Crimeware y amenazas cibernéticas financieras en 2025

Los expertos de nuestro Equipo Global de Investigación y Análisis (Global Research and Analysis Team, GReAT) monitorean constantemente las amenazas cibernéticas conocidas y emergentes que apuntan a la industria financiera, siendo los bancos y las empresas fintech los que más ataques sufren. También seguimos de cerca las amenazas que buscan infiltrarse en una gama más amplia de industrias, sobre todo las familias de ransomware que buscan ganancias financieras.

Estas observaciones, como parte de nuestro Boletín de Seguridad de Kaspersky, nos ayudan a elaborar predicciones de cómo cambiará el panorama de las ciberamenazas financieras a lo largo del año. Este informe describe las tendencias de los ataques más destacados que nos preparamos para enfrentar a fin de ayudar a empresas e individuos a protegerse de ellos. Primero echaremos un vistazo a nuestras predicciones para 2024 para ver si se cumplieron, luego exploraremos los eventos clave del panorama de las amenazas cibernéticas financieras durante el año, y finalmente intentaremos predecir las tendencias para 2025.

¿Qué tan precisas fueron las predicciones de 2024?

1. Aumento en los ciberataques impulsados por la IA

   ✅ Verdadera

   La predicción que anticipaba un aumento de los ciberataques con herramientas de aprendizaje automático resultó ser cierta. En 2024, vimos que los ataques cibernéticos impulsados por la IA no sólo se realizaron a través de correos electrónicos, anuncios manipulados, ataques de phishing (aproximadamente el 21% de los correos electrónicos de phishing ahora son generados por la IA) y otros contenidos, sino también como una forma efectiva de eludir la autenticación biométrica. Los instrumentos de aprendizaje automático permitieron a los criminales abrir nuevas cuentas utilizando datos filtrados, suplantar a las víctimas y eludir los mecanismos de seguridad utilizados en el proceso de KYC (conozca a su cliente), manipulando y cambiando caras, videos, imágenes, etc. Algunos actores de amenazas, como Gringo 171, se especializan en desarrollar estos instrumentos, y los venden a cualquier criminal interesado en eludir la autenticación biométrica. Como ejemplo, en un caso reciente, la Policía Federal Brasileña arrestó a criminales que utilizaron herramientas de la IA para abrir miles de cuentas bancarias destinadas al lavado de dinero gracias a la creación de rostros falsos y lograron burlar la verificación biométrica.

2. Esquemas fraudulentos dirigidos a sistemas de pago directo

   ✅ Verdadera

   Se confirmó la predicción de que los ciberdelincuentes explotarían sistemas de pago directo como PIX, FedNow y UPI a través de clippers y troyanos de banca móvil. Vimos la aparición de GoPIX, un troyano bancario en Brasil que apunta al sistema de pago en tiempo real PIX, y que para cambiar las claves y robar los pagos, implementa la supervisión del portapapeles. La misma técnica fue utilizada en un troyano dirigido a dispositivos Android. Otras familias de troyanos bancarios ya implementaron la funcionalidad de robo de criptomonedas al atacar directamente a los sitios o interceptar el portapapeles del usuario.

   Aunque no se han reportado casos importantes de fraude directamente vinculados al sistema FedNow hasta octubre de 2024, las preocupaciones sobre la posibilidad de fraude siguen siendo altas. FedNow, el servicio de pago de la Reserva Federal, permite transferencias de fondos instantáneas, pero su rapidez puede ser explotada por estafadores, en particular en la forma de fraude de pago push autorizado (APP).

