Search
Ransomware de nueva generación: Latinoamérica en la mira de ataques personalizados

Ransomware de nueva generación: Latinoamérica en la mira de ataques personalizados

por | Abr 22, 2026 | BLOG

ESET advierte sobre un nuevo modelo de robo información, silencioso y mucho más peligroso, que tiene a Latinoamérica dentro de sus objetivos. Se caracteriza por sus campañas dirigidas y adaptativas.

El ransomware The Gentlemen atacó a más de 250 víctimas de 17 países, entre los destacados se encuentran México, Colombia, Chile y Argentina, y representa una nueva era de ataques personalizados y ultra-adaptativos. A diferencia de otros grupos, este Ransomware as a Service (Raas) estudia las defensas específicas de su víctima y adapta sus herramientas durante la campaña para superar los controles existentes. ESET, compañía líder en detección proactiva de amenazas, analiza el nuevo escenario de los grupos que secuestran información y advierte cómo esta organización disciplinada, detallista y altamente metódica derrumbó los esquemas tradicionales para ser una de las amenazas más activas desde julio de 2025.

“Es un grupo emergente de ransomware as a Service que irrumpió en la escena cibercriminal a mediados de 2025. A diferencia de otros grupos con estéticas más descuidadas o rústicas, The Gentlemen destaca por una identidad de marca pulida. Al punto que posee un sitio de filtraciones en la dark web con un logotipo profesional y un lema que refuerza su imagen de organización disciplinada y muy orientada al detalle. Este profesionalismo no es solo estético, sino que se refleja en la precisión de sus ataques y en la calidad técnica de sus herramientas.”, menciona Martina Lopez, investigadora de seguridad informática de ESET Latinoamérica.

Su modelo operativo se basa en la doble extorsión, táctica donde no solo se cifran los archivos de la víctima para bloquear el acceso, sino que también se exfiltran datos confidenciales antes del cifrado. Una vez que poseen la información, amenazan con publicarla en su sitio de filtraciones si no se paga el rescate. Esta estrategia ejerce una presión masiva sobre las empresas, especialmente aquellas que no pueden permitirse una brecha de datos pública.

Sitio del ransomware The Gentlemen en la dark web. Fuente: @DailyDarkWeb.

Un ataque de ransomware a cargo de The Gentlemen suele comenzar aprovechando accesos expuestos en internet (sistemas con administración abierta) o utilizando credenciales previamente robadas. Una vez dentro, despliegan herramientas para explorar la red interna, entender cómo está organizada la empresa e identificar usuarios con permisos elevados, especialmente aquellos con acceso total a los sistemas.
 
Para moverse dentro de la red y escalar el ataque, utilizan herramientas que les permiten ejecutar acciones en múltiples equipos de forma remota y modificar configuraciones clave. De esta manera, logran distribuir el ransomware de forma simultánea en todos los dispositivos conectados, debilitando además los mecanismos de seguridad para facilitar el acceso y control remoto.
 
En la etapa final, combinan dos acciones críticas: por un lado, roban información sensible y la envían a servidores externos de forma cifrada; por otro, bloquean los sistemas mediante cifrado. Una vez completado el ataque, ejecutan procesos diseñados para borrar sus huellas: eliminan registros de actividad, conexiones remotas y cualquier evidencia que permita reconstruir lo ocurrido, dificultando así la investigación posterior.

 Detalle de las víctimas del The Gentlemen. Fuente: ransomware.live.

Su primera víctima documentada se registró el 30 de junio de 2025 y desde entonces, su actividad no ha cesado. Afectó a sectores críticos como la manufactura, la construcción, la salud, los seguros y los servicios financieros.
A nivel geográfico, su impacto es global, pero los países más afectados incluyen a Estados Unidos y Tailandia, seguidos por India, México, Colombia, España y Francia. Esta distribución sugiere que el grupo aprovecha oportunidades de acceso donde se presentan, sin una agenda geopolítica evidente.
A mitad de marzo de 2026 publicó en su sitio web el ataque a dos organizaciones de Colombia en las áreas de atención médica y medios de comunicación. Durante febrero, en Argentina atacó a un instituto de investigación científica gubernamental  y, en marzo, reclamó el ataque a un organismo de Chile. Por otro lado, según el sitio ransomware.live también contabilizó víctimas en Brasil, Perú, Ecuador, Venezuela, Guatemala, República Dominicana, Costa Rica y Panamá.

