomendación es simple pero casi nunca se cumple: cambiar las contraseñas predeterminadas, mantener el firmware al día y aislar los dispositivos IoT en una red separada de la red administrativa.

Deepfakes y fraude de identidad con IA

La inteligencia artificial generativa abrió un frente nuevo para el fraude. Los deepfakes de voz y video permiten suplantar a un ejecutivo con un realismo inquietante. El caso más citado por firmas como ESET ocurrió a inicios de 2024: un empleado de la firma de ingeniería Arup participó en una videollamada con quien creía era su director financiero y otros colegas —todos deepfakes generados por IA— y terminó autorizando 15 transferencias por más de 25 millones de dólares. Ese mismo año, en julio de 2024, criminales intentaron una estafa similar con una voz clonada del CEO de Ferrari, aunque el intento fue detectado a tiempo. Kaspersky advierte que el uso de deepfakes y clonación de voz en ciberataques va en aumento también en América Latina, donde la suplantación telefónica de gerentes y familiares ya es una táctica habitual.

Ataques a infraestructura crítica

Gobiernos y empresas de servicios públicos en LATAM son objetivo prioritario, y la región ya vivió un caso emblemático: en 2022, una serie de ataques de ransomware (atribuidos al grupo Conti) contra instituciones del Estado de Costa Rica fue tan grave que el país declaró estado de emergencia nacional, paralizando sistemas de hacienda, aduanas y salud durante semanas. Ese precedente dejó en evidencia que un ataque a la infraestructura pública puede escalar hasta afectar a un país entero, y que la madurez en ciberseguridad ya no es solo un asunto del sector privado.

Recomendaciones de protección

Ante este panorama amenazante, las organizaciones latinoamericanas deben adoptar un enfoque proactivo y multicapa de seguridad. Ninguna medida única proporciona protección completa: la defensa efectiva requiere combinar tecnología, procesos y personas.

Marco de protección para empresas LATAM

1. Fundamentos de seguridad. Implemente los controles básicos: autenticación multifactor en todas las cuentas, gestión robusta de contraseñas, actualizaciones automáticas de sistemas y aplicaciones, respaldos regulares probados y almacenados fuera de línea, y segmentación de red.

2. Protección de correo electrónico. Dado que el correo es el vector de ataque principal, invierta en filtrado avanzado de correo con protección contra phishing y malware. Configure SPF, DKIM y DMARC. Implemente advertencias visuales para correos externos y establezca políticas de verificación para solicitudes financieras.

3. Detección y respuesta. Implemente herramientas de monitoreo que alerten sobre actividades anormales: inicios de sesión desde ubicaciones inusuales, descargas masivas de datos, intentos de acceso fallidos repetidos. La detección temprana es crucial para limitar daños.

4. Capacitación continua. Realice simulaciones de phishing trimestrales y capacitaciones sobre amenazas actuales. Los empleados deben saber cómo identificar intentos de ataque y sentirse cómodos reportando incidentes sospechosos sin temor a represalias.

5. Plan de respuesta a incidentes. Documente procedimientos claros para responder a diferentes tipos de ataques. Identifique roles y responsabilidades, contactos de emergencia y pasos de contención. Pruebe el plan regularmente mediante ejercicios de simulación.

Recursos específicos para LATAM

Organizaciones de reporte y colaboración:

OEA-CICTE: La Organización de Estados Americanos ofrece recursos de ciberseguridad específicos para la región, incluyendo capacitaciones gratuitas y alertas de amenazas.

CSIRT nacionales: La mayoría de países latinoamericanos tienen Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) que proporcionan alertas, asistencia técnica y coordinación de respuesta. En Bolivia, el Centro de Gestión de Incidentes Informáticos (CGII), dependiente de la AGETIC, es el CSIRT de alcance nacional y punto focal para la gestión de incidentes en el Estado.

Comunidades locales: Participe en grupos de seguridad locales como OWASP chapters, comunidades de SANS y grupos de LinkedIn especializados en ciberseguridad LATAM. Compartir información de amenazas beneficia a toda la comunidad empresarial.

La ciberseguridad efectiva en Latinoamérica no consiste en copiar manuales del primer mundo, sino en adaptar las amenazas globales a nuestro contexto. Los atacantes explotan características muy nuestras: la confianza en las autoridades, una adopción digital acelerada y los recursos limitados de las PyMEs. La buena noticia es que las medidas más efectivas —MFA, respaldos offline, contraseñas únicas y un poco de criterio frente a la urgencia— son también las más baratas. — David Morales Vega, Bemorex

En Bemorex, desde Oruro, Bolivia, acompañamos a pequeñas y medianas empresas con servicios de ciberseguridad —auditorías, pentesting y monitoreo— pensados para sus necesidades y presupuestos reales, no para los de una gran corporación. Ese trabajo de campo, sumado a proyectos de software empresarial como el ERP Zyrax para la Empresa Metalúrgica Vinto, donde la seguridad y la integridad de los datos no son opcionales, es lo que sustenta cada recomendación de esta guía. La seguridad no debería ser un privilegio de las grandes empresas: toda organización merece protección efectiva frente al cibercrimen. Si quiere una evaluación de la postura de seguridad de su empresa, conversemos.