El informe Compromise Report 2026 de Lumu Technologies identifica cuatro grandes tendencias de ciberseguridad relacionadas con el uso de herramientas y técnicas por parte de los delincuentes, tales como anonymizers, droppers y downloaders, infostealers y ransomware.
El reporte da cuenta de un aumento sostenido de la actividad maliciosa en Latinoamérica, impulsado por la rápida digitalización de sectores esenciales y brechas persistentes en los controles de seguridad. En Centroamérica y el Caribe, Gobierno (27,1%) y Telecomunicaciones (22,9%) concentran la mayor exposición a infostealers, mientras que en ransomware estos mismos sectores registran el mayor impacto, con 27,7% y 16,6%, respectivamente. En Sudamérica, Telecomunicaciones (22,1%) y Gobierno (17,5%) son los sectores más afectados por infostealers, mientras que el ransomware apunta principalmente a Telecomunicaciones (23,3%) y Educación (23,3%). En tanto, en México los sectores de Telecomunicaciones (22,2%) y Educación (20,2%) son los más impactados por infostealers, mientras que en ransomware los mayores niveles de afectación se encuentran en Educación (35,7%) y Telecomunicaciones (32,1%).
Ricardo Villadiego, fundador y CEO de Lumu, afirma que “este año hemos observado un cambio estratégico en los métodos de ataque, pasando de malware altamente visible a técnicas mucho más sigilosas. Ya no buscamos al enemigo en la puerta; debemos asumir que ya está dentro. Los atacantes han perfeccionado la capacidad de camuflar su actividad dentro de herramientas legítimas y del ruido normal de la red, sustituyendo la fuerza bruta por evasión basada en comportamiento, y favoreciendo el uso de anonymizers, DNS tunneling y dominios generados con IA”.
“Nuestro informe más reciente funciona como un plan de batalla para los líderes de seguridad, al desglosar la anatomía de estas nuevas amenazas invisibles, desde Keitaro hasta DeathRansom. Además, resalta la importancia del monitoreo continuo, la integración fluida de herramientas y el uso de inteligencia de amenazas accionable”, agrega Villadiego.
El informe de ciberseguridad de Lumu revela que los atacantes han abandonado las brechas “ruidosas” para adoptar estrategias de evasión “lentas y silenciosas” (low-and-slow), dominando las tácticas de Living-off-the-Land y ocultándose en herramientas ya existentes. Para ello emplean VPNs, sistemas legítimos de distribución de tráfico o canales de DNS cifrado. Según el reporte, la evidencia más clara de este cambio se refleja en las Tactics, Techniques, and Procedures (TTPs).
Los datos del framework MITRE ATT&CK exhiben una tendencia clara: los atacantes están priorizando la evasión. Notablemente, Command and Control (C2) ha reemplazado a “Execution” (ejecución de código o comandos dentro de la red) dentro de las tres principales TTPs, lo que muestra un cambio de prioridades: los adversarios están menos enfocados en ejecutar código destructivo de inmediato y más en mantener un canal persistente y silencioso dentro de las redes, sin levantar alertas.
Los principales hallazgos del informe de Lumu incluyen:
● La anonimización se mantuvo durante todo el año como el Indicador de Compromisos (IoC) más detectado, consolidándose como una táctica fundamental.
● Los “anonymizers” más detectados a nivel global incluyen servicios como Tor y VPNs privadas.
● Lumu identificó con mayor frecuencia el dropper Keitaro, un sistema de distribución de tráfico (TDS) legítimo utilizado por equipos de marketing para redirigir tráfico web, que los atacantes han construido para crear una especie de “alfombra roja” para el malware.
● Pese a las acciones de desmantelamiento contra el infostealer Lumma Stealer, basado en el modelo malware-as-a-service (MaaS), los sensores de Lumu Technologies detectaron nuevas infecciones de Lumma, más resilientes, a fines de julio de 2025.
● Aunque Lumma sigue siendo dominante, el panorama evolucionó con la aparición de nuevos ladrones de credenciales financieras como MagentoCore, Remo y Ramnit.
● El ecosistema de ransomware en 2025 estuvo marcado por la fragmentación de grupos que se separaron de bandas grandes y conocidas, con DeathRansom como el grupo más relevante.
En tanto, en el panorama de amenazas de ciberseguridad para Latinoamérica destacan las siguientes:
● DeathRansom se consolidó como la principal familia de ransomware en Latinoamérica, concentrando 62,5% de las detecciones en Centroamérica y el Caribe y 53,3% en Sudamérica, superando ampliamente a otros grupos como Interlock y MOvy / Maze Ransom.
● A nivel país, la mayor concentración de actividad asociada a DeathRansom se registraron en: Brasil (33,3%), Argentina (22,9%) y Colombia (20,8%) en Sudamérica; en Guatemala (46,7%), República Dominicana (13,3%) y Costa Rica (13,3%) en Centroamérica y el Caribe; y en México (42,9%) dentro de Norteamérica.
● En la región, Keitaro afectó principalmente a países como: Argentina (28,8%), Guatemala (37,5%) y México (32,8%)
● Las campañas de infostealers dominaron gran parte de la actividad maliciosa en la región, con Lumma Stealer como la familia más detectada tanto en Centroamérica y el Caribe (29,2%) como en Sudamérica (43,1%).
El informe completo está disponible en https://lumu.io/compromise-report-2026