The Gentlemen informa en su sitio web del ataque a canal de televisión.

Desde ESET acercan un listado de recomendaciones para protegerse del ransomware The Gentlemen:

Reducir la exposición en Internet:

Revisar qué sistemas están accesibles desde afuera y cerrar cualquier acceso innecesario, especialmente paneles de administración o accesos remotos.

Proteger las credenciales:

Utilizar contraseñas únicas y robustas, activando el doble factor de autenticacióny monitoreando cualquier inicio de sesión sospechoso.

Mantener todo actualizado:

Aplicar parches de seguridaden sistemas operativos, servidores y aplicaciones. Muchas de sus intrusiones explotan fallas ya conocidas.

Detectar comportamientos anómalos:

Implementar soluciones que permitan identificar actividad inusual dentro de la red, como accesos fuera de horario o ejecuciones remotas inesperadas.

Limitar privilegios:

No todos los usuarios necesitan acceso total. Reducir permisos minimiza el impacto si una cuenta es comprometida.

Segmentar la red:

Separar sistemas críticos evita que un atacante se mueva libremente y comprometa toda la infraestructura.

Realizar backups:

Efectuar copias de seguridad periódicas, y almacenarlas de forma aislada, verificando que puedan restaurarse correctamente.

Capacitar al equipo:

El error humano sigue siendo una de las principales puertas de entrada. La concientización es clave.
“En un escenario donde los ataques ya no son masivos sino personalizados, la pregunta deja de ser si una organización puede ser objetivo, y pasa a ser cuándo. Entender cómo operan grupos como The Gentlemen es el primer paso para anticiparse a una amenaza que ya no avisa.”, concluye Lopez de ESET.

¡ESET TE INVITA A ESCUCHAR SU NUEVO PODCAST!

CONEXIÓN SEGURA
TRONI NEWS 3

TRONI NEWS 3

por | Abr 17, 2026 | BLOG

ESET analiza un troyano con múltiples funcionalidades que viene propagándose ampliamente en América Latina y distintas regiones del mundo.

Tienda de aplicaciones falsa y aplicaciones maliciosas Fuente: @Merlax_ (perfil X)

ESET, compañía líder en detección proactiva de amenazas, advierte sobre el auge de BTMOB, un troyano de acceso remoto (RAT) que integra un generador de aplicaciones maliciosas. Esta herramienta permite a los ciberdelincuentes diseñar y desplegar campañas de malware con una velocidad y eficiencia alarmantes. Además de funciones estándar como keylogging, capturas de pantalla y secuestro de sesiones, BTMOB se destaca por su capacidad de transmisión de pantalla en tiempo real y el control remoto directo sobre el dispositivo vulnerado.


Los troyanos se hacen pasar por archivos o apps legítimas para engañar a las víctimas e infectar sus dispositivos. En los troyanos bancarios, el objetivo principal es robar información financiera, mientras que los RAT tienen un alcance más amplio: pueden robar distintos tipos de datos, monitorear el dispositivo de forma completa y ejecutar acciones en él. Brasil es uno de los países con mayor volumen de detecciones de troyanos, la mayoría suelen ser troyanos bancarios.


La distribución de BTMOB se basa en diversas campañas de ingeniería social con foco en dispositivos Android. Muchas de las campañas desarrolladas en Brasil y otros países de la región utilizan versiones falsas de aplicaciones populares. Estas apps se distribuyen mediante engaños y dirigen a los usuarios hacia tiendas de aplicaciones fraudulentas que imitan la apariencia de Google Play Store.

Oferta de BTMOB en la superficie

ESET también identificó que BTMOB se ofrece como servicio en una página web accesible desde la web abierta. La página es simple y redirige mediante enlaces a un contacto en Telegram para adquirir el malware.

Perfil vinculado al malware en X

Además, se han encontrado referencias a la herramienta en las redes sociales. Una cuenta en la plataforma X (antes Twitter), por ejemplo, redirige a los interesados al mismo contacto en Telegram. En otras plataformas, como Instagram, también aparecen contenidos relacionados con la difusión del malware.

Descarga de BTMOB desde un sitio web que simula ser una agencia gubernamental argentina Fuente: Germán Fernández Bacian

Los elementos presentados por BTMOB son suficientes para clasificarlo como una amenaza relevante. Su facilidad de adaptación, capacidad de propagación y avanzadas funciones de control remoto refuerzan la necesidad de atención por parte de usuarios y organizaciones que buscan proteger sus dispositivos móviles.”, comenta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

Desde ESET aseguran que es posible evitar la infección por esta y otras amenazas similares, al implementar una estrategia combinada para que los resultados sean efectivos:

Descargar aplicaciones de fuentes oficiales o confiables:

La propagación de BTMOB también ocurre a través de tiendas falsas de aplicaciones que imitan la apariencia de la Play Store, pero que están alojadas y controladas por cibercriminales. Ante esto, es fundamental concientizar a los usuarios para que presten mayor atención y verifiquen si realmente están accediendo a la tienda oficial o a un entorno fraudulento.

Tener cuidado con los enlaces:

En el marco de la concientización sobre ciberseguridad, es esencial que las capacitaciones y comunicaciones orienten a los usuarios a ser cautelosos con cualquier tipo de contenido recibido de manera pasiva. Esto incluye enlaces enviados por correo electrónico, apps de mensajería o incluso anuncios en redes sociales. Los cibercriminales utilizan diversos recursos para alcanzar a sus víctimas y convencerlas de hacer clic, por lo que es fundamental reforzar este tipo de orientación.

Concientizar sobre el impacto y responsabilidad de cada colaborador:

Muchas personas que no trabajan directamente con tecnología o seguridad tienen dificultades para comprender los riesgos asociados a comportamientos descuidados. Aclarar estos impactos contribuye a la maduración de la postura de seguridad de la organización, además de ayudar a cada individuo a entender su rol y las posibles consecuencias de un incidente.

Proteger el entorno y dispositivos:

Es esencial asegurarse de que las medidas anteriores se refuerzan con controles tecnológicos y soluciones de seguridad. Utilizar un software de protección robusto, siempre actualizado y correctamente configurado para proteger todos los dispositivos del entorno, no sólo los móviles. En caso de acceso indebido, estas soluciones pueden evitar o mitigar la ejecución de acciones maliciosas.

¡ESET TE INVITA A ESCUCHAR SU NUEVO PODCAST!

CONEXIÓN SEGURA

TRONI NEWS 2

por | Abr 15, 2026 | BLOG

¿Hiciste clic donde no debías? ¿Dejaste tus datos en un formulario sospechoso? ESET comparte qué hacer para evitar que las cuentas, la información y el dinero queden en manos de un ciberatacante.

¿Te llegó un correo que parecía ser de tu empresa e hiciste clic en un enlace malicioso? ¿Completaste un formulario de un “sorteo increíble”, ingresando tus datos sin sospechar? Entonces es muy probable que hayas sido víctima de un ataque de phishing. ESET, compañía líder en detección proactiva de amenazas, te comparte un paso a paso para saber cómo reaccionar porque tus datos, información y hasta dinero están en juego y los primeros 5 minutos son clave para frenar el daño y proteger tus cuentas y todo lo referente a ellas.

 

El phishing es una de las técnicas de ingeniería social más utilizadas por el cibercrimen para robar información y dinero. Los mensajes suelen aparentar venir de entidades confiables (bancos, redes sociales u organismos oficiales) y buscan que actúes rápido, sin pensar.

 

A continuación, ESET comparte el paso a paso detallado, para que sepas cómo actuar de manera rápida y efectiva:

  1. MINUTO 0 – Respirar: La clave para llevar adelante todos los pasos es no perder la tranquilidad. Con acciones rápidas y concretas, se puede mitigar el daño y que tu información, datos, archivos y dinero no corran peligro.

