El inicio de 2026 no trajo alivio en materia de ciberseguridad.

Según informa Check Point Research, aunque marzo mostró una leve caída en el volumen global de ataques, el panorama sigue siendo preocupante. Especialmente para América Latina, que se consolida como la región más golpeada.

Durante marzo, el promedio global fue de 1.995 ciberataques semanales por organización, lo que representa una baja del 4% respecto a febrero y del 5% en comparación con el mismo mes de 2025.

Sin embargo, esta caída no implica tranquilidad. El volumen sigue siendo históricamente elevado, impulsado por automatización de ataques, expansión de superficies digitales y mayor uso de la nube e inteligencia artificial.

En otras palabras, la presión sobre las organizaciones sigue siendo constante.

América Latina, en el centro del mapa de amenazas

Uno de los datos más relevantes del informe es el protagonismo de la región:

• 3.054 ataques semanales por organización en promedio

• Aumento del 9% interanual

• Única región donde crecieron los ataques respecto a febrero

Esto confirma que América Latina se está convirtiendo en un objetivo prioritario, en gran parte por su rápida digitalización y mayores superficies de exposición.

Los sectores más golpeados

Al analizar por industrias, el sector educativo encabeza la lista con 4.632 ataques semanales por organización. Le siguen gobierno con 2.582 ataques y el sector de telecomunicaciones con 2.554 ataques

Pero el dato más llamativo viene de otro sector: hospitalidad, viajes y recreación, que registró un aumento del 30% interanual.

El informe sugiere que los atacantes anticipan el aumento de actividad por temporadas turísticas, buscando explotar un mayor volumen de transacciones, datos de clientes y dependencias operativas.

La inteligencia artificial sigue ampliando el riesgo

El uso de herramientas de GenAI sigue creciendo dentro de las organizaciones, pero con ello también los riesgos:

• 1 de cada 28 interacciones implica alto riesgo de filtración de datos sensibles

• 91% de las empresas que usan GenAI estuvieron expuestas a este riesgo

• 17% de los prompts contenían información potencialmente sensible

• Las organizaciones usan en promedio 9 herramientas diferentes de GenAI

Este uso fragmentado y sin control centralizado deja abiertas puertas a fuga de credenciales, exposición de propiedad intelectual y compartición involuntaria de datos internos.

El ransomware vuelve a ganar terreno

Tras una leve pausa, el ransomware volvió a crecer con 672 ataques reportados en marzo, que representa un aumento del 7% respecto a febrero, aunque con una disminución del 8% en comparación interanual.

Aunque sigue por debajo del año pasado, el repunte mensual indica que los atacantes están retomando impulso. A nivel regional, Norteamérica concentra el 55% de los casos, Europa el 24% (con fuerte crecimiento) y APAC el 12%.

España, Brasil y Colombia entraron en el ranking de los 10 países con mayor cantidad de víctimas, con porcentajes de entre 1,9 y 1,2. Estados Unidos lidera por amplio margen esa tabla, concentrando más de la mitad de las víctimas.

En cuanto a los sectores, el ransomware se concentra donde el impacto económico es inmediato:

• Servicios empresariales: 35%

• Bienes y servicios de consumo: 14%

• Manufactura industrial: 13%

En conjunto, estos tres sectores representan el 61% de los ataques.

Por otro lado, en cuanto a los grupos de ransomware, aunque existen decenas activos (47 en total), unos pocos concentran gran parte de la actividad:

• Qilin: 20% de los ataques

• Akira: 12%

• DragonForce: 8%

Estos modelos, basados en ransomware como servicio, permiten que múltiples actores operen bajo infraestructuras compartidas, ampliando el alcance de las campañas.

La ciberseguridad ya no se ve acechada únicamente por hackers o grupos criminales. Hoy, las tensiones geopolíticas están redefiniendo el mapa de las amenazas digitales, convirtiendo a empresas, gobiernos e incluso usuarios en piezas involuntarias de conflictos internacionales. Desde GovInfoSecurity analizaron esta tendencia y sus implicaciones, y en este artículo las sintetizaremos.

Los conflictos actuales han dejado de ser exclusivamente físicos. Desde la guerra entre Rusia y Ucrania hasta el conflicto en Medio Oriente, el ciberespacio se ha convertido en un frente activo.

Para los Estados, las operaciones digitales ofrecen ventajas claras:

• Permiten espionaje y sabotaje

• Facilitan campañas de desinformación

• Evitan una escalada militar directa

El resultado es un escenario donde la actividad cibernética forma parte de lo que se conoce como “guerra híbrida”, combinando acciones militares, presión económica y ataques digitales.

Tu empresa no es el objetivo…pero igual es atacada

Uno de los cambios más importantes es el llamado “efecto colateral”.

Una empresa puede no tener relación con un conflicto y, aun así, verse afectada. Este escenario es cada vez más común, con picos de tráfico inesperados, campañas de phishing vinculadas a noticias geopolíticas o difusión de información falsa en redes sociales.

Las organizaciones pasan a formar parte del campo de batalla digital sin buscarlo.

Por otra parte, los atacantes suelen apuntar a objetivos estratégicos como:

• Proveedores tecnológicos

• Empresas de telecomunicaciones

• Infraestructura en la nube

¿Por qué? Porque atacar estos puntos permite impactar indirectamente también a miles de organizaciones. Las cadenas de suministro digitales, cada vez más complejas, se vuelven especialmente vulnerables, ya que un solo punto comprometido puede generar un efecto dominó.

Infraestructura crítica y usuarios bajo presión

Sectores como energía, agua o transporte se enfrentan a un riesgo cada vez mayor.

Aunque estos ataques no son tan frecuentes como el cibercrimen tradicional, sí son más sensibles, ya que pueden generar consecuencias reales en el mundo físico, afectando servicios esenciales y provocando impacto económico y social.

Esto ha llevado a que gobiernos de distintas regiones refuercen sus estrategias de la llamada “resiliencia digital”.

El impacto ya no se limita a organizaciones. Los usuarios también forman parte del escenario mediante campañas de desinformación, contenidos manipulados o deepfakes y correos o mensajes que simulan noticias urgentes.

En muchos casos, la ingeniería social es más efectiva que cualquier vulnerabilidad técnica. El objetivo es influir, confundir y explotar la reacción de las personas ante eventos globales.

Un cambio que llegó para quedarse y requiere preparación

Lejos de ser algo temporal, esta tendencia responde a cambios previos ya establecidos:

• Los países invierten cada vez más en capacidades cibernéticas

• La competencia global se extiende a lo tecnológico y lo informativo

• Las operaciones digitales son más económicas y escalables

Todo apunta a que el riesgo cibernético ligado a la geopolítica será una constante en los próximos años.

Ante este escenario, las organizaciones necesitan ampliar su enfoque. Ya no alcanza con pensar solo en ciberdelincuencia. Ahora, algunas claves pasan por tener en cuenta el contexto geopolítico en la gestión de riesgos, para entender dependencias dentro de la cadena de suministro y prepararse para picos de ataques durante conflictos internacionales.

La ciberseguridad dejó de ser un problema exclusivamente técnico. Hoy es también una cuestión estratégica. Los conflictos globales se reflejan directamente en el entorno digital, afectando a empresas, gobiernos y ciudadanos por igual.

América Latina vuelve a estar en el radar del cibercrimen. Un reciente informe de Kaspersky revela la aparición de JanelaRAT, un malware diseñado específicamente para robar información financiera y de criptomonedas, con especial énfasis en usuarios de la región.

En realidad, JanelaRAT no apareció de la nada. Se trata de una variante modificada de BX RAT, activa desde 2023, pero con mejoras. Ahora es capaz de identificar cuándo una víctima accede a sitios bancarios específicos y actuar en ese preciso momento. Además, se actualiza constantemente, incorporando nuevas funciones y refinando su capacidad de evasión.

Engaño inicial y persistencia sigilosa

La infección inicial no es precisamente la más original. Comienza con un correo que simula ser una factura pendiente y desde ahí el usuario es llevado a descargar archivos aparentemente inofensivos.

En términos simples, se descarga un archivo comprimido, se ejecutan scripts ocultos y, finalmente, se instala el malware real en el sistema. Las versiones más recientes han simplificado este proceso, reduciendo pasos para hacer la infección más rápida y difícil de detectar.

Una vez dentro del sistema, JanelaRAT se asegura de ejecutarse cada vez que el usuario inicia sesión, sin levantar sospechas.

Además, utiliza técnicas para ocultarse:

• Nombres de archivos disfrazados

• Uso de programas legítimos para cargar código malicioso

• Redirecciones a páginas “normales” para simular que todo funciona correctamente

Espionaje, control en tiempo real, engaños sofisticados y comunicación constante

Aquí es donde la amenaza se vuelve más seria. JanelaRAT no solo roba datos, también vigila activamente lo que hace el usuario.

Algunas de sus capacidades:

• Monitorear actividad en el equipo

• Detectar cuándo el usuario entra a su banco

• Registrar teclas y movimientos del mouse

• Tomar capturas de pantalla

• Ejecutar comandos de forma remota

Incluso puede interactuar en tiempo real con la sesión bancaria, lo que va más allá del robo de contraseñas (ya de por sí muy peligroso).

Uno de los aspectos más sofisticados es su sistema de “pantallas falsas”.

Cuando detecta que el usuario está en su banco, el malware puede mostrar ventanas que imitan interfaces bancarias, simular actualizaciones de Windows o directamente bloquear la interacción real del usuario.

El objetivo es robar credenciales, tokens y códigos de autenticación, incluso aquellos protegidos con doble factor.

Mientras todo esto ocurre, el malware mantiene contacto con servidores remotos que cambian constantemente, lo que dificulta su bloqueo.