   En cuanto a UPI, el sistema nacional de pago directo de India, los estafadores saturaron los id. de UPI con múltiples solicitudes de cobro. Es fácil descifrar un id. de UPI ya que generalmente se forma con el número de móvil del usuario seguido del nombre del proveedor de UPI. Los estafadores pueden obtener los números de teléfono de las víctimas, ya que su uso público es amplio: para compras en línea, en centros comerciales, restaurantes y otros. Los usuarios han estado recibiendo muchas solicitudes fraudulentas de recolección de dinero UPI y solicitudes de autopago de Netflix, Google Pay, etc. en cuentas UPI. En algunos casos, estas son auténticas solicitudes de autopago UPI iniciadas por estafadores desde sus cuentas de Netflix, que resultan en que un usuario desprevenido paga por la suscripción de un estafador.

   Finalmente, hemos notado un aumento de aplicaciones falsas de pago instantáneo en América Latina, utilizadas para llevar a cabo diferentes tipos de estafas. En este contexto, ciertos grupos de ciberdelincuentes están desarrollando aplicaciones que imitan de manera convincente las transacciones monetarias, mostrando un recibo falso sin ninguna conexión real con los sistemas de transacciones, lo que engaña a los vendedores, para que participen en transacciones ilegales o que generan pérdidas. Estas aplicaciones se venden en foros de la web oscura a estafadores que las utilizan para hacer compras falsas en nombre de pequeñas empresas.

3. Adopción global de Sistemas de Transferencia Automatizada (ATS, Automated Transfer Systems)

   ☑️ Parcialmente cierta

   La predicción sugirió que los ataques con ATS en móviles serían adoptados a nivel mundial. Aunque los troyanos de banca móvil que utilizan ATS ya eran una realidad, su adopción global aún está en marcha. Uno de los grupos responsable del desarrollo de una familia particular de malware que usa esta técnica en Brasil estaba planeando expandir sus ataques a Europa, lanzando una versión de prueba del malware. Pero antes de que tuvieran la oportunidad de expandirse, fueron arrestados por la policía brasileña, que actuó tras recibir nuestra notificación.

   Además, con los avances de Google para restringir aún más el permiso de Accesibilidad en las versiones más recientes de Android, creemos que será más difícil para el malware en general aplicar el truco ATS en futuras versiones de troyanos bancarios móviles, ya que necesita que se habiliten los ajustes de accesibilidad.

4. Resurgimiento de troyanos bancarios brasileños

   ✅ Verdadera

   La predicción de que los ataques con los troyanos bancarios brasileños se extenderían aún más, y que Grandoreiro ganaría impulso, se confirmó. Los troyanos bancarios brasileños surgieron en 2024 como una amenaza global que amenazaba a muchos países y estaba expandiendo su alcance. Las familias dominantes en 2024 fueron Guildma, Javali, Melcoz, Grandoreiro (el grupo Tetrade), además de otras, como Banbra, BestaFera, Bizarro, ChePro, Casbaneiro, Ponteiro, y Coyote. Grandoreiro logró expandirse para atacar a más de 1700 bancos en 45 países, en todos los continentes, y ni siquiera la detención de los miembros de su banda los detuvo. En la lista de las 30 principales familias de troyanos bancarios que detectamos a nivel mundial, 11 son de origen brasileño y corresponden al 22% de todas las detecciones en los equipos nuestros usuarios en 2024 (según las estadísticas de KSN recopiladas de enero a octubre de 2024).

5. El ransomware elegiría con más cuidado sus objetivos

   ✅ Verdadera

   La predicción sugería que los grupos de ransomware se inclinarían hacia ataques más selectivos y escogidos con mucho cuidado. En 2024, los grupos de ransomware intensificaron su enfoque en objetivos de alto valor, y prefieren las organizaciones más grandes, en particular aquellas con ingresos superiores a cinco mil millones de dólares, debido a la probabilidad de pagar rescates más altos. Esta tendencia refleja un cambio hacia un enfoque más centrado en los servicios financieros, especialmente en los bancos. Se ha registrado un aumento notable de este tipo de ataques, y los bancos representan el 20% de los incidentes de ransomware en este sector. La demanda promedio de rescate aumentó en $400 000 de 2023 a 2024, lo que subraya que los atacantes buscan rescates más lucrativos. Sin embargo, mientras que los operadores de ransomware más hábiles han dedicado sus esfuerzos a sectores de alto perfil, otros grupos continúan atacando de manera generalizada, afectando a los sectores gubernamentales, de salud y educación. Este enfoque dual ha impulsado un aumento del 21,5% en los incidentes de ransomware del primer al segundo trimestre de 2024, y un aumento interanual del 4,3% en la primera mitad del año, lo que sugiere que, a pesar de la tendencia selectiva, el ransomware sigue siendo una amenaza generalizada en todas las industrias.

