El panorama en 2025: un antes y un después
El año 2025 quedará grabado en los registros de ciberseguridad latinoamericana como el período de mayor actividad de ransomware que la región haya experimentado. Según datos consolidados de múltiples fuentes de inteligencia, los ataques confirmados en América Latina crecieron un 340% interanual, superando incluso las proyecciones más pesimistas publicadas a fines de 2024.
La confluencia de varios factores explica esta escalada sin precedentes: la madurez operativa de grupos que antes solo apuntaban a Norteamérica y Europa, la adopción acelerada de infraestructura cloud mal configurada en la región, la escasez de talento en ciberseguridad defensiva, y la percepción —muchas veces correcta— de que las empresas latinoamericanas pagan rescates con menor resistencia legal que sus pares europeas.
El impacto económico total de los incidentes de ransomware en LATAM durante 2025 se estima en USD 4.700 millones, considerando rescates pagados, tiempos de recuperación, multas regulatorias y pérdida de negocio. Esta cifra representa casi el triple del impacto estimado en 2023.
Dato crítico: El tiempo promedio entre la intrusión inicial y el despliegue del ransomware bajó de 14 días (2023) a apenas 4.2 días en 2025, dejando ventanas de detección extremadamente reducidas.
Grupos activos en LATAM
El ecosistema de ransomware-as-a-service (RaaS) que opera en América Latina en 2025 está dominado por cinco grupos principales, cada uno con TTPs diferenciadas y objetivos sectoriales específicos.
M
Medusa
Activo en LATAM desde 2023, Medusa escaló sus operaciones en 2025 enfocándose en el sector financiero argentino, brasileño y colombiano. Su modelo de doble extorsión incluye publicación de datos en su dark-web blog si el rescate no se paga en 7 días. Han comprometido más de 45 organizaciones en la región solo en el primer trimestre.
Phishing spearProxyLogon/ProxyShellCobalt StrikeAnyDesk abuse
L
LockBit 3.0
A pesar de la operación Cronos de 2024 que desmanteló parte de su infraestructura, LockBit 3.0 resurgió en 2025 con affiliates latinoamericanos más activos que nunca. Sus ataques en México y Brasil incluyeron hospitales, plantas manufactureras y entidades gubernamentales.
RDP brute forceCredential stuffingPsExecWMI lateral movement
B
BlackCat / ALPHV
El grupo abandonó oficialmente su operación en marzo 2024 tras el ataque a Change Healthcare, pero varios affiliates se reorganizaron bajo nuevas marcas que conservan el ransomware ALPHV/BlackCat. En LATAM continúan activos bajo aliases como 'ShadowCat', principalmente en Chile y Perú.
Living off the landAzure AD abuseExfil to Mega.nzIntermittent encryption
C
Cl0p
Especialista en ataques a cadenas de suministro de software, Cl0p explotó vulnerabilidades en productos ampliamente usados en LATAM (MOVEit, GoAnywhere) para comprometer docenas de empresas simultáneamente sin necesidad de acceso directo a las víctimas finales.
Zero-day exploitationSupply chainMFT software abuseMass exploitation
Países más afectados
La distribución geográfica de los ataques refleja tanto el tamaño económico de los países como sus capacidades de defensa cibernética relativa.
Brasil
38%
México
22%
Argentina
14%
Colombia
9%
Chile
7%
Perú
5%
Otros
5%
Sectores objetivo
Los atacantes en 2025 han reforzado su preferencia por sectores con alta presión operativa para pagar rápidamente, datos sensibles de alto valor y, en muchos casos, capacidades defensivas por debajo del promedio.
🏥
Salud y hospitalesCRÍTICO
Presión máxima por continuidad, datos de pacientes de alto valor
🏦
Servicios financierosCRÍTICO
Múltiples vectores: BEC, VPN vulnerables, APIs expuestas
🏭
ManufacturaALTO
Convergencia IT/OT amplía superficie de ataque
🏛️
GobiernoALTO
Sistemas legacy, presupuestos bajos, alta visibilidad
🎓
EducaciónALTO
Redes abiertas, usuarios sin entrenamiento
📦
Retail y logísticaMEDIO
Supply chains complejas, puntos de venta vulnerables
Anatomía de un ataque moderno
El ciclo de ataque de ransomware moderno sigue un patrón bien documentado por el framework MITRE ATT&CK. Entender cada fase es fundamental para interrumpir la kill chain antes del cifrado final.
