Blog
El panorama de amenazas cibernéticas en América Latina es un ecosistema complejo y multifacético. Si bien el cibercrimen con motivación financiera, como el ransomware y el robo de datos, representa la mayor parte del volumen de ataques, una amenaza más sigilosa, sofisticada y estratégicamente significativa emana de los actores patrocinados por el estado, comúnmente conocidos como Amenazas Persistentes Avanzadas (APT). El informe "Panorama de Amenazas en América Latina para el 2025" de CrowdStrike subraya una realidad crítica: aunque las operaciones de los APT constituyen una fracción de la actividad cibernética documentada, su impacto potencial en la soberanía nacional, la estabilidad económica y la seguridad regional es desproporcionadamente alto. Estas operaciones no son aleatorias; están intrínsecamente ligadas a objetivos geopolíticos a largo plazo, y su amenaza depende directamente del sector, la ubicación geográfica y los eventos externos que configuran las relaciones internacionales.
Las operaciones cibernéticas observadas en América Latina no son incidentes aislados, sino que representan una extensión directa de la competencia estratégica global entre las principales potencias mundiales. La región se ha convertido en un teatro de operaciones clave donde actores estatales pueden recopilar inteligencia y proyectar influencia con un riesgo menor en comparación con la confrontación directa en dominios más disputados como Europa o Asia. En este tablero de ajedrez digital, tres actores estatales principales han demostrado una actividad notable y persistente: China, Corea del Norte y Rusia. Cada uno opera con un
modus operandi y un conjunto de motivaciones estratégicas distintas que dictan sus objetivos y tácticas en la región.
China, a través de sus adversarios designados como "PANDA", ejecuta campañas de ciberespionaje multifacéticas que se alinean estrechamente con sus ambiciones económicas y diplomáticas. Estas operaciones a menudo apoyan iniciativas de gran alcance como la "Ruta de la Seda Digital", buscando asegurar inversiones, monitorear la estabilidad política de sus socios comerciales y obtener una ventaja competitiva a través de la recopilación de inteligencia económica y tecnológica. Por su parte, los actores de Corea del Norte, conocidos como "CHOLLIMA", operan bajo una presión económica extrema debido a las sanciones internacionales. Sus actividades están impulsadas por una necesidad imperiosa de generar divisas, robar propiedad intelectual para superar sus deficiencias internas y llevar a cabo espionaje para apoyar los objetivos del régimen. Finalmente, Rusia, representada por adversarios como "BEAR", utiliza sus capacidades cibernéticas para la disrupción geopolítica y la recopilación de inteligencia. Sus operaciones a menudo explotan momentos de inestabilidad política, como transiciones gubernamentales, para obtener información sobre los nuevos alineamientos de política exterior y sembrar la discordia.
Este escenario se ve agravado por las vulnerabilidades estructurales de la región. Informes de la Organización de los Estados Americanos (OEA) y del Banco Interamericano de Desarrollo (BID) han señalado consistentemente la falta de preparación en ciberseguridad, la escasez de profesionales cualificados y marcos regulatorios insuficientes en muchos países latinoamericanos. Esta confluencia de vulnerabilidad y oportunidad convierte a América Latina en un objetivo particularmente atractivo. El alto volumen de cibercrimen actúa como un "ruido" de fondo que permite a los sofisticados actores estatales ocultar sus operaciones más dirigidas y sigilosas, dificultando la atribución y permitiéndoles operar con mayor impunidad que en dominios cibernéticos más maduros y vigilados.
Las operaciones cibernéticas de China en América Latina no pueden entenderse como actos aislados de espionaje, sino como un componente integral y sinérgico de su gran estrategia de política exterior. Estas actividades son el anverso de sus iniciativas económicas, particularmente la ambiciosa "Ruta de la Seda Digital" (DSR, por sus siglas en inglés). La DSR busca expandir la infraestructura digital global bajo el liderazgo chino, incluyendo redes 5G, cables submarinos de fibra óptica, centros de datos y sistemas de vigilancia inteligente. El ciberespionaje, en este contexto, funciona como una herramienta fundamental para asegurar el éxito de estas inversiones multimillonarias. Permite a Beijing monitorear la estabilidad política de los países receptores, evaluar la lealtad de sus socios, obtener ventajas en licitaciones y negociaciones, y, en última instancia, aprovechar la infraestructura desplegada para la recolección de inteligencia a largo plazo. La actividad de los adversarios vinculados a China, por lo tanto, crea un mosaico de inteligencia que abarca los ámbitos diplomático, de telecomunicaciones y de defensa, apoyando directamente los objetivos de la DSR en la región.
VIXEN PANDA, también conocido como APT15, Ke3Chang o Playful Dragon, se perfila como un actor de ciberespionaje tradicional, enfocado en objetivos de alto valor diplomático y político. Su actividad en América Latina es extensa y persistente, habiendo atacado a ministerios de relaciones exteriores, organizaciones gubernamentales y organizaciones no gubernamentales (ONG) en una amplia gama de países, incluyendo Argentina, Brasil, Chile, Colombia, México, Perú y Venezuela, entre otros. El objetivo principal es la recopilación de inteligencia sobre asuntos de diplomacia y geopolítica, lo que proporciona a Beijing una visión privilegiada de las deliberaciones internas, las estrategias de negociación y las alianzas de los gobiernos de la región.
Para lograr sus objetivos, VIXEN PANDA despliega un arsenal de herramientas sofisticadas. Una de sus piezas de malware más notables es Ketrican, una puerta trasera utilizada específicamente para atacar ministerios de relaciones exteriores en América del Norte y del Sur durante 2022 y 2023. El grupo también cuenta con un historial de uso de otras familias de malware como iWebRAT, Mirage y BS2005, a menudo distribuidas a través de campañas de spear-phishing que aprovechan eventos de actualidad.
Una de las tácticas más avanzadas y preocupantes empleadas por VIXEN PANDA es el uso de Redes de Cajas de Retransmisión Operativa (ORB, por sus siglas en inglés). En 2024, se observó al grupo utilizando una infraestructura rastreada como ORB02 para llevar a cabo intrusiones a nivel mundial, incluyendo objetivos en América del Sur. Las redes ORB representan una evolución estratégica en la infraestructura de comando y control (C2). Son redes de relevo compuestas por una mezcla de servidores privados virtuales (VPS) y dispositivos comprometidos, como routers de oficina/hogar (SOHO) y dispositivos de Internet de las Cosas (IoT). Esta infraestructura distribuida y a menudo administrada por contratistas independientes permite a múltiples grupos APT chinos enmascarar el origen de su tráfico, hacerlo pasar por actividad legítima y construir una red de C2 altamente resiliente y difícil de atribuir. Para los defensores en América Latina, la presencia de ORBs significa que las tácticas de defensa basadas en el bloqueo de Indicadores de Compromiso (IOC) como direcciones IP son insuficientes. Se requiere un enfoque más maduro, centrado en la detección de comportamientos anómalos en el tráfico de red.
Mientras VIXEN PANDA se enfoca en el espionaje político, LIMINAL PANDA persigue un objetivo de igual o mayor valor estratégico: la infiltración de proveedores de telecomunicaciones. En noviembre de 2024, se determinó que este adversario probablemente había obtenido acceso a redes de telecomunicaciones en Centro y Sudamérica. El compromiso de esta infraestructura crítica representa el "santo grial" para la inteligencia de señales (SIGINT), ya que proporciona acceso a un volumen masivo de comunicaciones de tránsito, incluyendo datos de gobiernos, empresas y ciudadanos.
La experiencia demostrada por LIMINAL PANDA en redes de telecomunicaciones, incluyendo un profundo entendimiento de las interconexiones entre proveedores y los protocolos de dispositivos móviles, sugiere un actor altamente especializado y bien financiado. Esta actividad se alinea directamente con las preocupaciones de seguridad expresadas por varias naciones occidentales sobre la creciente participación de empresas chinas como Huawei en el desarrollo de redes 5G en América Latina. El control o compromiso de la infraestructura de telecomunicaciones no solo permite la recolección pasiva de inteligencia, sino que también ofrece la capacidad de llevar a cabo operaciones más disruptivas en el futuro.
AQUATIC PANDA, atribuido a un contratista chino, completa el mosaico de inteligencia al centrarse en objetivos gubernamentales, de telecomunicaciones y, de manera crucial, militares. Entre 2022 y 2024, este adversario ha dirigido sus operaciones principalmente contra entidades en América del Sur. Sus actividades han incluido el ataque a servidores de correo electrónico de gobiernos y empresas de telecomunicaciones, así como la realización de reconocimiento contra entidades en Brasil. De particular importancia es la evidencia que indica que AQUATIC PANDA ha tenido como objetivo a entidades militares en Perú. Este enfoque sugiere una misión clara de recopilación de inteligencia de defensa, buscando obtener información sobre capacidades militares, planes estratégicos, adquisiciones de armamento y alianzas de defensa en la región.
A diferencia de las operaciones de China, que están impulsadas por una estrategia de expansión económica y geopolítica a largo plazo, las campañas cibernéticas de la República Popular Democrática de Corea (RPDC) nacen de la desesperación y la necesidad de supervivencia. Sometido a un régimen de sanciones internacionales sin precedentes, el gobierno de Pyongyang ha convertido sus capacidades cibernéticas en una herramienta indispensable de política estatal. Estas operaciones tienen un doble propósito: generar ingresos ilícitos para financiar sus programas de armamento y su élite gobernante, y llevar a cabo espionaje para robar tecnología y superar crisis internas agudas, como la escasez de alimentos. Esta diversificación de objetivos demuestra que el ciberespionaje ya no se limita a la obtención de secretos militares o diplomáticos, sino que se ha transformado en un instrumento versátil para abordar los problemas más fundamentales del estado. Este enfoque hace que el comportamiento de los actores norcoreanos sea más amplio y menos predecible que el de otros actores estatales.
STARDUST CHOLLIMA, un subgrupo del notorio Lazarus Group, se especializa en operaciones de generación de divisas a gran escala, con un enfoque particular en el sector de las criptomonedas. Este sector es un objetivo ideal debido a su naturaleza descentralizada, la dificultad para rastrear transacciones y una regulación a menudo incipiente, especialmente en algunas jurisdicciones de América Latina. En octubre de 2024, CrowdStrike identificó una intrusión de STARDUST CHOLLIMA contra una entidad de criptomonedas con sede en México.
Esta operación destaca por su sofisticación técnica y su adaptación a plataformas no tradicionales. El adversario utilizó MinKit, un malware diseñado específicamente para el sistema operativo macOS. Este hecho es significativo, ya que demuestra una inversión de recursos en el desarrollo de herramientas para atacar nichos de alto valor, como desarrolladores y ejecutivos de empresas de tecnología financiera, que frecuentemente utilizan dispositivos Apple. El uso de malware para macOS representa un desafío para los equipos de seguridad que tradicionalmente centran sus defensas en endpoints de Windows. La cadena de ataque observada fue compleja: MinKit actuó como un implante de primera etapa, utilizado para desplegar cargas útiles adicionales como
StreamInjector, Gilly Socket y ExtendedReach, cada una con funcionalidades específicas para la recolección de credenciales, el movimiento lateral y la exfiltración de datos.
El caso de SILENT CHOLLIMA ilustra de la manera más cruda cómo las necesidades internas de la RPDC impulsan directamente sus objetivos de ciberespionaje. A finales de 2023, este actor fue observado implantando la puerta trasera NineRAT en una entidad del sector agrícola en Colombia. La elección de este objetivo, a primera vista inusual para un actor estatal, se vuelve perfectamente lógica cuando se considera en el contexto de la "actual escasez de alimentos" que sufre Corea del Norte, como se menciona en el informe.
Esta operación sugiere una misión de inteligencia destinada a obtener información sobre técnicas agrícolas, logística de la cadena de suministro de alimentos, investigación y desarrollo en agrotecnología, o incluso datos comerciales que podrían ser utilizados para negociar importaciones de alimentos de manera más favorable. El uso de malware como NineRAT, una variante de RATs más conocidos como TigerRAT , indica que el grupo posee un arsenal robusto y adaptable que puede desplegar contra una variedad de sectores, dependiendo de las prioridades dictadas por el liderazgo en Pyongyang.
FAMOUS CHOLLIMA emplea una de las tácticas más pacientes, innovadoras y alarmantes observadas en el panorama de amenazas: la infiltración a través del empleo legítimo. En 2024, se detectó actividad de este adversario en Argentina, Brasil y Uruguay, donde sus operadores obtuvieron ilícitamente trabajo, ya sea como freelancers o empleados a tiempo completo, en diversas empresas.
Esta estrategia de "amenaza interna" tiene un doble objetivo sumamente eficaz. En primer lugar, genera un flujo de ingresos legítimos a través de salarios, que luego son canalizados de vuelta a la RPDC, contribuyendo directamente a eludir las sanciones económicas. En segundo lugar, y más peligrosamente, proporciona al adversario un acceso persistente y de confianza a las redes corporativas. Una vez dentro, el operador puede moverse con mucha más libertad que un atacante externo, superando las defensas perimetrales y utilizando su posición para implantar malware, recopilar información sensible sobre tecnología, procesos de negocio y propiedad intelectual, y establecer una cabeza de puente para operaciones de espionaje a largo plazo. Esta táctica es extremadamente difícil de detectar, ya que se basa en la explotación de la confianza humana y los procesos de contratación, en lugar de vulnerabilidades técnicas.
Las operaciones cibernéticas de Rusia, a menudo atribuidas a su Dirección Principal de Inteligencia (GRU), se caracterizan por su alineación con los objetivos geopolíticos del Kremlin: socavar la influencia de Estados Unidos y sus aliados, sembrar discordia política en democracias occidentales y recopilar inteligencia sobre los alineamientos de política exterior de gobiernos clave. A diferencia del enfoque económico a largo plazo de China, las acciones de Rusia suelen ser más oportunistas y reactivas, explotando eventos políticos específicos para maximizar su impacto.
El adversario FANCY BEAR, también conocido como APT28, es uno de los actores de amenazas más notorios y prolíficos asociados al GRU. Su actividad en América Latina, aunque menos voluminosa que la de los actores chinos, es tácticamente precisa y se centra en momentos de alta relevancia geopolítica. Un ejemplo claro de esto fue la campaña de
spear-phishing dirigida contra el gobierno de Argentina a principios de enero de 2024.
Este ataque no fue casual; ocurrió inmediatamente después de la elección presidencial de Javier Milei, cuyo resultado representó un cambio drástico en la política exterior argentina. La nueva administración señaló una clara intención de alinearse con Estados Unidos e Israel, distanciándose de socios tradicionales como China y Rusia. Esta transición política creó una ventana de oportunidad perfecta para FANCY BEAR. Los períodos de cambio de gobierno son inherentemente vulnerables: el personal de las agencias está en flujo, los protocolos de seguridad pueden estar siendo revisados y existe un alto volumen de comunicaciones legítimas relacionadas con la transición, lo que hace que los correos electrónicos de phishing sean más difíciles de discernir.
La campaña de FANCY BEAR probablemente tenía como objetivo recopilar inteligencia sobre la nueva dirección del gobierno de Milei: sus nombramientos clave, sus primeras deliberaciones sobre política exterior, sus comunicaciones con socios occidentales y su postura sobre temas de interés para Moscú, como la guerra en Ucrania. El ciberespionaje, en este caso, actúa como un barómetro geopolítico, una herramienta para que el Kremlin evalúe rápidamente la naturaleza y la velocidad de este realineamiento político.
Desde una perspectiva técnica, el uso del spear-phishing (Técnica T1566 del framework MITRE ATT&CK) demuestra la continua eficacia de las tácticas clásicas. Aunque FANCY BEAR posee capacidades para desarrollar y desplegar malware complejo y exploits de día cero , la elección del phishing no indica una falta de sofisticación, sino una decisión táctica. El spear-phishing es una técnica de bajo costo y alto retorno de la inversión, que explota la psicología humana en lugar de las vulnerabilidades del software. Cuando se sincroniza con un evento político que genera incertidumbre y un alto volumen de comunicaciones, su probabilidad de éxito aumenta exponencialmente.
Una defensa eficaz contra las Amenazas Persistentes Avanzadas (APT) exige una evolución desde un enfoque reactivo, basado en el cumplimiento de normativas, hacia una estrategia proactiva y centrada en la inteligencia de amenazas. Como subraya el informe de CrowdStrike, es fundamental "conocer a tu adversario y mantenerse preparado". Esto implica utilizar el conocimiento detallado sobre los TTPs, las motivaciones y los objetivos de los actores estatales que operan en la región para priorizar y adaptar las defensas. Las recomendaciones de seguridad genéricas adquieren un valor práctico solo cuando se traducen en controles específicos que contrarrestan directamente las amenazas reales que enfrentan las organizaciones en América Latina.
Los adversarios apuntan cada vez más a las identidades como el vector de acceso inicial y de movimiento lateral. Esta recomendación es una respuesta directa a las campañas de spear-phishing de FANCY BEAR contra objetivos gubernamentales y a las tácticas de recolección de credenciales empleadas por actores como VIXEN PANDA.
Los APTs a menudo utilizan herramientas legítimas del sistema operativo ("living-off-the-land") y se mueven sigilosamente entre diferentes dominios (endpoints, redes, nube, identidades) para evadir las defensas basadas en silos.
A medida que las organizaciones migran cargas de trabajo críticas a la nube, los adversarios siguen su ejemplo. Las operaciones de LIMINAL PANDA y AQUATIC PANDA, que se centran en infraestructura crítica a menudo alojada o interconectada con la nube, subrayan la urgencia de esta recomendación.
El volumen de nuevas vulnerabilidades es abrumador. Priorizar únicamente en función de la puntuación CVSS (Common Vulnerability Scoring System) es ineficaz, ya que no tiene en cuenta el contexto del adversario ni el del negocio.
El panorama de amenazas en América Latina no es estático. Los actores estatales están en una constante carrera de innovación para eludir las defensas. El informe de CrowdStrike destaca una tendencia emergente: la adopción de lenguajes de programación más modernos como Rust por parte de los desarrolladores de malware para crear herramientas más evasivas y difíciles de analizar mediante ingeniería inversa. Esta evolución subraya que las defensas no pueden depender únicamente de firmas estáticas; deben ser adaptables y centrarse en la detección basada en el comportamiento.
Las predicciones para los próximos años indican un aumento de los ataques a la cadena de suministro y a la infraestructura crítica en la región, lo que refuerza la necesidad de implementar las defensas estratégicas descritas. En última instancia, la resiliencia cibernética en América Latina no dependerá de una única tecnología, sino de la adopción de un enfoque holístico e impulsado por la inteligencia que permita a las organizaciones anticipar, detectar y responder a las acciones de los adversarios más sofisticados del mundo.
