La ciberseguridad sigue siendo un tema crítico en Chile. Según los datos de ESET correspondientes a febrero de 2025, se identificó un conjunto de amenazas destacadas que afectan a usuarios y organizaciones en el país. A continuación, presentamos el Top 10 de malware más detectado ese mes con sus porcentajes de detección, y analizamos las tendencias clave detrás de estos códigos maliciosos.
En particular, profundizamos en por qué el phishing continúa liderando el ranking, cómo los archivos PDF son utilizados como vectores de ataque para evadir controles, el crecimiento del infostealer Formbook (y su propagación mediante AutoIt), y la persistencia del troyano bancario Mekotio en la región.
Top 10 principales amenazas en febrero 2025 (Chile, ESET)
Según la telemetría de ESET en Chile, estas fueron las diez amenazas más detectadas durante febrero de 2025, junto con el porcentaje que representaron del total de detecciones en el mes:
Destaca que las dos primeras posiciones corresponden a amenazas de phishing y malware ofuscado, que aprovechan la ingeniería social y técnicas de evasión. Asimismo, las detecciones de AutoIt (posición 3) reflejan el resurgimiento de esta táctica para propagar malware, y la presencia de Formbook (5º) evidencia la creciente actividad de los infostealers en la región. A continuación, analizamos en detalle estas tendencias.
Phishing: ¿Por qué sigue encabezando la lista?
El phishing continúa ocupando el primer lugar del ranking de amenazas en Chile, consolidándose como la táctica favorita de los atacantes. Esto se debe a que sigue siendo extremadamente efectivo: en lugar de atacar directamente vulnerabilidades del sistema, el phishing explota el factor humano.
Los ciberdelincuentes envían correos electrónicos maliciosos cuidadosamente elaborados que imitan comunicaciones legítimas (bancos, proveedores de servicios, instituciones de confianza), engañando a los usuarios para que hagan clic en enlaces falsos o descarguen archivos maliciosos. Con el tiempo, estas campañas de phishing han evolucionado para verse más creíbles, utilizando logos oficiales, remitentes aparentemente confiables y mensajes urgentes o convincentes. Como resultado, muchas víctimas caen en la trampa, lo que explica que el phishing siga liderando las detecciones.
En febrero de 2025, Trojan.HTML/Phishing.Agent (correos con páginas HTML incrustadas para robar credenciales) representó casi 12% de las detecciones totales. Esto evidencia que los correos maliciosos siguen generando confianza en las víctimas: al cargar una página de login falsa pero bien diseñada, los usuarios entregan sin saberlo sus contraseñas u otra información sensible. La prevalencia sostenida del phishing subraya la importancia de la concientización y de desconfiar de mensajes no solicitados que pidan datos personales o financieros. A nivel técnico, también resalta la necesidad de contar con filtros de correo y soluciones de seguridad que detecten estas amenazas antes de que lleguen al usuario final.
Archivos PDF maliciosos como vector de propagación y evasión
Entre las técnicas de ataque observadas, el uso de archivos PDF maliciosos como vector destaca por su capacidad de propagación y evasión de controles de seguridad. En el ranking de febrero, Trojan.PDF/Phishing ocupó la séptima posición con más del 3% de las detecciones. Ya desde meses anteriores se viene observando que los documentos PDF son utilizados regularmente para distribuir malware o enlaces de phishing.
Los atacantes aprovechan la confianza que inspiran los PDFs, dado que suelen ser considerados documentos “seguros” o al menos comunes en entornos corporativos. Un correo electrónico con un PDF adjunto que simula ser una factura, un recibo o un documento de interés para la víctima puede pasar los filtros iniciales y lograr que el destinatario lo abra. ¿Cómo se emplea el PDF para eludir la seguridad? En muchos casos, el archivo PDF en sí no contiene malware ejecutable (lo que podría ser detectado fácilmente), sino que incluye enlaces o botones que incitan al usuario a hacer clic, llevando a sitios de phishing o descargando malware desde internet. En otros escenarios, el PDF puede contener scripts embebidos o exploits de vulnerabilidades PDF, aunque esto es menos común que la simple inclusión de enlaces.
Lo importante es que esta táctica les permite a los atacantes sortear controles anti-spam y antimalware básicos: un PDF con un enlace malicioso puede no ser detectado por filtros que buscan directamente archivos ejecutables o macros ofimáticas. Por eso, los PDFs maliciosos siguen siendo una técnica efectiva en las campañas actuales. Los usuarios deben estar alertas y verificar la legitimidad de documentos adjuntos inesperados, incluso si vienen en formatos aparentemente inofensivos como PDF.
Formbook en ascenso: infostealer impulsado por AutoIt
El Formbook ha emergido como una de las amenazas de robo de información más prominentes recientemente. Este malware, conocido desde al menos 2016, escaló posiciones a fines de 2024 y se convirtió en uno de los infostealers más detectados globalmente. De hecho, según ESET hubo un aumento del 200% en sus detecciones hacia el final de 2024, posicionándose como el infostealer número uno en su categoría. En febrero de 2025 en Chile, Trojan.Win32/Formbook apareció en el Top 5 con alrededor del 5% de las detecciones totales, reflejando esa tendencia regional al alza.