En estos contactos se reporta información del sistema infectado, se indica si hay software de seguridad bancaria instalado y se permite a los atacantes decidir cuándo intervenir. Incluso detecta si el usuario está activo o no, lo que facilita ataques en momentos estratégicos.

Brasil y México, los principales objetivos

Los datos son contundentes sobre los países más afectados:

• 14.739 ataques detectados en Brasil en 2025

• 11.695 ataques en México en el mismo período

Aunque estas cifras se concentran en esos países, el enfoque del malware es claramente regional, lo que pone en alerta a toda América Latina.

De hecho, uno de los aspectos más destacados de JanelaRAT es que no es estático. Cada nueva versión muestra mejoras en métodos de infección, técnicas de evasión y capacidades de control remoto.

Y en cada una de esas nuevas versiones, puede que los objetivos también se actualicen. El cibercrimen en la región se está profesionalizando y especializando, por lo que la alerta debe tomarse a nivel continental.

Conclusión: una amenaza seria

JanelaRAT representa una amenaza seria porque combina ingeniería social, sigilo técnico y manipulación en tiempo real. No se limita a robar datos, busca controlar la experiencia del usuario para maximizar el fraude.

Para las organizaciones, una de las recomendaciones de Kaspersky es bloquear servicios de DNS dinámico, ya que es una de las vías que utiliza este malware para comunicarse con sus operadores.

Para los usuarios, recordar una y otra vez que la primera línea de defensa sigue siendo la precaución frente a correos sospechosos y descargas indeseadas.

La empresa Kaspersky presentó un informe de ciberamenazas financieras en 2025 y las perspectivas para el 2026. Según indica, el panorama de estas amenazas siguió transformándose durante 2025, con atacantes que están cambiando de estrategia.

Aunque el malware bancario tradicional en PC perdió protagonismo, su lugar fue rápidamente ocupado por el robo masivo de credenciales mediante infostealers, un modelo más eficiente y escalable. El informe revela también una evolución marcada por la automatización, la reutilización de datos robados y una fuerte adaptación regional, con señales claras también para América Latina.

Phishing más inteligente: menos volumen, más precisión y adaptación regional

En 2025, el phishing dejó de centrarse exclusivamente en bancos para diversificarse hacia plataformas digitales donde los usuarios interactúan y pagan con frecuencia. A nivel global, los principales blancos fueron:

• Servicios web (16,15%)

• Videojuegos online (14,58%)

• Tiendas online (14,17%)

Esto refleja un cambio estratégico, los atacantes buscan entornos donde el usuario actúa de forma más impulsiva o confiada.

Otra tendencia fuerte es la suplantación de plataformas globales con grandes bases de usuarios. En 2025, las más imitadas fueron:

• Netflix (28,42%)

• Apple (20,55%)

• Spotify (18,09%)

• Amazon (17,85%)

En el caso de Latinoamérica, Spotify lidera como la marca más suplantada, lo que refuerza la idea de que los atacantes ajustan sus campañas según la popularidad regional. Ya no se trata solo de bancos, cualquier servicio con suscripción o pagos recurrentes es un objetivo atractivo.

Latinoamérica: logística y e-commerce en la mira

En la región, el informe destaca que las empresas de entrega y logística aparecen entre los principales señuelos. Esto evidencia cómo los ciberdelincuentes están explotando el crecimiento del comercio electrónico y sus puntos más vulnerables: envíos, notificaciones y seguimiento de paquetes.

Además, las tiendas online representan el 46,30% de las páginas de phishing en LATAM, por encima de bancos y sistemas de pago. Si bien la distribución es más equilibrada que en otras regiones, hay una clara inclinación hacia el comercio digital.

En América Latina, el phishing no solo crece, sino que se adapta directamente a los hábitos de consumo digital.

Malware financiero: crece en móviles y apunta a Brasil

El malware bancario tradicional sigue en descenso en computadoras, pero no significa menor riesgo. De hecho, todo lo contrario:

• Se registraron más de 1,3 millones de ataques con troyanos bancarios

• Windows sigue siendo el principal objetivo

• Los métodos de distribución no cambian: correos maliciosos, sitios comprometidos y archivos infectados

Mientras el malware en PC cae, el móvil avanza. Los ataques de malware bancario móvil crecieron 1,5 veces en 2025 y aumentó significativamente el número de variantes. El cambio de hábito del usuario (con más operaciones desde el celular) está redefiniendo el campo de batalla.

Brasil vuelve a destacar como un actor clave en este ecosistema de amenazas:

• Familias como Grandoreiro continúan activas y con alcance global

• Surgen nuevas variantes como Coyote y Maverick

• Se detectan amenazas enfocadas en sistemas regionales como Pix

Esto muestra que la región no solo es víctima, sino también origen de desarrollos sofisticados de malware financiero.

Infostealers y dark web: el motor del cibercrimen

Si hay un protagonista en 2025, es el infostealer, ya que aumentaron un 59% en PC a nivel global. Estos programas maliciosos roban credenciales, cookies y datos de autocompletado, con lo que alimentan una economía masiva en la dark web.

Su impacto es profundo, ya que permiten ataques sin necesidad de desarrollar malware complejo, simplemente reutilizando información robada.

El informe revela un ecosistema cada vez más industrializado a través de la dark web:

• Cuentas comprometidas: más de 1 millón de cuentas bancarias filtradas en 2025. Brasil aparece entre los países con mayor número de cuentas comprometidas por banco.

• Tarjetas de pago: el 74% de las tarjetas robadas seguían siendo válidas en marzo de 2026. Esto implica que los datos robados siguen siendo explotables meses o incluso años después.

• El negocio de los “fullz”: los ciberdelincuentes venden perfiles completos que incluyen datos bancarios, documentos de identidad, direcciones y fechas de nacimiento. Cuanta más información, mayor valor en el mercado ilegal.

• Phishing como servicio: otro fenómeno preocupante es la profesionalización. Se venden plantillas listas de sitios falsos y también existen servicios para crear páginas de phishing. A su vez, las bases de datos filtradas se reutilizan para nuevos ataques. El cibercrimen financiero opera como una industria organizada.

Mirando a 2026: más automatización, más datos

El informe concluye con advertencias para el año entrante:

• La caída del malware tradicional no reduce el riesgo

• Los ataques serán más automatizados, personalizados y basados en datos

• El robo de identidad será el eje central

Para las organizaciones, esto implica priorizar la protección de identidad, implementar monitoreo en tiempo real e integrar inteligencia de amenazas

Para los usuarios, desconfiar de mensajes personalizados, prestar atención a plataformas cotidianas (no solo bancos) y entender que cualquier cuenta puede ser la puerta de entrada al fraude.

El 2025 nos dejó claro que los atacantes ya no necesitan herramientas más complejas, sino más información sobre sus víctimas. Y en regiones como América Latina, donde el crecimiento digital es acelerado, esa combinación de más usuarios, más servicios online y hábitos en evolución, convierte al usuario en un objetivo cada vez más valioso.

Para mucha gente, hablar con un chatbot se siente fácil. Como algo natural, incluso seguro. Pero esa sensación puede ser engañosa.

Un extenso informe del sitio especializado MyPrivacy advierte sobre una situación cada vez más presente en los asistentes de IA, y es que ya no solo responden, también construyen perfiles detallados de quienes los usan. Y lo hacen a partir de nuestras conversaciones cotidianas.

Un confesionario perfecto, pero que guarda registro

Los chatbots modernos tienen una ventaja clave y es que no juzgan.

Además, están disponibles 24/7, por lo general no reaccionan negativamente y no generan incomodidad. Eso hace que muchas personas terminen compartiendo más de lo que compartirían con un médico, su pareja o un amigo.

Y hay un cambio importante, esas confesiones ya no son parte de una conversación efímera.

Desde 2026, herramientas como ChatGPT, Claude o Google Gemini tienen funciones de memoria activadas por defecto. Esto significa que cada interacción puede alimentar un perfil que incluye:

• Tus preocupaciones

• Tu situación laboral

• Tu salud

• Tu contexto financiero

A diferencia de otros problemas de ciberseguridad, aquí no hay hackeo ni malware. El riesgo es más silencioso y sutil, ya que es el propio usuario quien entrega su información, poco a poco, conversación a conversación.

Y, como advierten expertos en privacidad, una vez que esos datos salen de tus manos, pierdes el control sobre dónde terminan o cómo se usan.

El informe refleja también hasta qué punto ya dependemos de estos sistemas:

• 52% de los adultos usan modelos de IA conversacional

• 43% de los trabajadores han compartido información sensible con chatbots

• Muchos los usan como sustitutos de terapeutas, asesores financieros o consultores médicos

Además, la inmensa mayoría nunca ha leído (o hemos leído) las políticas de privacidad de estas herramientas (ni de cualquier otra).

Cómo tu información “sale” de la conversación

El informe identifica cinco formas principales en las que los datos pueden dejar de ser privados:

1. Entrenamiento de modelos: muchas plataformas utilizan las conversaciones para mejorar sus sistemas. Es decir, lo que escribes puede formar parte de futuros modelos de IA.

2. Filtraciones de datos: los proveedores de IA son objetivos de alto valor. Un incidente de seguridad no solo expone contraseñas, sino potencialmente todo tu historial de conversaciones.

3. Intercambio con terceros: detrás de muchos chatbots hay múltiples servicios, APIs y acuerdos. Tus datos pueden circular por más sistemas de los que imaginas.

4. Requerimientos legales: las conversaciones almacenadas pueden ser solicitadas por autoridades. A diferencia de un abogado o un terapeuta, no existe confidencialidad legal ni secreto profesional en estos casos.

5. Funciones de memoria: el riesgo más reciente y relevante. Los chatbots no solo recuerdan datos aislados, sino que construyen perfiles continuos con relaciones, hábitos, problemas recurrentes y contexto personal. Con el tiempo, ese perfil puede volverse sorprendentemente íntimo.

Por qué contamos demasiado y como evitarlo

No es casualidad. El diseño de estos sistemas favorece la apertura con:

• Respuestas empáticas que reducen la inhibición

• Memoria que genera sensación de relación

• Disponibilidad constante que elimina filtros

• Validación (a veces excesiva) que aumenta la confianza

El resultado es una herramienta que parece un confidente, pero funciona como un sistema de registro permanente.

Los expertos no recomiendan dejar de usar IA, sino hacerlo con criterio:

• Evita compartir: datos personales completos (nombre + ubicación), información médica identificable, datos financieros o cuentas, información de hijos o familia, documentos laborales o de clientes, contraseñas o credenciales, problemas legales en curso ni dirección de tu hogar.

• Compartir con cuidado: problemas personales (sin nombres), situaciones laborales (generalizando) o consultas de salud (sin detalles identificables).

La clave es usar el chatbot como herramienta, no como confidente.

¿Se puede borrar lo que ya compartiste?

Sí, aunque requiere acción manual. En herramientas como ChatGPT, Claude o Google Gemini puedes:

• Revisar y eliminar memoria almacenada

• Borrar historial de conversaciones

• Desactivar uso de datos para entrenamiento

Para quienes necesitan mayor control, el informe recomienda opciones que funcionan de forma local, sin enviar datos a la nube, como Ollama, LM Studio o Jan.ai. En estos casos, la información no sale del dispositivo.

Conclusiones

El informe resume el problema en una idea: la experiencia es íntima e individual, pero el tratamiento de los datos es a nivel industrial. Aunque la conversación se sienta personal, se almacena en servidores, puede ser procesada automáticamente, revisada y expuesta.

Los chatbots son herramientas valiosas. Eso no está en discusión. Pero también son sistemas que recopilan, almacenan y procesan información sensible a gran escala. La recomendación no es dejar de usarlos, sino hacerlo de forma consciente.

Antes de escribir algo, preguntate si estarías cómodo viéndolo expuesto en una filtración. Si la respuesta es no, probablemente tampoco deberías compartirlo con un chatbot.

El ecosistema de cibercrimen en América Latina y el Caribe atraviesa un momento de expansión y madurez. Así lo expuso la empresa Recorded Future en un informe donde analiza las tendencias que marcaron el 2025 en la región, y dibuja un escenario con atacantes cada vez más sofisticados, pero que siguen explotando y aprovechando los mismos errores de siempre.

Desde ransomware hasta fraudes móviles, pasando por filtraciones masivas de datos, la región se consolida como un objetivo prioritario. Generado por una combinación que ya ha sido presentada por varios analistas: rápida digitalización, brechas en ciberseguridad y un contexto de inestabilidad económica y demandas sociales, que abre muchas oportunidades a atacantes.

Un ecosistema en evolución y el problema de fondo

Los actores de amenazas que operan en la región utilizan una mezcla de herramientas ya conocidas:

• Plataformas de mensajería cifrada como Telegram

• Foros de la dark web (principalmente en inglés y ruso)

• Canales abiertos en Internet para comercializar datos y accesos

Aunque las técnicas evolucionan, el objetivo sigue siendo ganar dinero. De hecho, la mayoría de los ataques detectados en 2025 fueron con motivación financiera, con especial foco en Brasil, México y Argentina, las mayores economías de la región.

Los sectores más afectados fueron salud, manufactura, gobierno, tecnología y educación. Estos sectores manejan datos sensibles, no pueden detener operaciones fácilmente y, en muchos casos, dependen de sistemas antiguos vulnerables.

En total, se registraron 452 incidentes de ransomware en la región, con un aumento importante respecto al año anterior.

Según los investigadores, el problema de fondo es crecer sin protegerse. Tras la pandemia, América Latina aceleró su transformación digital, pero la seguridad no avanzó al mismo ritmo. Esto dejó un terreno fértil para el cibercrimen:

• Adopción masiva de servicios en la nube sin controles sólidos

• Uso limitado de autenticación multifactor

• Infraestructura heredada

• Expansión del trabajo remoto

Lo que se mezcla con problemas estructurales de la región, como la inestabilidad económica, desigualdad, falta de recursos en ciberseguridad y la baja percepción de riesgo frente al cibercrimen. El resultado es un ecosistema donde el delito digital es rentable y relativamente poco arriesgado.

Phishing: lo viejo funciona

A pesar de los avances técnicos, los atacantes siguen apostando por lo que mejor funciona: engañar a las personas. El phishing continúa siendo el principal vector de entrada, a través de correos electrónicos, SMS (smishing) y mensajes en WhatsApp.

Estos ataques suelen hacerse pasar por bancos o servicios legítimos, redirigiendo a páginas falsas o distribuyendo archivos maliciosos.

Pero el diferencial de 2025 fue la inteligencia artificial, que elevó el nivel de engaño. Ahora los mensajes pueden estar perfectamente escritos en español o portugués, lo que los hace mucho más creíbles, adaptables y escalables.

El auge del cibercrimen móvil y nuevas técnicas

Con una región cada vez más conectada desde el celular, los atacantes han encontrado un nuevo punto de entrada.

Algunos datos clave:

• El 64% de la población usa Internet móvil

• Android domina ampliamente el mercado

• Muchas personas usan el celular como único dispositivo

Esto ha impulsado el crecimiento de troyanos bancarios, malware distribuido por WhatsApp y aplicaciones falsas (APK maliciosas)

Además, el auge de billeteras digitales y pagos instantáneos (como Pix en Brasil o Mercado Pago en Argentina) ha abierto nuevas oportunidades de fraude.

El informe también muestra una evolución en las tácticas, por ejemplo:

• Ataques mediante NFC para robar datos de tarjetas contactless

• Malware dirigido a wallets de criptomonedas

• Uso de herramientas automatizadas y servicios criminales “llave en mano”

En paralelo, los atacantes siguen apuntando a monetizar los clásicos como bases de datos robadas, credenciales y accesos a sistemas.

Ransomware: más ataques y más presión

El ransomware sigue siendo uno de los mayores problemas en la región. Algunos puntos destacados:

• 452 ataques en 2025 (más del 6% del total global)

• Brasil, México, Argentina, Colombia y Perú forman el top 5 de países más afectados, siendo también de las economías más grandes de la región.

• Predomina la técnica de doble extorsión con cifrado de datos y amenaza de filtración pública. Esto aumenta la presión sobre las organizaciones, que enfrentan no solo la interrupción operativa, sino también el daño reputacional.

Infostealers, botnets, cajeros automáticos y más

El robo de credenciales sigue siendo una pieza clave del ecosistema latinoamericano.

Herramientas como LummaC2 y Vidar dominaron 2025, permitiendo a los atacantes acceder a sistemas corporativos, robar datos financieros y facilitar fraudes y ataques posteriores. Se detectaron decenas de miles de credenciales expuestas vinculadas a organizaciones de la región.

El informe también destaca amenazas menos visibles pero igual de críticas:

• Botnets que aprovechan dispositivos mal protegidos (routers, IoT, TV boxes, etc)

• Malware para cajeros automáticos (ATM)

• Ataques a terminales de pago (POS)

En algunos casos, estos ataques han crecido de forma significativa, impulsados por fallos básicos de seguridad, tanto digital como física.

Desafíos y conclusiones

Más allá de los ataques, el informe destaca varios problemas de fondo:

• Falta de coordinación entre países

• Recursos limitados para investigación

• Escasez de talento especializado

Solo una parte de los países cuenta con planes sólidos para proteger infraestructuras críticas. Esto permite que los atacantes operen con relativa facilidad, incluso a nivel transnacional.

Todo indica, lamentablemente, que la tendencia continuará. América Latina seguirá siendo un objetivo atractivo para ransomware, foco de malware móvil y un entorno donde los atacantes pueden escalar operaciones rápidamente

Pero tal vez lo más preocupante, es que el panorama de ciberseguridad en la región no se define por ataques completamente nuevos. Sino que se enfrenta a las mismas debilidades de siempre, explotadas a mayor escala y con mejores herramientas.

El principal objetivo y desafío parece estar más que claro, ya que se ha repetido hasta el cansancio: hay que cerrar la brecha entre adopción tecnológica y madurez en seguridad. Acompañar la tan afamada “transformación digital” con medidas de seguridad y concientización para la población.

Durante años, las tarjetas gráficas (GPU) han sido vistas como componentes clave para tareas intensivas, desde inteligencia artificial hasta criptografía. Sin embargo, una nueva investigación ha descubierto que las GPUs también pueden convertirse en un vector directo para comprometer todo un sistema.

El informe presentado por investigadores de la Universidad de Toronto, demuestra que los ataques Rowhammer en GPUs pueden ir mucho más allá de corromper datos y llegar a una escalada completa de privilegios, incluso hasta obtener acceso root al dispositivo.

De errores en la memoria a control total

El ataque se basa en una técnica conocida como Rowhammer, que provoca errores en bits de memoria mediante accesos repetitivos. En CPU, este tipo de ataques ya había demostrado ser peligroso, pero en GPU se creía que su impacto era más limitado.

En este caso, los investigadores lograron corromper las tablas de páginas de la GPU, que son estructuras críticas que controlan cómo se gestiona la memoria. Lograron así que un proceso sin privilegios pueda conseguir capacidad de lectura y escritura arbitraria en la memoria de la GPU, acceso a datos de otros procesos y, lo más grave, un camino hacia el control total del sistema.

El salto clave: de la GPU al sistema completo

Uno de los aspectos más relevantes del estudio es que el ataque no se queda en la GPU. Una vez que el atacante obtiene control sobre la memoria gráfica, puede encadenar ese acceso con fallos en el driver de NVIDIA para lograr:

• Manipular memoria del sistema (CPU)

• Ejecutar código con privilegios de kernel

• Obtener una shell root completa

Todo esto ocurre sin necesidad de desactivar el IOMMU, una de las principales defensas modernas contra ataques de acceso directo a memoria (DMA). Este punto es crucial, ya muchos sistemas en producción confían en el IOMMU como barrera de seguridad. GPUBreach demuestra que esa protección, por sí sola, ya no es suficiente.

Impactos reales demostrados

Más allá de la teoría, el trabajo incluye pruebas concretas que muestran el alcance del problema:

1. Acceso total a memoria de GPU: permite incluso ataques entre procesos que comparten la GPU.

2. Riesgos para la criptografía: se logró filtrar claves secretas en operaciones de criptografía post-cuántica cuando estas se almacenan en memoria de la GPU.

3. Ataques a modelos de IA: manipulando instrucciones internas, los investigadores pudieron reducir la precisión de modelos (por ejemplo, de 80% a 0%) y filtrar pesos de modelos de lenguaje.

4. Escalada completa en CPU: el punto más crítico, tomar control total del sistema operativo mediante fallos en el driver.

El estudio también puso a prueba las protecciones existentes y llegó a las siguientes conclusiones:

• IOMMU sigue siendo recomendable, pero ya no es suficiente frente a este tipo de ataques.

• ECC (corrección de errores) puede mitigar algunos fallos (bits individuales), pero no es infalible, especialmente ante múltiples errores simultáneos. En GPUs de consumo (sin ECC), actualmente no se conocen mitigaciones frente a este ataque. Por lo que serían completamente vulnerables.

GPUBreach no es el único estudio en esta línea. Otros trabajos también han explorado ataques Rowhammer en GPUs. Pero algunos requerían desactivar protecciones críticas y otros lograron acceso limitado. GPUBreach destaca porque consigue una escalada completa de privilegios incluso con las defensas activadas, explotando la confianza en el propio driver.

Conclusión: un cambio de paradigma

Los hallazgos fueron reportados a NVIDIA en noviembre de 2025 y también compartidos con grandes actores como Google, AWS y Microsoft. Se espera que se actualicen los avisos de seguridad existentes y se publiquen herramientas de reproducción del ataque próximamente.

GPUBreach marca un antes y un después en la seguridad de hardware: las GPUs ya no son solo aceleradores aislados, ahora son parte integral de la superficie de ataque del sistema.

Para la ciberseguridad, esto implica una nueva realidad y nuevas medidas. La confianza en el aislamiento de hardware debe revisarse, los drivers pasan a convertirse en un punto crítico y las defensas actuales necesitan evolucionar.

En un contexto donde las GPUs son cada vez más esenciales, especialmente en IA y cloud, este tipo de investigaciones dejan en claro que la seguridad debe avanzar al mismo ritmo que el hardware.

El problema central no es nuevo: una carrera desigual

La base del problema no es nueva y ya se ha tocado en varias oportunidades, pero cada vez se agranda más. Hoy, gracias a la IA, encontrar vulnerabilidades es cada vez más fácil, pero corregirlas sigue siendo lento. Y esa diferencia no hace más que crecer.

Esto genera un escenario donde los atacantes tienen ventaja. En palabras simples, descubrir fallos ya no es el “cuello de botella”. Pero arreglarlos sí.

Vulnerabilidades a escala y fácilmente explotables

Uno de los cambios más preocupantes es cómo la IA está transformando la detección de errores.

Según Alex Stamos, los modelos actuales ya están encontrando fallos en software crítico que habían pasado desapercibidos durante años, incluso en código revisado por miles de personas.

El problema no es solo que haya más vulnerabilidades, es que aparecen más rápido de lo que pueden gestionarse. Lo que abre un escenario incierto, donde infraestructuras completas podrían no estar seguras frente a sistemas capaces de analizar código a escala masiva.

Sumado a esto, hasta ahora, encontrar una vulnerabilidad no siempre implicaba poder explotarla fácilmente. Pero eso también está cambiando.

Los expertos advierten que en cuestión de meses la IA podría llegar a generar exploits funcionales automáticamente, analizar parches de seguridad para encontrar cómo romperlos y reducir el tiempo de respuesta a horas.

Según Kevin Mandia, ya existen agentes de IA capaces de ejecutar ataques en paralelo, tomar decisiones en tiempo real y adaptarse al entorno automáticamente. A diferencia de un atacante humano, estos sistemas no descansan, no se equivocan por fatiga y operan a una escala difícil de imaginar.

El resultado son ataques más rápidos, más coordinados y mucho más difíciles de detener.

Empresas y estados bajo presión (y sin tiempo)

Mientras tanto, las organizaciones enfrentan un problema adicional.

Por un lado se les exige adoptar IA rápidamente, mientras deben mantener estándares de seguridad y compliance.

Pero por otro lado, se les suma que enfrentan amenazas más rápidas y los tiempos de respuesta tradicionales ya no alcanzan. El modelo actual (detectar, analizar, responder) empieza a quedarse corto frente a ataques que ocurren en segundos.

Además, el impacto no se limita al sector privado.

Según los especialistas, los estados también están desarrollando capacidades ofensivas con IA, pero sin desplegarlas completamente. Nadie quiere ser el primero en escalar el conflicto. Aun así, el temor es que esta tecnología se utilice primero en el ciberespacio, donde el umbral de ataque es mucho más bajo que en otros dominios.

¿Hay margen para reaccionar?

Sí, pero es limitado. Los especialistas coinciden en algunas ideas clave:

• No se puede depender solo de parches

• Hay que reforzar la defensa en profundidad

• Se necesitan sistemas de respuesta automatizados

• Y, sobre todo, repensar la seguridad desde cero

El principal problema es el tiempo. Según algunos, el margen podría ser de apenas dos años, siempre y cuando se actúe bien.

Estamos ante un cambio que ya empezó. La combinación de IA encontrando fallos y explotándolos, con sistemas que no están preparados, puede redefinir completamente el panorama de la ciberseguridad.

El cibercrimen está en constante evolución, pero no siempre hacia donde se espera. Esta vez, la novedad no está en cómo se roban los datos, sino en qué pasa después.

Según un informe de la empresa Flare, en las últimas semanas apareció en foros clandestinos una nueva propuesta impulsada por el grupo SnowTeam. Estamos hablando de la plataforma “Leak Bazaar”, que promete transformar datos robados en un producto listo para vender.

Un problema que nadie estaba resolviendo

En el modelo tradicional de ransomware o filtraciones, hay un punto débil poco visible. Cuando una empresa no paga, los atacantes suelen publicar los datos robados. Pero eso no siempre genera dinero.

¿Por qué? Porque esos datos suelen ser caóticos, difíciles de analizar y cargados de información irrelevante, lo que los vuelve técnicamente complejos de explotar.

En otras palabras, robar datos es fácil, monetizarlos no tanto. Ahí es donde entra Leak Bazaar.

Un filtro de filtraciones: un mercado de datos procesados

A diferencia de los clásicos sitios de filtraciones, Leak Bazaar no apunta a publicar archivos sin procesar. Su propuesta es otra, buscan tomar grandes volúmenes de datos robados y convertirlos en información útil y vendible.

Según el informe, la plataforma promete y ofrece:

• Limpiar datos irrelevantes o duplicados

• Analizar contenido con machine learning

• Interpretar bases de datos complejas

• Convertir archivos técnicos en formatos accesibles (como spreadsheets)

• Validar todo con analistas humanos

El resultado es algo bastante cercano a inteligencia lista para usar.

Pero uno de los puntos más llamativos es cómo se organizan los datos. En lugar de mantener la estructura original, Leak Bazaar los reorganiza según la demanda:

• Información financiera, pensada para inversores o traders

• I+D, atractiva para competidores

• Datos personales, el ya clásico activo del cibercrimen

Esto genera que los datos robados dejen de ser archivos y pasen a ser productos segmentados y adaptados a las necesidades del “cliente”.

Un nuevo modelo de negocio durante todo el proceso

El cambio más profundo está en la lógica económica. Tradicionalmente se robaba la información, se pedía un rescate y, si no pagaban, se filtraba.

Pero Leak Bazaar aparece como una alternativa que convierte esos datos en una fuente de ingresos continua.

El modelo incluye venta exclusiva (un solo comprador) o venta múltiple (varios compradores, lógicamente a menor precio). Esto último es clave, porque permite que un mismo robo genere ingresos repetidos, tal vez una de las mayores aspiraciones de cualquier modelo de negocio.

En lugar de un “golpe único”, los datos se convierten en un activo que se explota en el tiempo.

A su vez, la plataforma no solo busca vender datos, también intenta posicionarse como parte de todo el ciclo de un ataque de este tipo. Ayuda a negociar rescates, garantiza transacciones, filtra qué datos entran al sistema y conecta vendedores y compradores.

No es solo un marketplace de datos, es un intermediario completo dentro del ecosistema de extorsión.

Un cambio que va más allá de este caso

Más allá de si todas sus promesas son reales, Leak Bazaar deja ver que el cibercrimen se está profesionalizando en una nueva capa.

Ya no alcanza con robar datos, ahora también ponen el foco en procesarlos, entenderlos, empaquetarlos y venderlos de forma eficiente. Es, en cierto sentido, una “industrialización” de la información robada.

Y esto genera un cambio importante, porque cambia el incentivo. Antes, si la víctima no pagaba, el valor del ataque caía. Ahora, ese valor puede recuperarse (incluso multiplicarse) en el mercado.

Esto podría hacer más rentables los ataques y, por lo tanto, incentivar robos de datos más grandes. Lo que aumentaría el impacto (y beneficio) de cada brecha. En este contexto, el robo pasaría de ser el final del ataque a ser el comienzo del negocio.

Un archivo de audio no debería ser una amenaza. Pero en un reciente ataque a la cadena de suministro, justamente eso (un “simple” .WAV) fue la pieza clave para ocultar malware.

Según informa The Hacker News, el grupo detrás del ataque, conocido como TeamPCP, volvió a escena al comprometer una librería ampliamente utilizada en Python: telnyx. Y lo hizo con una técnica tan inusual como efectiva, esconder código malicioso dentro de archivos de audio.

El 27 de marzo de 2026, se publicaron dos versiones comprometidas del paquete en PyPI, la 4.87.1 y 4.87.2. Ambas incluían código malicioso que se activaba automáticamente al importar la librería en una aplicación.

Pero lo más interesante (aunque sí preocupante) no es el robo de datos en sí. Sino cómo lo hacen.

El truco del archivo .WAV

En lugar de descargar directamente un archivo ejecutable, algo que suele ser detectado rápidamente por sistemas de seguridad, el malware hace algo distinto:

• Descarga un archivo de audio (.WAV) desde un servidor remoto

• Extrae código oculto dentro de ese archivo

• Lo ejecuta en el sistema de la víctima

En Windows, por ejemplo, el archivo descargado (“hangup.wav”) contiene un ejecutable oculto que terminaba instalándose como “msbuild.exe” para mantenerse activo en el sistema.

En Linux y macOS, el enfoque es distinto. Otro archivo de audio (“ringtone.wav”) se usa para ejecutar un script que roba información y desaparece sin dejar rastros.

Pero la clave está en la técnica, la esteganografía de audio. Es decir, esconder datos dentro de un archivo aparentemente inofensivo, en este caso, de audio.

Los archivos .WAV no suelen levantar sospechas y pasan más fácilmente filtros de seguridad, ya que son menos analizados que ejecutables o scripts.

En otras palabras, es una forma de camuflar el ataque dentro de algo cotidiano. Y en entornos como pipelines de desarrollo o sistemas automatizados, donde muchas cosas se descargan sin intervención humana, esto puede pasar completamente desapercibido.

No es la primera vez

Aunque suene novedoso, este no es un truco nuevo para TeamPCP. El mismo grupo ya había utilizado esta técnica anteriormente en ataques vinculados al malware “kamikaze” y en campañas distribuidas a través de infraestructuras comprometidas

La diferencia ahora es el contexto. Lo están aplicando dentro del ecosistema open source, infectando herramientas reales que usan desarrolladores todos los días.

Además, en las últimas semanas, el mismo grupo también comprometió otras herramientas populares del ecosistema Python, como litellm, con el objetivo de robar credenciales, claves de acceso y secretos de entornos de desarrollo.

Buscan repetir un patrón:

1. Comprometer una herramienta confiable

2. Infiltrarse en entornos con acceso sensible (CI/CD, cloud, etc.)

3. Extraer datos valiosos

4. Usarlos en ataques posteriores

Y ahora, además, hacerlo escondiendo el malware en archivos de audio.

Cualquier archivo es potencialmente malicioso

Puede sonar paranoico, pero lamentablemente, es real. Ya no se trata solo de detectar archivos peligrosos. Se trata de entender que cualquier archivo puede ser un vector de ataque si está bien diseñado.

Y también nos muestra que las amenazas no siempre son visibles y los formatos “seguros” pueden no serlo.

Los ataques a la cadena de suministro siguen creciendo en sofisticación. Esta vez fue un .WAV, mañana puede ser cualquier cosa que demos por inofensiva.

El 25 de marzo de 2026 podría pasar a convertirse en una fecha histórica para la industria tecnológica. Un jurado en Los Ángeles determinó que Meta y YouTube fueron negligentes en el diseño de sus plataformas, y responsables del daño a la salud mental de una joven usuaria.

No es solo un fallo más. Es, potencialmente, el inicio de una nueva etapa donde los algoritmos (y no solo los contenidos) pasan al centro del debate legal. El sitio MyPrivacy publicó un extenso informe sobre el caso, que resumiremos a continuación.

El caso: una historia que empezó a temprana edad

La protagonista del caso, identificada como “Kaley”, comenzó a usar YouTube a los seis años y se sumó a Instagram a los nueve. Según lo expuesto en el juicio, el uso intensivo de estas plataformas le habría causado problemas de salud mental.

El jurado dictaminó que:

• Ambas compañías fueron negligentes en el diseño de sus productos

• Ese diseño fue un factor clave en el daño sufrido

• No hubo advertencias adecuadas para los usuarios

• Y, lo más relevante, actuaron con “malicia, opresión o fraude”

El resultado es una condena a pagar 3 millones de dólares en daños compensatorios.

Por qué este fallo es diferente

Durante años, las grandes tecnológicas se protegieron bajo la Sección 230 en Estados Unidos, que limita su responsabilidad sobre contenidos generados por usuarios. Pero este caso logró evitar completamente ese escudo.

En lugar de apuntar al contenido, los demandantes atacaron algo mucho más profundo: el diseño del sistema. Es decir, el “scroll infinito”, la reproducción automática de contenidos, las notificaciones diseñadas para generar urgencia o los algoritmos de recomendación optimizados para maximizar el tiempo de uso

Y ahí está la clave. Si el producto está mal diseñado y genera daño previsible, puede ser legalmente responsable. Esto no es nuevo en otras industrias, pero sí en el mundo del software o aplicaciones.

Documentos internos fueron decisivos

Uno de los elementos más contundentes del juicio fueron los documentos internos.

En el caso de Meta, se descubrió una estrategia deliberada para atraer usuarios desde edades cada vez más tempranas y maximizar la retención a largo plazo.

Los datos mostraban que niños de 11 años tenían hasta cuatro veces más probabilidades de volver a la plataforma que usuarios en otras apps.

El “efecto dominó” que se generó

Este fallo no ocurrió “de la nada”, sino que se dio en el siguiente contexto:

• Un día antes, otro jurado en Nuevo México condenó a Meta a pagar 375 millones de dólares en un caso de seguridad infantil

• Más de 1.500 demandas similares están en curso en Estados Unidos

• Se espera un juicio federal que involucra a distritos escolares de todo el país

Además, plataformas como TikTok y Snap Inc. optaron por acuerdos antes de llegar a juicio, evitando así que sus documentos internos se hicieran públicos. Lo que también generó suspicacias.

El trasfondo de ciberseguridad y privacidad

Más allá del debate sobre adicción, ética y moral, este caso expone algo clave para la ciberseguridad. El mismo sistema que optimiza engagement puede amplificar riesgos.

Los algoritmos de recomendación funcionan sobre perfiles construidos durante años con datos de comportamiento, preferencias, patrones de uso y vulnerabilidades emocionales.

Ese mismo motor que conecta a un usuario con contenido relevante también puede:

• Exponer a menores a contenido dañino

• Facilitar la segmentación por parte de actores maliciosos o atacantes

• Amplificar dinámicas de riesgo sin intervención humana

No son sistemas distintos. Es la misma infraestructura. La pueden utilizar las propias plataformas, o cualquiera que logre acceder a ella.

Por qué este caso importa (más de lo que parece)

El caso aún no terminó. Como todo proceso judicial enfrenta fases de apelaciones, daños punitivos u otros juicios que puedan tomarlo como referencia.

Pero algo ya cambió. Un jurado común, sin expertos técnicos, analizó evidencia compleja y llegó a la conclusión de que el diseño de estas plataformas no es neutral, y puede causar un daño real.

Durante años, la narrativa dominante fue que los algoritmos eran “solo matemáticas” y las plataformas “simples intermediarios”. Pero con este fallo, esa idea empieza a tambalear. El diseño de sistemas digitales ya no es solo una cuestión técnica, también implica responsabilidad legal. Y, cada vez más, un impacto social directo sobre los usuarios.

El pasado viernes, un incidente sacudió al ecosistema de ciberseguridad de Estados Unidos. El director del FBI, Kash Patel, fue el objetivo de un ciberataque que terminó con la filtración de información personal.

Más allá del impacto mediático, el caso abre preguntas relevantes sobre amenazas estatales, uso de cuentas personales y la evolución de las operaciones cibernéticas, además de revelar un problema para organizaciones y empresas.

¿Qué fue lo que pasó?

Según informó Reuters, un ataque logró comprometer la cuenta de correo electrónico personal de Patel, de la cual los atacantes extrajeron y publicaron material privado. Entre los datos filtrados había:

• Más de 300 correos electrónicos

• Fotografías personales

• Documentos varios, como un antiguo CV

Gran parte de esta información correspondía al período 2010–2019, es decir, anterior a su rol actual como director. El FBI confirmó la intrusión, aunque subrayó que no se trataba de información clasificada ni relacionada con operaciones gubernamentales.

¿Cómo se dio el ataque?

Hasta el momento, no se ha hecho público un vector técnico detallado del ataque (por ejemplo, phishing o explotación de vulnerabilidades). Sin embargo, sí hay algunos elementos a destacar.

El FBI asegura que el acceso se produjo sobre una cuenta personal (Gmail), no sobre infraestructura oficial del ente.

Por otro lado, investigadores de Reuters afirman que la dirección de correo comprometida coincide con información de filtraciones previas en la dark web, lo que sugiere una posible reutilización de credenciales o exposición previa. Pero no lograron obtener confirmaciones desde Google.

A su vez, especialistas apuntan a que este tipo de ataques suelen utilizar ingeniería social o credenciales comprometidas, especialmente cuando se trata de cuentas personales de alto perfil.

Lo que es seguro es que ante casos tan resonados (y más en el agitado contexto geopolítico actual), desde todas las partes se busca dar el mínimo posible de información. La defensa de la reputación, tanto a nivel empresarial como gubernamental, se considera vital. Por lo que es probable que nunca tengamos certeza de cómo sucedió realmente el incidente, al menos en el corto plazo.

Reacciones oficiales

La reacción institucional fue bastante rápida:

• Un portavoz del FBI confirmó el incidente y afirmó haber tomado medidas para mitigar riesgos. A su vez que enfatizó que el contenido filtrado no era actual y no comprometía la seguridad nacional.

• El gobierno de EE. UU. anunció una recompensa de hasta 10 millones de dólares por información que permita identificar a los responsables.

• A nivel político, el ataque se interpreta dentro del contexto más amplio de tensiones geopolíticas y ciberconflicto entre Estados Unidos e Irán.

Atribución del ataque

El ataque fue reivindicado por el grupo Handala Hack Team, un colectivo hacktivista que se ha presentado como un grupo pro-palestino.

Pero, según analistas y autoridades de Occidente, está vinculado también a la inteligencia iraní. Ha estado activo desde al menos 2023, con ataques a empresas y entidades occidentales.

No obstante, como ocurre frecuentemente en ciberseguridad, la atribución directa a un Estado es compleja. Si bien aseguran que grupos como Handala actúan como proxies o intermediarios para operaciones estatales, es muy difícil encontrar pruebas.

El ataque se analiza como parte de una campaña más amplia de ciberoperaciones de bajo nivel pero alto impacto mediático, y según el medio Axios, el propio grupo afirmó que el hackeo fue una acción de represalia, tras operaciones previas del FBI contra su infraestructura.

El problema de fondo

Desde una perspectiva de ciberseguridad, el incidente refuerza el ya conocido problema de la superficie de ataque personal en altos cargos. Los sistemas institucionales suelen estar muy controlados y asegurados, pero debilidades a nivel de dispositivos personales pueden escapar fácilmente de este control.

Estas cuentas son un vector crítico también para empresas y organizaciones. Incluso en perfiles de alto nivel, como este caso, la seguridad fuera del entorno corporativo sigue siendo un punto débil.

Habíamos dejado este artículo en borrador. La idea era publicarlo más adelante, como una lectura o predicción sobre lo que podría ocurrir en 2026. Pero la realidad decidió adelantarse.

El conflicto entre Estados Unidos, Israel e Irán expuso en tiempo real muchas de las dinámicas que este análisis anticipaba. Lo que planteábamos como tendencias futuras, basado en el informe Cyber Insights 2026 de SecurityWeek, hoy empieza a sentirse como parte del presente.

Lo que se anticipaba

El punto de partida era claro: el ciberespacio dejó de ser únicamente un terreno de delitos digitales para convertirse en un campo de confrontación entre Estados.

La hipótesis principal del informe citado es que el crecimiento del “ciberconflicto” estatal superará al del cibercrimen tradicional. No porque este último disminuya, sino porque los intereses geopolíticos empezarán a dominar el uso ofensivo del entorno digital.

Para esto se señala una distinción conceptual entre el cibercrimen (motivado por beneficio económico) y la ciberguerra entre Estados (motivada por poder, influencia y estrategia). Sin embargo, esa frontera se está desdibujando rápidamente, con estados utilizando herramientas criminales, grupos de ransomware vinculados con gobiernos y actores que operan con “permiso implícito”, lo que nos llevaría a un modelo híbrido difícil de clasificar.

Otro eje clave es el preposicionamiento. Es decir, la infiltración silenciosa en infraestructuras críticas (energía, telecomunicaciones, industria) con el objetivo de preparar futuros escenarios de conflicto.

Según el informe, el mundo parecía acercarse a una forma de guerra híbrida digital, persistente, encubierta y sin declaración formal. Pero ese futuro resultó estar mucho más cerca de lo que creíamos.

Lo que ya se cumplió

Lo que parecía un escenario futuro, hoy ya se materializó en varios niveles.

1. La convergencia entre conflicto físico y digital: los conflictos ya no se limitan al plano militar. La dimensión digital (ataques, campañas de desinformación, operaciones encubiertas) ya forma parte del mismo paquete estratégico.

Por ejemplo, el ataque inicial sobre Irán incluyó el hackeo de cámaras de tránsito en Teherán. O basta con entrar a cualquier red social para saturarse de videos falsos hechos con IA, de otros conflictos o hasta de videojuegos, sobre supuestos “ataques”.

2. La difuminación total de actores: la dificultad para distinguir entre criminales y actores estatales. Ataques con apariencia financiera, operaciones de sabotaje disfrazadas de ransomware o campañas de influencia coordinadas refuerzan la idea de un ecosistema híbrido. Por ejemplo, se informó que tras la ofensiva inicial, grupos hacktivistas proiraníes lanzaron ciberataques.

3. La relevancia del preposicionamiento: la hipótesis de accesos persistentes en infraestructuras ya comprometidas es una preocupación central en la planificación de defensa. Las mismas cámaras citadas en el punto uno, habían sido vulneradas desde hacía años, según se informó.

4. La “negación plausible” como estrategia dominante: los Estados no necesitan reivindicar ataques. De hecho, se benefician de no hacerlo. La ambigüedad se convierte en una herramienta táctica que dificulta la respuesta política y militar.

Lo que aún no (pero puede cambiar en días)

Algunos de los escenarios más críticos todavía no se han materializado o al menos no de forma abierta o generalizada.

1. Ataques disruptivos a gran escala en infraestructuras críticas: si bien existieron incidentes relevantes, aún no hemos visto uso masivo y sostenido de interrupciones sistémicas prolongadas. Aunque al momento de escribir este artículo, es la principal amenaza cruzada entre EE.UU. e Irán.

2. Escalada coordinada y simultánea en múltiples dominios: la combinación sincronizada de ciberataques, operaciones físicas y campañas de desinformación a escala global sigue siendo un riesgo latente. Aunque ya es normal ver combinadas al menos dos de estas características.

3. Uso extendido de inteligencia artificial en operaciones ofensivas estatales: aunque hay indicios, el despliegue pleno de IA para automatizar ataques, evasión o manipulación informativa aún está en una fase temprana respecto a su potencial.

Lo que aprendimos (antes de lo previsto)

El problema nunca fue si esto iba a pasar, sino cuándo. Pero nos deja varias conclusiones para el ecosistema de ciberseguridad:

• Las empresas ya son parte del tablero geopolítico, quieran o no.

• La atribución perfecta es un lujo que rara vez existe: operar en incertidumbre es la nueva normalidad.

• La resiliencia importa más que la prevención absoluta: asumir compromiso parcial es más realista que esperar inmunidad total.

• La ciberseguridad dejó de ser solo un problema técnico: es una cuestión estratégica, económica y, cada vez más, de seguridad nacional.

Este artículo iba a hablar del futuro. Terminó describiendo el presente. La idea de una “Guerra Fría digital” ya dejó de ser metáfora descriptiva, es una forma de entender lo que está ocurriendo.

Las millas aéreas y puntos de hotel, diseñados originalmente como incentivos de fidelidad, están circulando en mercados clandestinos. Según difundió Bleeping Computer, investigadores de Flare analizaron cientos de publicaciones en comunidades underground y encontraron un patrón: cuentas comprometidas, millas convertidas en vuelos reales y reservas revendidas con descuento.

Aunque el fraude en programas de fidelidad rara vez aparece como una categoría propia en los informes oficiales de ciberdelito, su impacto económico es considerable. Según estimaciones citadas por Reuters, los canjes fraudulentos de recompensas en ecosistemas de viajes y comercio minorista generan pérdidas de entre 1.000 y 3.000 millones de dólares al año. En muchos casos, el proceso comienza con el robo de credenciales y termina cuando las millas son transformadas discretamente en vuelos o estadías de hotel.

El modelo de fraude suele seguir un ciclo relativamente simple de cuatro etapas:

1. Un atacante obtiene acceso a cuentas de fidelidad mediante phishing, malware tipo infostealer o ataques de fuerza bruta.

2. Identifica cuentas con saldos valiosos y las ofrece como “inventario” en grupos de mensajería, a menudo en canales de Telegram.

3. Las millas se canjean por un activo tangible (como un vuelo o una reserva de hotel)

4. Finalmente, la reserva se revende en redes sociales o foros a un precio más bajo que el oficial.

Los investigadores observaron que muchos de estos grupos funcionan más como vidrieras que como foros de discusión. Los mensajes se repiten con un formato casi comercial, con anuncios como “United disponible” o “cuentas Marriott con alto saldo”. Esto sugiere la existencia de actores que gestionan inventarios de cuentas comprometidas, en lugar de fraudes aislados o esporádicos.

El análisis de 322 publicaciones realizadas por 35 actores diferentes reveló más de 3.000 menciones a proveedores de viajes, principalmente grandes aerolíneas y cadenas hoteleras.

Entre los nombres que más aparecen están:

• United Airlines

• American Airlines

• Delta Air Lines

• Marriott International

• Hilton

Su popularidad en estos mercados clandestinos se explica por el tamaño de sus programas de fidelidad, la facilidad para canjear puntos y el reconocimiento de marca, lo que facilita revender reservas a posibles compradores.

El precio también sigue una lógica de mercado. Muchos vendedores no publican tarifas abiertamente y prefieren negociar en privado. Sin embargo, las investigaciones detectaron un promedio cercano a un dólar por cada mil millas, con ejemplos como 100.000 millas por 90 dólares o 500.000 por 400. Suelen ofrecer además “acceso completo al correo electrónico asociado”, lo que dificulta que el dueño legítimo recupere la cuenta rápidamente.

Una operación coordinada entre agencias de Estados Unidos, Canadá y Alemania logró desmantelar la infraestructura de comando y control (C2) de algunas de las botnets IoT más grandes y activas del mundo: AISURU, Kimwolf, JackSkid y Mossad.

El operativo no fue solo estatal. Gigantes tecnológicos como Akamai, Amazon, Cloudflare, Google, Oracle y PayPal, entre otros, participaron activamente en la neutralización de la infraestructura criminal.

Ataques récord: más de 30 Tbps

Las botnets desarticuladas estaban detrás de algunos de los ataques DDoS más potentes jamás registrados. Se documentaron picos cercanos a los 30 Tbps y un ataque alcanzó los 31,4 Tbps, marcando un récord histórico.

Para ponerlo en perspectiva, este volumen de tráfico puede saturar incluso infraestructuras críticas de Internet y servicios de mitigación de alto nivel.

Además, estas redes generaron cientos de miles de ataques a nivel global, afectando tanto a empresas privadas como a infraestructuras sensibles.

Millones de dispositivos comprometidos

El tamaño de estas redes era realmente masivo. Contaban con más de 3 millones de dispositivos infectados en todo el mundo, incluyendo DVRs, cámaras, routers y dispositivos IoT domésticos. Un volumen significativo estaba ubicado en Estados Unidos.

En el caso de Kimwolf, el foco estuvo en dispositivos Android, especialmente televisores y TV boxes de bajo costo con firmware inseguro.

El patrón no es nuevo, pero sigue siendo efectivo. Los dispositivos baratos, mal configurados y nunca actualizados se convierten en “soldados silenciosos” de ataques globales.

Un modelo criminal industrializado

Estas botnets no solo eran usadas por sus creadores, si no que funcionaban bajo un modelo de “cibercrimen como servicio”. Los operadores lanzaban ataques propios o alquilaban la infraestructura a terceros. Incluso extorsionaban a víctimas con amenazas de DDoS.

En total, se estima que las cuatro redes emitieron más de 300.000 comandos de ataque:

• AISURU: ~200.000

• JackSkid: ~90.000

• Kimwolf: ~25.000

• Mossad: ~1.000

Kimwolf y el cambio de paradigma

Uno de los puntos más interesantes del caso es Kimwolf. A diferencia de botnets tradicionales basadas en escaneo de Internet, este malware adoptó un enfoque más sofisticado:

• Uso de redes de proxies residenciales

• Acceso a dispositivos dentro de redes domésticas

• Movimiento lateral en entornos que normalmente no son accesibles desde Internet

Esto rompe con la suposición clásica de que los routers domésticos aíslan suficientemente los dispositivos internos. En la práctica, Kimwolf logró convertir hogares enteros en nodos de ataque.

Identidades detrás de las botnet

La investigación también avanzó sobre posibles responsables. Un análisis independiente vinculó la operación de Kimwolf a un joven de 23 años en Canadá y un sospechoso de 15 años en Alemania. Hasta el momento, no se confirmaron arrestos formales, pero sí allanamientos y recolección de evidencia.

El problema no terminó

Aunque la operación logró desactivar la infraestructura C2, hay un punto incómodo que la industria ya conoce: este tipo de acciones no elimina la amenaza, solo la interrumpe temporalmente.

Las botnets modernas, muchas basadas en variantes de Mirai, son reutilizables, modulares y fáciles de replicar. De hecho, este mismo ecosistema ya ha demostrado que puede reconstruirse rápidamente tras cada caída.

Lo importante

Este caso deja tres conclusiones clave:

1. El IoT sigue siendo el eslabón más débil: dispositivos inseguros siguen alimentando ataques globales.

2. Los DDoS están en una nueva escala: ya no hablamos de gigabits, sino de decenas de terabits.

3. El modelo de negocio del cibercrimen está maduro: botnets operando como servicios, con clientes y monetización.

Y hay una más, quizás la más incómoda: Internet sigue creciendo más rápido que su seguridad.

La empresa rusa Solar publicó un nuevo informe técnico sobre ClayRat, un malware para Android clasificado como spyware y RAT que combina capacidades avanzadas de espionaje con control remoto total del dispositivo.

Aunque investigaciones previas de firmas como Zimperium ya habían analizado su funcionamiento y su propagación masiva, este nuevo reporte pone el foco en un aspecto menos explorado, como su infraestructura backend y los errores estructurales que terminaron debilitando toda la operación.

Un spyware completo, pensado para vigilancia total

ClayRat fue diseñado para operar como una plataforma de espionaje móvil altamente invasiva. Entre sus capacidades principales se incluyen:

• Intercepción de SMS y registros de llamadas

• Acceso a contactos y notificaciones

• Captura de fotos y grabación de pantalla

• Ejecución de comandos remotos desde servidores C2

Estas funcionalidades coinciden con lo observado en investigaciones independientes, que lo describen como una herramienta modular de vigilancia y robo de datos con control persistente del dispositivo

Su distribución se apoyó principalmente en phishing y aplicaciones falsas que imitaban servicios populares, una técnica que sigue siendo altamente efectiva en entornos móviles.

El backend: simple, expuesto… y mal diseñado

Uno de los hallazgos más relevantes del informe es que la infraestructura del malware estaba lejos de ser sofisticada. El backend de ClayRat:

• Estaba desarrollado en Go (versión 1.24)

• No presentaba ofuscación

• Incluía cadenas de debug activas

• Utilizaba almacenamiento en archivos JSON en lugar de una base de datos

Este diseño, más propio de un proyecto en etapa inicial que de una operación criminal madura, expone la falta de hardening en la infraestructura atacante.

Además, el generador de APK (builder) permitía crear variantes del malware a partir de plantillas, lo que explica la rápida proliferación de muestras observadas en la campaña.

Configuración en texto plano: un riesgo para los propios atacantes

Otro punto crítico fue la gestión de configuraciones. El panel almacenaba en texto plano:

• Credenciales de usuarios

• Tokens de Telegram y SMS

• Dominios de comando y control

Esto no solo facilitaba el análisis por parte de investigadores, sino que también introducía un riesgo interno: cualquier compromiso del panel exponía toda la operación. En otras palabras, los operadores no protegieron su propia infraestructura.

Filtrado inteligente de SMS: foco en datos financieros

A nivel funcional, ClayRat incorporaba mecanismos relativamente avanzados para el procesamiento de información robada. El malware aplicaba un sistema de filtrado en múltiples capas sobre los SMS interceptados:

• Búsqueda por palabras clave asociadas a bancos y servicios financieros

• Identificación de entidades como fintechs y marketplaces

• Uso de expresiones regulares para detectar números de tarjetas

Este enfoque confirma que el objetivo no era solo la vigilancia, sino también la explotación directa de datos financieros.

Infraestructura compartida con otras amenazas

El análisis también reveló conexiones interesantes a nivel de infraestructura.

El dominio kpmail[.]su, utilizado en la campaña de ClayRat, apareció previamente asociado a indicadores de compromiso de otro malware llamado DCRAT, un backdoor conocido en el ecosistema criminal.

Este tipo de reutilización puede indicar el uso de recursos compartidos entre actores, la reutilización de infraestructura existente o incluso vínculos operativos entre campañas

Caída repentina: del crecimiento acelerado al apagón total

A pesar de su rápida expansión, con cientos de variantes detectadas en pocos meses, la actividad de ClayRat tuvo un final abrupto.

Para diciembre de 2025, todos los servidores de comando y control dejaron de estar operativos. La explicación llegó poco después, con la detención en Krasnodar de un estudiante sospechoso de desarrollar el malware.

Con la caída del operador, la infraestructura quedó inactiva y la campaña prácticamente desapareció.

Un patrón que se repite

El caso de ClayRat no es aislado. Su evolución recuerda a otros proyectos de malware que aparecen con fuerza y escalan rápidamente, pero colapsan por errores operativos o intervención legal.

En este caso, el propio informe sugiere que el declive no fue solo consecuencia de la detención, sino también de fallas fundamentales en el diseño del proyecto.

Lección clave: no todo malware sofisticado está bien construido

ClayRat logró captar atención global por su capacidad de propagación y sus funciones de espionaje, pero su backend demuestra que no todos los actores que desarrollan malware sofisticado tienen la madurez técnica para sostener una operación a largo plazo.

Y eso abre una línea interesante para la defensa: no solo hay que analizar el malware, también hay que atacar su infraestructura y, sobre todo, identificar sus debilidades operativas.

Una nueva filtración masiva, bautizada como BlueLeaks 2.0 (haciendo referencia a una filtración similar del año 2020), volvió a poner en el centro de la discusión la seguridad de las plataformas utilizadas por fuerzas de seguridad.

El grupo hacktivista identificado como Internet Yiff Machine asegura haber comprometido la plataforma P3 Global Intel operada por la empresa Navigate360, y haber extraído más de 93 gigabytes de información sensible relacionada con reportes de delitos.

Los datos ya fueron entregados a periodistas y al colectivo Distributed Denial of Secrets (DDoSecrets), que los está distribuyendo para su análisis.

Millones de reportes de delitos y terrorismo

El dataset filtrado incluye millones de denuncias sobre presuntos delitos y actividades terroristas recopiladas durante décadas.

La plataforma afectada es ampliamente utilizada por fuerzas de seguridad en Estados Unidos, agencias de inteligencia, entidades gubernamentales y miles de escuelas. De hecho, P3 Global Intel está posicionada como una de las principales herramientas de recopilación y análisis de información en este ecosistema

Además de los reportes, la filtración incluye:

• Datos de cuentas de clientes

• Tickets de soporte enviados por usuarios

• Comunicaciones entre informantes y operadores

• Información personal asociada a los reportes

El contenido abarca desde denuncias menores hasta casos graves como trata de personas, abuso infantil y terrorismo.

