ESET Chile: informe de amenazas y detecciones — julio 2025

Julio fue un mes donde el phishing volvió a liderar el acceso inicial y la ofuscación tipo “Kryptik” mantuvo una presencia fuerte. También AutoIt siguió apareciendo como herramienta de ejecución, en paralelo al abuso de páginas engañosas tipo FakeCaptcha/ClickFix.

A continuación, un resumen de los ataques más detectados y bloqueados por ESET Chile durante julio de 2025.

Resumen ejecutivo (Chile)

Para facilitar la lectura, el informe organiza los hallazgos como ocurre en un ataque típico: primero el acceso inicial, la ejecución y después la evasión. Luego, se presentan las familias más activas y el ataque de ingeniería social en alza (FakeCaptcha). El objetivo es que el lector entienda el flujo de una intrusión real, a través de la matriz de Mitre ATT&CK, más que un simple ranking por porcentajes.

• Acceso inicial (TA0001): el phishing concentró el 23% de los casos. De ese total, 1/3 llegó por adjuntos (T1566.001) y 2/3 por enlaces (T1566.002).
• Ejecución (TA0002): uso de herramientas de scripting legítimas; AutoIt destacó con 7% (T1059.010).
• Evasión/Ofuscación: las detecciones Kryptik sumaron 23% del total; .NET (MSIL) fue el blanco más explotado (5–6% dentro de Kryptik), además de variantes en JS/BAT/VBS.
• Familias conocidas más activas bloqueadas por ESET en Chile: Formbook (18%), AgentTesla (10%), LummaStealer (6%) y XenoRAT (6%).
• Ingeniería social: persiste el abuso de FakeCaptcha/ClickFix (~4%) para forzar la ejecución por parte del usuario (T1204.004).
  

• Acceso inicial (TA0001): el phishing concentró el 23% de los casos. De ese total, 1/3 llegó por adjuntos (T1566.001) y 2/3 por enlaces (T1566.002).
• Ejecución (TA0002): uso de herramientas de scripting legítimas; AutoIt destacó con 7% (T1059.010).
• Evasión/Ofuscación: las detecciones Kryptik sumaron 23% del total; .NET (MSIL) fue el blanco más explotado (5–6% dentro de Kryptik), además de variantes en JS/BAT/VBS.
• Familias conocidas más activas bloqueadas por ESET en Chile: Formbook (18%), AgentTesla (10%), LummaStealer (6%) y XenoRAT (6%).
• Ingeniería social: persiste el abuso de FakeCaptcha/ClickFix (~4%) para forzar la ejecución por parte del usuario (T1204.004).

Los atacantes siguen entrando por correo y web, ejecutan con lo que el usuario ya tiene (scripts, intérpretes, AutoIt) y se esconden tras ofuscación e inyección en procesos legítimos (T1055).

Lo más detectado en julio (datos ESET en Chile)

• Phishing por HTML: ~16%
• Phishing por PDF (adjuntos): ~7%
• FakeCaptcha/ClickFix (HTML): ~4%

• AutoIt (Injector.Autoit): ~7% – 
• Kryptik (ofuscación): ~23% total, con este desglose aproximado. 
• -Win64 ~13%
• -MSIL (.NET) ~5.7% 
• Win32 ~3.3% 
• JS/BAT/VBS ~1.1% combinado

Estos porcentajes provienen del agregado de detecciones de ESET Chile. El apartado de familias (Formbook, AgentTesla, etc.) refleja el análisis de ESET sobre un subconjunto de familias.

¿Qué significa para tu empresa en Chile?

1. Email y web siguen siendo el principal perímetro. La puerta de entrada es humana y está en el navegador y el cliente de correo.
2. .NET y scripting los atacantes ejecutan comandos con intérpretes ya presentes (PowerShell, AutoIt, .NET) para reducir la huella y evadir controles basados en archivos.
3. Ofuscación e inyección complican el antivirus tradicional. Se necesita telemetría, correlación y respuesta (EDR/XDR) para ver el cuadro completo.
4. Robos de credenciales (Formbook/AgentTesla/Lumma) alimentan accesos posteriores y movimientos laterales.

MITRE ATT&CK en simple (marcos tácticos del mes)

• TA0001 · Acceso inicial → Phishing: T1566.001 (Adjuntos), T1566.002 (Enlaces).
• TA0002 · Ejecución → Scripting/AutoIt: T1059.010.
• TA0005 · Defensa/Evasión → Ofuscación/Kryptik (variantes MSIL/JS/BAT/VBS).
• TA0005/TA0004 → Inyección en procesos legítimos: T1055.

Recomendaciones prácticas (prioriza lo que más reduce riesgo)

1. Correo endurecido: MFA + políticas de adjuntos, bloqueo de macros, y análisis de PDF/HTML en gateway.
2. Navegación segura: DNS seguro, aislamiento por categorías y protección anti-phishing en el endpoint.
3. Control de scripts: políticas para PowerShell/AutoIt (registro, restricción por firma, listas de permitidos) y monitoreo de intérpretes.
4. Visibilidad y respuesta: habilita EDR/XDR para ver inyecciones (T1055) y cadenas “fileless”.
5. Gestión de credenciales: 2FA, higiene de contraseñas y rotación ante incidentes.
6. Parcheo y endurecimiento: aplica actualizaciones y reglas de reducción de superficie.

¿Cómo apoya Lockbits con ESET en Chile?

Con más de 10 años de trayectoria, Lockbits acompaña a las empresas en su evolución, integrando la tecnología de ESET para fortalecer la ciberseguridad y cerrar las brechas pendientes.

• ESET MDR (operado por ESET): detección 24/7, investigación y respuesta guiada ante incidentes. Lockbits te apoya como partner local en la implementación, coordinación y el seguimiento con ESET. 
• ESET XDR/EDR (ESET Inspect): telemetría profunda para identificar ofuscación, mal uso de scripts y correlación de eventos. 
• Concientización en ciberseguridad: programas de sensibilización para usuarios y equipos (contenidos breves, charlas ejecutivas y materiales de buenas prácticas) alineados a los riesgos que vemos mes a mes en Chile.

• Recursos en lockbits.cl: informes mensuales de amenazas en Chile, guías y casos.

• Contáctanos: agenda una conversación directa desde nuestro sitio.

¿Quieres revisar tu exposición o conversar cómo el MDR/XDR de ESET se integra a tu entorno? Conversemos.