Una de las claves del éxito de Formbook es su método de propagación. Se distribuye principalmente a través de adjuntos maliciosos en correos de phishing, disfrazado como documentos o archivos legítimos. Muchas de estas campañas hacen uso de scripts AutoIt empaquetados como ejecutables para ofuscar la carga maliciosa. AutoIt es un lenguaje de scripting legítimo para automatizar tareas en Windows, pero los atacantes lo abusan creando droppers (cargadores) que ejecutan el malware en el sistema de la víctima. Esta táctica les permite inyectar el código malicioso en procesos legítimos y así evadir la detección de los antivirus. De hecho, ESET reportó que el abuso de AutoIt para propagar malware ha resurgido y está en auge nuevamente en campañas recientes .
En el caso de Formbook, los ciberdelincuentes suelen adjuntar un ejecutable disfrazado (por ejemplo, un archivo .exe que aparenta ser un PDF o un documento) el cual internamente contiene un script AutoIt. Al abrirlo, este dropper carga y ejecuta silenciosamente el malware Formbook en la computadora de la víctima . Como resultado, el infostealer se instala pasando inadvertido bajo la cobertura de un proceso confiable, comenzando luego su actividad de robo de credenciales, registro de teclas, capturas de pantalla, etc.. El crecimiento de Formbook es significativo porque demuestra cómo los infostealers se han convertido en una amenaza central en 2025, impulsada por esquemas MaaS (malware as a service) y la reutilización de herramientas como AutoIt que facilitan su distribución. Las organizaciones deben tomar nota de esta tendencia y reforzar sus defensas (por ejemplo, con autenticación de dos factores y filtrado avanzado de correo) para mitigar el robo silencioso de información.
Mekotio: un troyano bancario que se resiste a desaparecer
Otra amenaza destacada en febrero de 2025 es Mekotio, un troyano bancario enfocado en robar credenciales financieras. Mekotio ocupa el 6º lugar del ranking mensual en Chile, con cerca del 4% de las detecciones. Lo notable es la persistencia en el tiempo de este malware: fue identificado por primera vez en 2015 y sigue activo casi una década después en campañas dirigidas a Latinoamérica . De hecho, Mekotio ha sido una de las principales variantes de troyanos bancarios en la región, con más de 70 versiones conocidas circulando. Países como Argentina, México, Perú, Chile y Brasil han sufrido sus embates en los últimos años , lo que demuestra su alcance regional.
En Chile, la presencia continua de Mekotio indica que los delincuentes aún logran infectar usuarios con técnicas clásicas. La principal estrategia de propagación de Mekotio es a través de correos electrónicos fraudulentos (malspam) que suplantan identidades confiables. Por ejemplo, se han visto campañas donde los atacantes envían emails aparentando provenir de instituciones legítimas (bancos, entidades gubernamentales como el Servicio de Impuestos Internos, empresas de servicios), con pretextos como una factura pendiente o un asunto urgente relacionado con la cuenta de la víctima. Estos correos incluyen enlaces o archivos adjuntos que, al hacer clic, descargan e instalan silenciosamente el troyano Mekotio en el equipo de la víctima.
Una vez activo, Mekotio es capaz de robar credenciales bancarias mostrando pantallas de inicio de sesión falsas (imitando al banco de la víctima) y capturando la información ingresada. También puede realizar otras acciones maliciosas en el sistema comprometido, como registrar pulsaciones de teclado o incluso robar criptomonedas, según variantes. La continua aparición de Mekotio en las detecciones mensuales demuestra cómo las amenazas financieras tradicionales permanecen vigentes. A pesar de arrestos y esfuerzos de la ley (en 2021 se detuvo a parte de su operación), el malware sigue reapareciendo en nuevas campañas, adaptándose y evadiendo contramedidas. Esto refuerza la necesidad de que los usuarios mantengan precaución con correos inesperados y que las empresas del sector financiero cuenten con medidas de seguridad robustas para proteger a sus clientes.
Conclusión
El panorama de amenazas en Chile durante febrero de 2025 muestra una combinación de técnicas de ingeniería social efectivas (phishing por correo, engaños con archivos PDF) junto con malware persistente y evolucionado (infostealers como Formbook, troyanos bancarios como Mekotio). A pesar de no ser vectores nuevos, su prevalencia indica que siguen dando resultados a los atacantes. La confianza que inspiran correos y documentos aparentemente legítimos permite que amenazas como el phishing encabecen las listas mes tras mes . Al mismo tiempo, los ciberdelincuentes reciclan herramientas conocidas (como AutoIt, exploits antiguos o malware de años anteriores) para eludir la detección y comprometer sistemas desactualizados.
Para enfrentar este escenario, es fundamental mantener buenas prácticas de seguridad: capacitación constante a los usuarios para identificar intentos de phishing, mantener los sistemas y software actualizados (cerrando vulnerabilidades explotadas como CVE-2012-0143), y utilizar soluciones de seguridad con capacidades anti-phishing, análisis de adjuntos y detección proactiva de comportamientos sospechosos. Solo combinando la concientización del usuario y la tecnología de protección adecuada se puede reducir el riesgo ante estas amenazas que, como vemos, siguen tan activas en 2025 como siempre.
- Share:
