Lumu Technologies, la compañía de ciberseguridad pionera en el modelo de Continuous Compromise Assessment®, presentó hoy su informe Compromise Report 2026, en el que identifica cuatro grandes tendencias de ciberseguridad asociadas al uso de herramientas y técnicas por parte de los delincuentes como: anonymizers, droppers y downloaders, infostealers y ransomware.
El informe evidencia un aumento sostenido de la actividad maliciosa en Latinoamérica, impulsado por la rápida digitalización de sectores estratégicos y brechas persistentes en los controles de seguridad. En Centroamérica y el Caribe, Gobierno (27,1%) y Telecomunicaciones (22,9%) concentran la mayor exposición a infostealers, mientras que en ransomware estos mismos sectores registran el mayor impacto, con 27,7% y 16,6%, respectivamente. En Sudamérica, Telecomunicaciones (22,1%) y Gobierno (17,5%) son los sectores más afectados por infostealers, mientras que el ransomware se dirige principalmente a Telecomunicaciones (23,3%) y Educación (23,3%). Por su parte, en México los sectores de Telecomunicaciones (22,2%) y Educación (20,2%) son los más impactados por infostealers, mientras que en ransomware los mayores niveles de afectación se concentran en Educación (35,7%) y Telecomunicaciones (32,1%).
“Este año hemos observado un cambio estratégico en los métodos de ataque, pasando de malware altamente visible a técnicas mucho más sigilosas. Ya no buscamos al enemigo en la puerta; debemos asumir que ya está dentro. Los atacantes han perfeccionado la capacidad de camuflar su actividad dentro de herramientas legítimas y del ruido normal de la red, sustituyendo la fuerza bruta por evasión basada en comportamiento, y favoreciendo el uso de anonymizers, DNS tunneling y dominios generados con IA”, afirmó Ricardo Villadiego, fundador y CEO de Lumu.
“Nuestro informe más reciente funciona como un plan de batalla para los líderes de seguridad, al desglosar la anatomía de estas nuevas amenazas invisibles, desde Keitaro hasta DeathRansom. Además, resalta la importancia del monitoreo continuo, la integración fluida de herramientas y el uso de inteligencia de amenazas accionable”, añade Villadiego.
El informe de Lumu revela que los atacantes han dejado atrás las brechas “ruidosas” para adoptar estrategias de evasión “lentas y silenciosas” (low-and-slow), dominando las tácticas de Living-off-the-Land y ocultándose dentro de herramientas ya existentes. Para ello, pueden utilizar VPNs, sistemas legítimos de distribución de tráfico o canales de DNS cifrado. El reporte señala que la evidencia más clara de este cambio se refleja en las Tactics, Techniques, and Procedures (TTPs).
Los datos del framework MITRE ATT&CK muestran una tendencia clara: los atacantes están priorizando la evasión por encima de todo. De forma notable, Command and Control (C2) ha reemplazado a “Execution” (ejecución de código o comandos dentro de la red) dentro de las tres principales TTPs, lo que indica un cambio de prioridades: los adversarios están menos enfocados en ejecutar código destructivo de inmediato y más en mantener un canal persistente y silencioso dentro de las redes, sin activar alertas
Entre los principales hallazgos del informe de Lumu se destacan:
- La anonimización se mantuvo durante todo el año como el Indicador de Compromisos (IoC) más detectado, consolidándose como una táctica fundamental.
- Los ‘anonymizers’ más detectados a nivel global incluyen servicios como Tor y VPNs privadas.
- Lumu detectó con mayor frecuencia el dropper Keitaro, un sistema de distribución de tráfico (TDS) legítimo utilizado por equipos de marketing para redirigir tráfico web, que los atacantes han construido para crear una especie de “alfombra roja” para el malware.
- A pesar de las acciones de desmantelamiento contra el infostealer Lumma Stealer, basado en el modelo malware-as-a-service (MaaS), los sensores de Lumu Technologies detectaron nuevas infecciones de Lumma, más resilientes, a finales de julio de 2025.
- Aunque Lumma sigue siendo dominante, el panorama evolucionó con la aparición de nuevos ladrones de credenciales financieras como MagentoCore, Remo y Ramnit.
- El ecosistema de ransomware en 2025 estuvo marcado por la fragmentación de grupos que se separaron de bandas grandes y conocidas, siendo DeathRansom el grupo más relevante.
Panorama de amenazas para Latinoamérica:
- DeathRansom se consolidó como la principal familia de ransomware en Latinoamérica, concentrando 62,5% de las detecciones en Centroamérica y el Caribe y 53,3% en Sudamérica, superando ampliamente a otros grupos como Interlock y MOvy / Maze Ransom.
- A nivel país, la mayor concentración de actividad asociada a DeathRansom se registraron en: Brasil (33,3%), Argentina (22,9%) y Colombia (20,8%) en Sudamérica; en Guatemala (46,7%), República Dominicana (13,3%) y Costa Rica (13,3%) en Centroamérica y el Caribe; y en México (42,9%) dentro de Norteamérica.
- En la región, Keitaro afectó principalmente a países como: Argentina (28,8%), Guatemala (37,5%) y México (32,8%)
- Las campañas de infostealers dominaron gran parte de la actividad maliciosa en la región, con Lumma Stealer como la familia más detectada tanto en Centroamérica y el Caribe (29,2%) como en Sudamérica (43,1%).
Para acceder al informe completo, visite Compromise Report 2026. Para conocer más sobre las soluciones de ciberseguridad de Lumu Technologies, ingrese a lumu.io.
