Durante el mes de abril, los sistemas de telemetría de ESET en Chile detectaron una serie de amenazas cibernéticas que reafirman tendencias anteriores y, a su vez, revelan nuevos comportamientos por parte de los actores maliciosos. Este informe mensual de ESET entrega una radiografía actualizada del panorama de ciberseguridad en el país, con énfasis en los vectores de ataque más comunes, las familias de malware más activas y lo que deberíamos estar monitoreando de cerca en mayo.
Ver video del ranking abril aquí
Phishing (HTML): sigue liderando el ranking de amenazas
La técnica de phishing a través de archivos HTML sin adjuntos volvió a encabezar el ranking de amenazas más detectadas. Este tipo de ataque, clasificado como T1566.002 según MITRE ATT&CK, se caracteriza por no contener archivos maliciosos adjuntos, sino por redirigir a la víctima a través de enlaces embebidos.
Esta táctica resulta altamente efectiva por su capacidad de evadir muchos filtros antispam tradicionales y por explotar el eslabón más débil de la cadena de seguridad: el usuario. En abril, múltiples campañas de suplantación de identidad bancaria y de organismos estatales circularon con este método, logrando tasas preocupantes de clics.
CoinMiners: la persistencia de los mineros de criptomonedas
En un contexto en que el auge de las criptomonedas ha disminuido respecto a años anteriores, la segunda amenaza más detectada en abril fueron los CoinMiners. Resulta llamativo que estas amenazas continúen activas en 2025, dado el bajo rendimiento económico que suelen entregar actualmente a los atacantes.
Sin embargo, su presencia revela que existen aún dispositivos corporativos y personales desprotegidos que son explotados silenciosamente como nodos para minería ilegal. El impacto va más allá del uso de recursos: puede degradar el rendimiento de sistemas críticos y abrir puertas traseras para otros ataques más destructivos.
Troyanos Autoit: campañas de RATs bajo el radar
Entre las amenazas más destacadas, se observó una actividad importante de troyanos como Injector.Autoit, que aprovechan el lenguaje de scripting AutoIt para propagar diversas familias de Remote Access Trojans (RATs).
Estos troyanos permiten a los atacantes controlar de forma remota los dispositivos infectados, robar credenciales, espiar sesiones y descargar payloads adicionales. Aunque Injector.Autoit es solo un ejemplo, muchas campañas similares estuvieron activas durante abril, con variantes que comparten patrones de evasión y persistencia.
LummaStealer y el caso SII: espionaje en la mira
Otro nombre que resurgió en abril fue Spy.LummaStealer, un infostealer que ha sido vinculado a recientes filtraciones de credenciales y bases de datos. Su mención toma especial relevancia a raíz del reciente incidente que afectó al Servicio de Impuestos Internos (SII), tema que será observado de cerca durante mayo cuando la telemetría pueda confirmar correlaciones más directas.
Este tipo de malware está diseñado para robar información sensible desde navegadores, clientes FTP, billeteras de criptomonedas y más, y luego enviarla a servidores de comando y control (C2).
Formbook y XenoRAT: entre lo viejo y lo nuevo
- Formbook, una amenaza conocida y activa desde hace años, sigue presente en campañas dirigidas a empresas, principalmente a través de correos con archivos adjuntos comprimidos.
- XenoRAT, por otro lado, destaca como una novedad en la región. Este RAT multiplataforma no había sido detectado con frecuencia en Chile, pero su aparición sugiere una posible expansión de su uso o adaptación por parte de cibercriminales locales o internacionales.
Ambos casos evidencian cómo conviven amenazas tradicionales con nuevas herramientas en constante evolución.
Conclusión y recomendaciones
El ecosistema de amenazas en Chile sigue siendo diverso, con vectores como el phishing y troyanos RAT liderando las estadísticas, acompañados por una actividad aún persistente de malware de minería y robo de información.
Recomendaciones para las organizaciones:
- Actualizar las políticas de correo y concientización sobre phishing, especialmente ante campañas sin archivos adjuntos.
- Revisar la infraestructura TI en busca de procesos sospechosos, como el uso inusual de CPU que podría indicar actividad de CoinMiners.
- Implementar soluciones EDR, XDR y MDR que detecten comportamientos anómalos y no solo firmas conocidas. Más información de este servicio en el siguiente link: https://lockbits.cl/managed-detection-and-response/
- Auditar credenciales y accesos, especialmente en sectores críticos como entidades financieras o gubernamentales.
En Lockbits, somos representantes de ESET en Chile y contamos con soluciones avanzadas de protección 24/7. ¿Te preocupa el nivel de madurez de tu organización en ciberseguridad? Escríbenos a contacto@lockbits.cl y agenda un diagnóstico gratuito.
- Share:
