Según el Índice de Inteligencia de Amenazas X-Force 2025 publicado por IBM, Latinoamérica concentró el 8% de todos los incidentes respondidos por X-Force en 2024, frente a un 12% del año anterior.
El reporte señala que los delincuentes cibernéticos siguieron utilizando enfoques más discretos, con un incremento en el robo de credenciales menos prominentes, mientras que las incursiones de ransomware en los negocios decrecieron. IBM X-Force registró un incremento del 84% en los correos electrónicos que distribuían infostealers en 2024 en comparación con el año anterior, un método que es fundamental para que los cibercriminales aumenten los ataques de suplantación de identidad. El informe de 2025 monitorea las tendencias nuevas y ya existentes, así como patrones de ataque, fundamentándose en los compromisos de respuesta a incidentes, la dark web y diversas fuentes de inteligencia sobre amenazas.
Entre las principales conclusiones del informe de 2025 se incluyen las siguientes:
• Las entidades de infraestructura crítica constituyeron el 70% de todos los incidentes a los que IBM X-Force reaccionó en el año anterior, siendo más de un cuarto de estos incidentes generados por la explotación de vulnerabilidades.
• Un mayor número de cibercriminales decidió sustraer información (18%) en lugar de encriptarla (11%), ya que las tecnologías de detección más sofisticadas y el incremento en las acciones de la ley los están llevando a elegir opciones de escape más rápidas.
• Casi un tercio de los incidentes registrados en 2024 resultó en el hurto de credenciales, dado que los perpetradores emplean diversas estrategias para ingresar, extraer y capitalizar rápidamente los datos de acceso.
“La mayoría de las veces, los hackers irrumpen sin romper nada, sino que aprovechan las brechas de identidad que tienen los multiples sistemas en entornos on premise y de nube híbrida, ofreciendo a los atacantes múltiples puntos de acceso. Las empresas deben alejarse de una mentalidad de prevención ad-hoc y centrarse en medidas proactivas como modernizar la gestión de la autenticación”, apuntó Nicolas Mucci, Director de Servicios de Ciberseguridad, IBM Consulting Latinoamérica.
La sujeción a sistemas tecnológicos anticuados y los prolongados intervalos de actualizaciones se presentan como un obstáculo persistente para las entidades de infraestructura esencial, puesto que los hackers han aprovechado debilidades en más de un cuarto de los casos que IBM X-Force atendió en este ámbito el año pasado.
Al analizar las vulnerabilidades y exposiciones comunes (CVE) más destacadas en los foros de la dark web, IBM X-Force 2025 identificó que cuatro de las diez más relevantes están asociadas con grupos de actores de amenazas muy avanzados, incluyendo aquellos respaldados por estados-nación, lo que incrementa la posibilidad de interrupciones, espionaje y chantaje financiero. Los códigos de explotación de estas vulnerabilidades se han vendido abiertamente en diversos foros, lo que ha fomentado un mercado en expansión de ataques dirigidos a infraestructuras eléctricas, sistemas de salud y operaciones industriales. Esta transferencia de información entre actores motivados económicamente y contrincantes estatales resalta la creciente necesidad de supervisar la web oscura para asistir en el desarrollo de estrategias de gestión de parches y para identificar amenazas potenciales antes de que sean utilizadas.
En el año 2024, IBM X-Force detectó un incremento en los correos electrónicos de phishing que distribuían ladrones de información, y los datos iniciales para 2025 muestran un crecimiento aún más notable del 180% respecto a 2023. Este aumento constante que impulsa las tomas de control de cuentas puede ser atribuido a que los cibercriminales utilizan la inteligencia artificial para generar correos electrónicos de phishing masivos.
El robo de credenciales y los ladrones de datos han convertido los ataques de identidad en una actividad económica de bajo costo, fácil de escalar y muy lucrativa para los delincuentes cibernéticos. Los ladrones de datos facilitan la rápida sustracción de información, lo que minimiza su tiempo en el lugar del ataque y deja escasos rastros forenses. Para el año 2024, los cinco principales ladrones de datos estaban ofreciendo más de ocho millones de anuncios en la dark web, y cada listado podría incluir cientos de credenciales. Los ciberamenazadores también están comercializando kits de phishing de adversarios en el medio (AITM) y servicios personalizados de ataque AITM en la dark web, con el fin de eludir la autenticación multifactor (MFA). La profusión de credenciales comprometidas y las tácticas para evitar la MFA demuestran una economía con gran demanda de accesos no autorizados que no muestra indicios de freno.
Aunque la mayor parte de los casos de malware en 2024, con un 28%, correspondieron a ransomware, el IBM X-Force detectó una reducción en los incidentes de este tipo en general en comparación con el año anterior, con un incremento en los ataques de identidad para llenar el vacío.
Los esfuerzos globales de desarticulación están forzando a los grupos de ransomware a modificar sus modelos de operación de alto riesgo hacia enfoques más seguros y descentralizados. Por ejemplo, IBM X-Force 2025 notó que grupos de malware previamente sólidos, como ITG23 (también conocido como Wizard Spider, Trickbot Group) y ITG26 (QakBot, Pikabot), finalizaron totalmente sus actividades o se desplazaron hacia otros tipos de malware, incluyendo el uso de nuevas familias de corta duración, mientras los grupos criminales intentan reemplazar las botnets que fueron desmanteladas el año anterior.
A pesar de que no se produjeron ataques masivos a las tecnologías de IA en 2024, investigadores en ciberseguridad están trabajando rápidamente para detectar y solucionar las debilidades antes de que los hackers las aprovechen. Problemas como la vulnerabilidad de ejecución remota de código, que fue identificada por IBM X-Force en un marco destinado a construir agentes de IA, serán cada vez más comunes. Con el aumento en la adopción en 2025, también se intensificarán los incentivos para que los adversarios diseñen herramientas específicas de ataque enfocadas en la IA, lo que hace crucial que las organizaciones protejan su infraestructura de IA desde el principio.
Otras conclusiones adicionales adicionales del informe 2025 para Latinoamérica incluyen:
• La región representó el 8% de los eventos ocurridos en 2024, enfocándose en iniciativas concretas dirigidas a mantener la operatividad de las infraestructuras esenciales y los sistemas monetarios.
• Los invasores emplearon con regularidad la vulnerabilidad de aplicaciones públicas (50%) como el principal método de acceso inicial, seguido de los adjuntos de phishing-spearphishing (25%) y las cuentas de dominio legítimas (25%).
• Los efectos más significativos en la región fueron la obtención de credenciales (40%) y la extorsión (40%), además de que se registraron deterioros en la imagen de la marca (20%).
• El ámbito financiero y de seguros en América Latina ocupó el primer lugar, con un 33% de los casos reportados. Le siguieron la industria manufacturera con un 20%, el sector energético también con un 20%, y los servicios profesionales, empresariales y de consumo, con un 13%.