Un historial que se remonta a décadas

Uno de los aspectos más sorprendentes del leak es su alcance temporal. Los datos incluyen información que se remonta hasta 1987, debido a que la plataforma fue integrando registros históricos que originalmente se gestionaban a través de call centers.

Esto convierte a BlueLeaks 2.0 en una de las filtraciones más extensas en términos históricos dentro del ámbito de seguridad pública.

Promesas de seguridad en duda

La filtración también expone inconsistencias en las afirmaciones de la plataforma.

Por un lado, P3 aseguraba que los datos estaban cifrados y el sistema garantizaba anonimato. Sin embargo, el material filtrado sugiere lo contrario:

• Parte de la información habría sido obtenida en texto plano

• Existirían mecanismos internos que permiten desanonimizar usuarios

Esto plantea un problema crítico para la seguridad pública: la identidad de informantes que confiaban en permanecer anónimos podría haber quedado expuesta.

Cómo ocurrió el ataque

Aunque los detalles técnicos aún están bajo investigación, reportes preliminares indican que el acceso se habría logrado mediante:

• Ingeniería social

• Compromiso de cuentas legítimas

• Explotación de vulnerabilidades en la plataforma

El atacante afirma haber accedido a más de 8 millones de registros confidenciales, lo que refuerza la magnitud del incidente.

Impacto: más allá de la filtración de datos

Este incidente no solo implica una exposición de información sensible, sino que afecta directamente a un ecosistema basado en la confianza, como es el de las fuerzas del orden, policía, agencias y demás. Expertos advierten que este tipo de filtraciones pueden:

• Poner en riesgo a informantes

• Comprometer investigaciones en curso

• Exponer patrones de inteligencia

• Generar efectos en la seguridad pública

Además, reabre el debate sobre el uso de plataformas privadas para gestionar información crítica de seguridad pública.

Un precedente que resuena

El nombre BlueLeaks 2.0, como dijimos al comienzo, no es casual. Hace referencia a la filtración original de 2020 que expuso datos de más de 200 agencias policiales.

La nueva versión amplía ese impacto y refuerza que los sistemas centralizados de recolección de inteligencia se están convirtiendo en objetivos de alto valor.

En medio de la creciente circulación de herramientas de explotación avanzadas en el mundo del cibercrimen, Apple emitió una advertencia a los usuarios: quienes utilicen versiones antiguas de iOS deben actualizar sus dispositivos de inmediato.

El motivo no es menor. Investigadores detectaron campañas activas que utilizan los kits de explotación Coruna y DarkSword, capaces de comprometer iPhones a través de simples páginas web maliciosas.

Ataques “watering hole”: el nuevo riesgo silencioso

Estos ataques no requieren que el usuario instale nada. Funcionan mediante la técnica conocida como watering hole:

• El usuario visita un sitio web comprometido

• Se ejecuta código malicioso en segundo plano

• Se activa una cadena de explotación completa

Esto resulta en el control total del dispositivo y robo de datos sensibles

Este tipo de ataque es particularmente peligroso porque rompe con la idea común de que el riesgo en móviles está solo en las apps. Hoy, navegar puede ser suficiente para comprometer un dispositivo vulnerable.

Herramientas de espionaje de nivel estatal… ahora al alcance de más actores

Los kits Coruna y DarkSword no son exploits aislados. Son plataformas completas que encadenan múltiples vulnerabilidades para lograr comprometer el sistema.

• Coruna llegó a incluir más de 20 exploits en una sola plataforma

• DarkSword permite comprometer completamente el dispositivo con múltiples etapas de explotación

Originalmente vinculadas a operaciones altamente dirigidas, estas herramientas ahora están siendo utilizadas en campañas más amplias.

Según investigadores, esto marca un cambio clave, ya que las capacidades de ciberespionaje de nivel estatal están entrando en el mercado del cibercrimen.

Apple responde con parches y advertencias

Apple aseguró haber investigado los problemas y publicado actualizaciones para mitigar los riesgos en las versiones más recientes del sistema operativo.

• Los dispositivos actualizados no están expuestos

• Safari bloquea dominios maliciosos conocidos

• Se han corregido las vulnerabilidades explotadas

Pero ahora el problema está en los millones de usuarios que no actualizan. Se estima que cientos de millones de dispositivos pueden seguir siendo vulnerables por estar en versiones antiguas del sistema

Qué hacer si tu iPhone no está actualizado

Apple recomienda acciones concretas según el caso:

• Actualizar a la última versión disponible de iOS siempre que sea posible

• En dispositivos más antiguos:

  • Instalar versiones como iOS 15.8.7 o 16.7.15

• Si el equipo está en iOS 13 o 14:

  • Actualizar al menos a iOS 15

• Si no es posible actualizar:

  • Activar el Modo Aislamiento (Lockdown Mode)

Este último punto es clave, ya que se ha comprobado que el Lockdown Mode puede bloquear este tipo de ataques incluso en escenarios avanzados.

Un cambio estructural en las amenazas móviles

El análisis de empresas como iVerify deja conclusiones preocupantes:

• Los exploits son cada vez más fáciles de desplegar

• Se están reutilizando y adaptando rápidamente

• Diferentes actores los están usando en paralelo

Esto indica que estamos entrando en una nueva etapa donde los ataques móviles son masivos, no solo dirigidos.

Además, la facilidad con la que estas vulnerabilidades pueden ser reutilizadas hace probable que sigan apareciendo variantes, incluso después de los parches.

La realidad incómoda

Durante años, el iPhone fue percibido como un entorno “seguro por defecto”. Hoy, ese paradigma empieza a cambiar. No porque el sistema sea débil, sino porque:

• Los atacantes son más sofisticados

• Las herramientas están más disponibles

• Y los usuarios siguen sin actualizar

Y en ciberseguridad, eso es más que suficiente.

Aunque el ransomware tradicional sigue presente, los investigadores observan un crecimiento constante de los incidentes basados exclusivamente en extorsión mediante datos robados. La proporción de ataques financieros de este tipo pasó de alrededor del 2% en 2020 a más del 15% en 2025, según el análisis de Google.

En paralelo, el despliegue clásico de ransomware, donde los sistemas se cifran para exigir un rescate, ha disminuido ligeramente. En 2024, el 39% de los incidentes analizados incluían ransomware, mientras que en 2025 la cifra cayó al 31%. Aun así, el robo de datos sigue siendo una herramienta clave: el 77% de los ataques de ransomware también incluyeron exfiltración de información, utilizada como presión adicional para las víctimas.

Este cambio también se refleja en la actividad de los grupos criminales. Actores conocidos como Scattered Spider, ShinyHunters y Clop han centrado buena parte de sus operaciones recientes en el robo de información para chantaje, una estrategia que reduce riesgos técnicos y acelera la monetización de los ataques.

El informe también revela cómo los atacantes logran acceder inicialmente a las redes corporativas. Las vulnerabilidades explotadas fueron el vector de entrada más común, responsables de un tercio de los incidentes, seguidas por compromisos web y el uso de credenciales robadas. Entre los sistemas más atacados figuran productos de empresas como Fortinet, SonicWall, Palo Alto Networks y Citrix.

Otra tendencia destacada es el creciente interés por la infraestructura de virtualización. En 2025, el 43% de las intrusiones de ransomware apuntaron a entornos virtualizados como los hipervisores ESXi, frente al 29% del año anterior. Este tipo de infraestructura permite a los atacantes impactar múltiples sistemas con menos esfuerzo y complicar el análisis forense. Como ya se ha concluido muchas veces por expertos, el ransomware no está desapareciendo, solo está cambiando.

Según informó DarkReading, el hallazgo proviene de un estudio realizado por investigadores de universidades de España, Suiza y Luxemburgo. Para probar su hipótesis, los científicos instalaron una pequeña red de receptores de espectro de bajo costo (unos 100 dólares cada uno) a lo largo de una carretera. Durante diez semanas recopilaron más de seis millones de transmisiones TPMS procedentes de unos 20.000 vehículos que circularon por la zona, con el objetivo de analizar qué información podía extraerse de esas señales.

Los resultados mostraron que, mediante algoritmos diseñados para correlacionar las señales emitidas por cada neumático, es posible identificar y seguir vehículos concretos en movimiento. Según los investigadores, estas transmisiones podrían revelar información potencialmente sensible, como la presencia del conductor, el tipo de vehículo, su peso aproximado o incluso patrones de conducción.

El problema radica en cómo funcionan estos sensores. Los TPMS, obligatorios en Estados Unidos desde 2007, envían de forma automática datos sobre la presión de los neumáticos cada vez que el vehículo está en movimiento. Estas señales se transmiten inalámbricamente al sistema del automóvil para activar alertas cuando la presión baja. Sin embargo, la investigación detectó que las transmisiones se envían en texto plano y sin autenticación, lo que significa que cualquier receptor capaz de captar esa frecuencia puede interceptarlas desde el exterior del vehículo.

Además, cada sensor incluye un identificador único que no cambia durante la vida útil del neumático, diseñado para que el coche distinga sus propias ruedas de las de otros vehículos cercanos. Ese mismo identificador es precisamente lo que permite el rastreo. El estudio también comprobó que las señales pueden captarse a distancias de hasta 50 metros, incluso desde el interior de edificios. El descubrimiento se suma a una creciente lista de investigaciones que advierten que los automóviles modernos, llenos de sensores y conexiones inalámbricas, pueden convertirse sin quererlo (o queriendo) en nuevas fuentes de vigilancia digital.