En las últimas dos décadas, el panorama de la ciberseguridad experimentó una transformación radical y el malware, en sus múltiples formas, evolucionó desde simples virus diseñados por entusiastas, hasta sofisticadas herramientas de espionaje y sabotaje utilizadas por actores estatales y criminales organizados para atacar a empresas, gobiernos y personas.

En este artículo, aprovechando la celebración de los 20 años de ESET en América Latina, repasamos cómo ha sido la evolución del malware a nivel global y en América Latina. Un recorrido que comienza cerca del 2000 con la aparición Melisa y LoveBug y que rememora algunos de los ciberataques más recientes en América Latina para reflexionar acerca de los desafíos actuales y sobre todo a futuro para la ciberseguridad de las organizaciones y las personas.

La Primera Década (2000-2010): Los Primeros Pasos del Malware

Los virus y gusanos informáticos eran las principales amenazas, causando molestias y daños considerables. Ejemplos como Melissa y Love Bug sembraron el caos en la incipiente era digital; a pesar de ser amenazas relativamente simples, estos virus y gusanos causaban daños principalmente mediante la eliminación de archivos y la congestión de redes. En Latinoamérica, estos ataques empezaron a hacerse sentir con fuerza debido a la rápida expansión del acceso a internet y la falta de una cultura de ciberseguridad.

La propagación de este tipo de amenazas, que se caracterizaban por su capacidad para propagarse rápidamente a través de correos electrónicos con un asunto atractivo puso de manifiesto la necesidad de una mayor educación en ciberseguridad.

La Segunda Década (2010-2020): La Era del Crimen Organizado

La segunda década trajo consigo una profesionalización del cibercrimen. Amenazas como el ransomware, que secuestran datos a cambio de un rescate, se convirtieron en una de las amenazas más significativas y WannaCry y Petya,  como ejemplos destacados, causaron estragos a nivel mundial. El malware se volvió más sigiloso y dirigido. El phishing, el ransomware y los ataques de APT (Amenazas Persistentes Avanzadas) se intensificaron.

Uno de los métodos de propagación de malware más utilizado durante estos años fue el macromalware, que utiliza macros en documentos de Office para infectar sistemas. Estos documentos maliciosos se distribuyen a menudo a través de correos electrónicos de phishing, que engañan a los usuarios para que habiliten las macros y ejecuten el malware. Este tipo de amenaza fue particularmente efectivo en atacar organizaciones con menores niveles de conciencia y formación en ciberseguridad.

Uno de los incidentes que más conocido en los últimos 20 años, e incluso en toda la historia de la ciberseguridad, fue cuando WannaCry en 2017 afectó a sistemas en más de 150 países. En Latinoamérica, varias instituciones gubernamentales y empresas privadas sufrieron interrupciones significativas. Este ataque destacó la vulnerabilidad de los sistemas sin parches y la importancia de una gestión adecuada de actualizaciones de software.

El ransomware siguió creciendo hasta la actualidad a nivel global y también en la región, con ataques muy recordados como el ataque de Conti a Costa Rica, o REvil, que en 2021 atacó a un gran número de empresas globalmente y, a nivel local, a países como México, Colombia y Argentina, mediante un ataque a la cadena de suministro utilizando el software de gestión de TI Kaseya.

Lectura recomendada: https://www.welivesecurity.com/es/ransomware/ataques-ransomware-america-latina-marcaron-2023/

 

La última década (2020-presente): APTs y la geopolítica del malware

En la década más reciente, las Amenazas Persistentes Avanzadas (APT) han ganado protagonismo. Estos ataques, a menudo respaldados por estados, se centran en el espionaje y el sabotaje a largo plazo. Latinoamérica no ha sido inmune a estas amenazas, con varios incidentes que sugieren la participación de actores estatales. La pandemia impulsó la transformación digital, expandiendo la superficie de ataque. La inteligencia artificial (IA) se integra al malware, y los ciberataques tienen a ser más complejos y personalizados.

