Alerta roja en Perú, México y Argentina: por qué los datos de salud y gobierno están en la mira de los hackers

Un mapa sobre la actualidad de los ataques de malware, mostró cuál es el contexto de ciberseguridad que se vive en América Latina. En el informe, presentado por ESET, quedó en evidencia que las amanezas se desplazan con rapidez entre países y apuntan principalmente a entornos públicos, de salud y gubernamentales.

Las campañas ya no son hechos aislados, sino operaciones coordinadas que evidencian una red de cooperación entre grupos criminales, con consecuencias que afectan la infraestructura crítica de las naciones más expuestas.

Las cifras y los incidentes recopilados durante el último año muestran que Perú, México y Argentina encabezan el ranking de los países más atacados en la región.

Estas naciones no solo reciben el mayor volumen de amenazas, sino que también se han convertido en laboratorios de prueba para nuevas variantes de malware, que luego se propagan a otros países latinoamericanos.

Cómo se distribuyen los ataques en Latinoamérica

El informe revela que los ataques de malware en Latinoamérica presentan un patrón dinámico: inician en un país, como Perú, y después saltan a otros vecinos. Este fenómeno se explica por la existencia de amenazas comunes, familias de malware adaptables y, en ocasiones, la colaboración entre grupos delictivos que comparten métodos y recursos para aumentar la efectividad de sus campañas.

El sector público y el sector salud han sido especialmente vulnerables. Los organismos gubernamentales de Perú han vivido ataques de alta precisión, mientras que en Argentina el área de salud y los entes estatales continúan sufriendo infecciones, incluso por exploits antiguos vigentes por la falta de actualizaciones en los sistemas.

Países más atacados y sus blancos preferidos

En Perú, la actividad maliciosa ha crecido de manera gradual y el país se ha convertido en “paciente cero” de campañas que luego se expanden a otras latitudes.

En los últimos meses, el ataque conocido como “Dirin Leaks” expuso datos confidenciales de la Dirección de Inteligencia de la Policía Nacional, incluyendo información personal de agentes y protocolos de seguridad presidencial.

México se sitúa en segundo lugar. Es un objetivo rentable para los atacantes, quienes emplean principalmente campañas de phishing y ransomware basadas en ingeniería social.

Argentina ha visto un aumento constante de los ataques, ubicándose en el tercer puesto. El sector salud y los organismos públicos son los más afectados. Destaca el ataque al ejército argentino durante el primer trimestre de 2025, cuando el grupo de ransomware Monti robó 300 GB de datos de Fabricaciones Militares Sociedad del Estado, incluidos proyectos militares estratégicos.

Brasil aparece como el cuarto país en cantidad de incidentes, concentrando la mayor parte de su problemática en el robo de datos financieros. El caso emblemático fue el de C&M Software, donde un empleado vendió sus credenciales y facilitó el desvío de más de 800 millones de reales brasileños.

En Colombia, el volumen de ataques por organización crece a gran velocidad. El grupo de amenazas persistentes Blind Eagle atacó una empresa de aviación, usando vulnerabilidades antiguas para penetrar los sistemas.

Cómo son los ataques que más afectan a América Latina

Entre las amenazas que se repiten en todos los países destaca Rugmi, un downloader que actúa como explorador: analiza la infraestructura, verifica la protección y, solo si detecta una vulnerabilidad, descarga el malware principal, que suele ser ransomware u otro tipo de amenaza devastadora.

Este modus operandi permite a los atacantes evadir las alertas tempranas, ya que el primer impacto parece menor y discreto.

El phishing sigue siendo una estrategia dominante. Los atacantes emplean archivos PDF y páginas HTML con variantes específicas, diseñadas para engañar a los usuarios y obtener credenciales o información bancaria. Estas campañas afectan tanto a individuos como a empleados de sectores críticos, facilitando el acceso a sistemas internos.

Una particularidad del escenario argentino es la persistencia del exploit CVE-2012-0143, que aprovecha fallos de memoria en versiones antiguas de Office. Que esta vulnerabilidad, con más de catorce años de antigüedad, siga siendo efectiva revela el retraso en la actualización de software y la existencia de sistemas obsoletos en infraestructuras vitales.