01
Initial Access
Phishing con adjuntos maliciosos, explotación de VPNs vulnerables (Cisco, Fortinet), RDP expuesto al exterior. En 2025, el 67% de los accesos iniciales en LATAM fueron vía credenciales compradas en mercados underground.
02
Persistence
Instalación de webshells, creación de cuentas administrativas, modificación de tareas programadas. Los atacantes aseguran múltiples puntos de retorno antes de avanzar.
03
Lateral Movement
PsExec, WMI, BloodHound para mapear Active Directory, pass-the-hash, Kerberoasting. El objetivo es comprometer el Domain Controller para máxima propagación.
04
Exfiltración
Antes de cifrar, los datos son exfiltrados a servidores controlados por los atacantes. Este paso habilita la doble extorsión: pagar o ver los datos publicados.
05
Ransomware Deployment
El cifrado final se ejecuta típicamente en horarios de baja actividad (madrugada, fines de semana). En minutos, miles de endpoints quedan inoperativos.
Protección contra ransomware
¿Tu empresa está protegida contra ransomware?
Evaluamos tu postura de seguridad contra las técnicas usadas por Medusa, LockBit y BlackCat. Resultado en 48 horas.
Cómo protegerse: estrategia en capas
No existe una bala de plata contra el ransomware. La defensa efectiva requiere múltiples capas de control, cada una diseñada para interrumpir la kill chain en distintas fases del ataque.
Prevención
- MFA obligatorio en todos los accesos
- Parcheo acelerado (SLA < 72h)
- Segmentación de red
- Email filtering avanzado
- Disable RDP externo
Detección
- EDR en 100% de endpoints
- SIEM con reglas LATAM-específicas
- Network traffic analysis
- Monitoreo AD 24/7
- Honeypots internos
Recuperación
- Backups offline testeados
- Plan de IR documentado
- Retainer con empresa de IR
- RTO/RPO definidos
- Comunicación de crisis
Recomendaciones técnicas específicas
Implementar MFA resistente a phishing
Las soluciones TOTP estándar son bypasseables mediante AiTM proxies. Migrar a FIDO2/WebAuthn o certificados de dispositivo. Microsoft Authenticator con Conditional Access es una opción razonable para entornos Azure.
Deshabilitar NTLM y forzar Kerberos
NTLM relay y pass-the-hash siguen siendo vectores primarios de lateral movement. Usar GPO para deshabilitar NTLMv1, restringir NTLMv2 a casos específicos y habilitar Protected Users security group en AD.
Regla 3-2-1-1-0 para backups
3 copias, 2 medios distintos, 1 offsite, 1 air-gapped/offline. El cero representa 'cero backups sin verificar'. Los grupos de ransomware apuntan activamente a los sistemas de backup antes de cifrar.
EDR con capacidad de rollback
Soluciones EDR líderes del mercado y el agente qatech360 pueden revertir cambios realizados por ransomware antes de que el cifrado sea completo. Este feature puede ser la diferencia entre un incidente menor y uno catastrófico.
Conclusión
El ransomware en América Latina ha alcanzado un nivel de sofisticación y volumen que ya no permite respuestas reactivas. Las organizaciones que sobrevivieron intactas en 2025 no fueron las que no fueron atacadas — fueron las que tenían controles suficientemente maduros para interrumpir la kill chain antes del cifrado.
La pregunta ya no es "si" tu organización será atacada, sino "cuándo" y "qué tan preparada estás". Invertir en detección temprana, respuesta a incidentes y controles preventivos robustos tiene un ROI medible: el costo promedio de un incidente de ransomware es 80 veces superior al costo anual de una solución de seguridad adecuada.
En qatech360 monitoreamos continuamente la actividad de los grupos más relevantes para LATAM y actualizamos nuestras reglas de detección en tiempo real. Si querés saber cómo tu organización se compara con el benchmark de la industria, solicitá nuestra evaluación de seguridad gratuita.