    MINUTO 1 – Desconectar: El primer paso es desconectar el dispositivo, sea a través de Wi-Fi o datos. Y también, cerrar la página o app en la que sucedió el ataque de phishing, para no seguir interactuando en ese contexto malicioso.

    “Muchos ataques no terminan solo cuando ingresas los datos, ya que los actores maliciosos pueden intentar robar sesiones activas, descargar malware o seguir enviando tu información en segundo plano. Entonces, cortar la conexión interrumpe la comunicación con el servidor del atacante, limitando así el impacto inmediato.”, comenta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

    MINUTO 2 – Cambiar: Lo siguiente es cambiar todas tus contraseñas críticas: homebanking, billeteras virtuales, redes sociales y correo electrónico (este último es el punto más crítico, ya que es la “llave maestra” para el acceso a otras cuentas y servicios). Para evitar que el ciberatacante pueda resetear las contraseñas de tus cuentas y tomar el control, debes actualizarlas lo antes posible, invalidando así el acceso que acaban de robar.

    MINUTO 3 – Activar: Activar el doble factor de autenticación (también conocido como 2FA) en todas las cuentas en las que sea posible. Se trata de una capa extra de seguridad, la cual puede ser configurada para recibir un mensaje vía SMS con un código de un solo uso de seis dígitos que se debe ingresar para acceder a nuestras cuentas. Por más que el cibercriminal haya obtenido tus credenciales, necesitará tener en su poder ese código para ingresar.

    “Si bien el ciberatacante ya puede tener tu contraseña, el 2FA agrega una segunda barrera que reduce drásticamente el riesgo de acceso no autorizado. Esta simple acción puede marcar la diferencia entre solo un susto y el compromiso de tus datos, dinero y cuentas.”, agrega Lopez de ESET.

    MINUTO 4 – Revisar: Realizar un examen exhaustivo para detectar cualquier actividad sospechosa. Analizar desde inicios de sesión extraños, movimientos en cuentas que no realizaste o correos o mensajes enviados que no reconoces. Muchos ciberatacantes actúan de manera inmediata. Es decir, hacen transferencias, cambian configuraciones o aprovechan el acceso a tu cuenta para reenviar el ataque de phishing a tus contactos. Entonces, detectar cualquier movimiento anómalo es clave para cerrar las secciones activas de manera inmediata y así mitigar el impacto.

    MINUTO 5 – Avisar: Notificar a quien corresponda. Por ejemplo, si ingresaste tus datos financieros, es importante que contactes a tu entidad bancaria, ya que pueden frenar transacciones fraudulentas o bloquear tu cuenta a tiempo. Además, reportarlo a tu empresa o equipo de IT: si el ataque de phishing se produjo en un ambiente corporativo, es clave que puedan tomar acciones concretas para prevenir que otras personas también sean víctimas del engaño. Por último, es necesario poner al tanto a tus contactos, ya que los ciberatacante suelen usar tu cuenta para seguir propagando el phishing, sabiendo que, si el correo proviene de alguien conocido, puede ser mucho más eficaz. Entonces, cuento antes avises, menos gente se podrá ver afectada.

    Hay otras acciones que se pueden realizar en pos del resguardo y protección de tus cuentas. Por un lado, escanear el dispositivo con una solución de seguridad confiable, con el fin de detectar cualquier tipo de archivo malicioso, y eliminarlo.

    “A su vez, es importante tener activa una barrera de protección para este tipo de ataques. Las soluciones de ESET, por ejemplo, combinan detección en tiempo real, análisis de comportamiento y protección frente a phishing. Esto es clave para identificar amenazas conocidas como actividades sospechosas que podrían pasar desapercibidas. Es una capa extra de visibilidad, que potencia cada uno de tus buenos hábitos de ciberseguridad.”, concluye Martina de ESET Latinoamérica.

¡ESET TE INVITA A ESCUCHAR SU NUEVO PODCAST!

CONEXIÓN SEGURA
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.