Eset traza un mapa regional del malware y ubica a Perú como foco principal

Un análisis basado en telemetría recopilada durante el último año trazó un “mapa del cibercrimen” en América Latina y ubicó a Perú, México, Argentina, Brasil y Colombia como los países con mayor actividad de malware en la región. El relevamiento detalla la distribución de amenazas por país y expone patrones comunes en campañas que se repiten en distintos territorios.

La lectura regional muestra recurrencias en familias de malware y en tácticas de distribución. “Al analizar la telemetría de la región es posible observar que muchas amenazas se repiten en distintos países. Esto puede indicar cooperación entre grupos que operan en América Latina o que un mismo grupo está distribuyendo variantes específicas de malware en varios territorios”, dijo Daniel Cunha Barbosa, especialista en seguridad informática de Eset Latinoamérica.

Perú encabeza el listado, con un crecimiento gradual en las detecciones y, en algunos casos, como punto inicial de campañas que luego se extendieron a otros países latinoamericanos. En ese mercado, muchos ataques se dirigieron a organismos gubernamentales y sectores críticos. Entre las amenazas más detectadas aparecen Backdoor.Win32/Tofsee, Trojan.PDF/Phishing.D.Gen y Trojan.Win32/TrojanDownloader.Rugmi.AOS.

México ocupa el segundo lugar del ranking y se lo describe como un objetivo significativo para los ciberdelincuentes, con fuerte incidencia de phishing y ransomware impulsados por campañas de ingeniería social. Las detecciones destacadas fueron Trojan.Win32/TrojanDownloader.Rugmi.AOS, Trojan.PDF/Phishing.A.Gen y Trojan.Win32/Spy.Banker.AEHQ.

Argentina se ubicó tercera, con un incremento sostenido en los ataques registrados. Los sectores más afectados incluyen el área de salud y el sector público. Las amenazas más detectadas en el país fueron Trojan.Win32/TrojanDownloader.Rugmi.AOS, Trojan.Win32/Exploit.CVE-2012-0143.A y Trojan.HTML/Phishing.Agent.AUW.

Brasil aparece en cuarto lugar y, como se observó en análisis anteriores, el tipo de amenaza que más afecta al país es el troyano bancario. En este caso, las detecciones más frecuentes fueron Trojan.JS/Spy.Banker.KN, Trojan.Win32/TrojanDownloader.Rugmi.AOS y Trojan.HTML/Phishing.Agent.BGB. Colombia completa el listado con un crecimiento acelerado en el volumen de ataques por organización, con énfasis en campañas de malware y explotación de vulnerabilidades conocidas; allí se destacaron Trojan.Win32/TrojanDownloader.Rugmi.AOS, Trojan.PDF/Phishing.D.Gen y Trojan.Win64/Kryptik.EDF.

El análisis destaca la presencia recurrente de Rugmi en distintos países. Este malware funciona como downloader, es decir, permite analizar la infraestructura del entorno comprometido antes de desplegar la carga maliciosa final. “El uso de etapas previas a la infección permite a los atacantes analizar el entorno comprometido antes de continuar con el ataque. Este enfoque dificulta que los equipos de seguridad identifiquen rápidamente qué tipo de amenaza están enfrentando y complica el análisis del artefacto principal”, dijo Barbosa.

Otra constante es la alta presencia de phishing genérico, identificado como Trojan.PDF/Phishing y Trojan.HTML/Phishing, con variantes que no pueden asociarse directamente a amenazas más estructuradas. En Argentina, además, se resaltó la detección del exploit CVE-2012-0143, que aprovecha un manejo inadecuado de memoria en herramientas de la suite Office y que, pese a su antigüedad —más de catorce años—, continúa siendo efectivo.

Entre las recomendaciones para reducir el riesgo de incidentes se incluyen mantener sistemas actualizados, proteger todos los dispositivos dentro de la infraestructura y aprovechar fuentes de inteligencia de amenazas externas.