El grupo Lazarus, vinculado a Corea del Norte, ha llevado a cabo múltiples ataques en Latinoamérica, enfocándose en sectores financieros y gubernamentales. Sus tácticas avanzadas, incluyendo el uso de malware sofisticado y técnicas de ingeniería social, han subrayado la necesidad de una colaboración internacional en ciberseguridad.

Amenazas con sello latinoamericano

Ciberespionaje

Gobiernos e instituciones son blancos de ataques para robar información confidencial. En 2014, se descubrió la campaña de ciberespionaje "Machete", dirigida principalmente a instituciones militares y gubernamentales en América Latina, que volvió en 2019 apuntando organismos gubernamentales de Ecuador, Colombia, Nicaragua y Venezuela. Utilizando malware diseñado para extraer documentos sensibles, esta operación subrayó la vulnerabilidad de la región a los ataques dirigidos.

Además, otras campañas de espionaje utilizando commodity malware que hemos cubierto de manera sostenida desde 2020 a esta parte apuntando a países de la región demostraron un aumento significativo del este tipo de malware y su uso en campañas dirigidas a Latinoamérica. Un análisis del universo de amenazas que observamos en la región llevó a la presentación en Virus Bulletin de la que llamamos Operación Rey Tut donde hemos revelado la creciente sofisticación de este tipo de amenazas y un cambio en los blancos de ataque hacia usuarios de alto perfil.

Cibercrimen

El robo de datos personales y financieros es un negocio lucrativo. Los troyanos bancarios han sido una amenaza persistente en Latinoamérica. Estos programas maliciosos se diseñan para robar información financiera, como credenciales de banca en línea, números de tarjetas de crédito y otra información personal sensible. Ejemplos notables incluyen variantes como Amavaldo, Grandoreiro o Mekotio, dentro de un total de 12 familias de troyanos bancarios apuntando específicamente a la región y que han causado significativos problemas a individuos y empresas en la región.

Fraudes

El phishing también ha evolucionado significativamente en las últimas dos décadas. A principios de los 2000, las campañas de phishing eran masivas y relativamente fáciles de identificar debido a sus errores gramaticales y ortográficos. Sin embargo, a medida que los ciberdelincuentes perfeccionaron sus técnicas, el phishing se volvió más sofisticado y dirigido. Hoy en día, el spear phishing, que se enfoca en objetivos específicos mediante la personalización de los correos electrónicos en función de la información disponible sobre la víctima, es una amenaza mucho más peligrosa. Estos ataques suelen estar adaptados a la realidad de cada país, aprovechando eventos locales, instituciones conocidas y contextos culturales para aumentar la tasa de éxito.

Extorsión digital

El ransomware se ha convertido en una herramienta para extorsionar a empresas e instituciones.  La extorsión digital se ha convertido en una de las amenazas más disruptivas para las empresas e instituciones en Latinoamérica, con el ransomware a la vanguardia de esta tendencia. En los últimos años, Latinoamérica ha sido testigo de ataques de ransomware con un alto impacto mediático, que además de los costos financieros directos asociados con el pago del rescate y la restauración de los sistemas, estos incidentes también han expuesto no solamente vulnerabilidades críticas en la infraestructura de muchas empresas sino también datos sensibles de empresas y personas.

Desafíos para el futuro

La evolución del malware y las amenazas informáticas en los últimos 20 años ha sido un viaje desde simples virus hasta complejas campañas de ciberespionaje. En Latinoamérica, estos cambios trajeron tanto desafíos como oportunidades para mejorar las defensas cibernéticas.

La ciberseguridad en Latinoamérica enfrenta un futuro desafiante. La creciente adopción de tecnologías, la falta de cultura de seguridad y la brecha digital son factores que amplifican el riesgo. Es fundamental que gobiernos, empresas y ciudadanos trabajen en conjunto para fortalecer las ciberdefensas, promuevan la educación en seguridad digital e impulsen la cooperación regional para combatir estas amenazas cada vez más sofisticadas.