6. Paquetes de código abierto con backdoor

   ✅ Verdadera

   La predicción anticipaba el preocupante aumento de paquetes de código abierto con puertas traseras, y resultó ser acertada. El Backdoor XZ fue un incidente importante que afectó a las distribuciones de Linux cuando los paquetes con puertas traseras terminaron siendo integrados en software OSS popular. Hicimos un análisis extenso de esta puerta trasera aquí, aquí y aquí. Desafortunadamente, no fue el único, ya que vimos muchos otros incidentes similares este año.

7. Disminución de los exploits de día 0, aumento en los de día 1

   ❌ Falsa

   La predicción de que los actores de crimeware cambiarían de exploits de día cero a exploits de día uno terminó siendo inexacta para 2024, ya que las tendencias recientes indican que se ha mantenido y que incluso ha aumentado el número de vulnerabilidades de día cero. Según CVE.org, en 2023 registró 28 961 vulnerabilidades en su catálogo, mientras que, en 2024, hasta noviembre, registró 29 004, el número más alto nunca registrado.

   De acuerdo con el Informe de Inteligencia de ataques Rapid7 de 2024, el uso de exploits de día cero ha aumentado, y un 53% de los CVE ampliamente explotados hace poco comenzaron como ataques de día cero, una tendencia observada en dos de los últimos tres años. Este enfoque en los ataques de día cero se refuerza por la naturaleza sofisticada y bien organizada de los ataques recientes, donde el 23% de las amenazas generalizadas de CVE se han atribuido a vulnerabilidades de día cero de alto valor. El mercado comercial de exploits también ha escalado, y los intermediarios ofrecieron altos pagos, incluso de hasta $2 millones de dólares por exploits de día cero para iPhone. Por el contrario, no hay evidencia que indique un aumento en el uso de exploits de día uno entre los actores de crimeware, lo que confirma que los ataques de día cero siguen siendo una táctica primaria en el panorama de amenazas de ciberseguridad.

8. Explotación de dispositivos y servicios mal configurados

   ✅ Verdadera

   La predicción sobre la explotación de dispositivos y servicios mal configurados resultó acertada en 2024, como lo evidencia la operación EMERALDWHALE. Esta campaña global se estaba dirigida a instancias de Git mal configuradas, lo que resultó en el robo de más de 15 000 credenciales de servicios de nube y acceso no autorizado a más de 10 000 repositorios privados. El impacto fue extenso, y afectó a varios servicios, incluyendo proveedores de nube y plataformas de correo electrónico, lo que subraya la naturaleza generalizada de las vulnerabilidades debido a configuraciones deficientes. Los atacantes utilizaron herramientas privadas y automatizadas para escanear, extraer y verificar tokens robados de servicios mal configurados, expandiendo en gran medida su alcance y eficiencia. Esta tendencia de mala configuración también expuso datos sensibles almacenados en archivos de configuración, como los archivos .env de Laravel, y resaltó las vulnerabilidades del almacenamiento en la nube, como un bucket de Amazon S3 afectado que contenía más de un terabyte de información confidencial.

9. Composición fluida de grupos de afiliados

   ✅ Verdadera

   La predicción que sugiere una distinción más fluida entre los grupos de cibercrimen demostró ser precisa. En 2024, el ecosistema de ransomware se volvió cada vez más dinámico y adaptable, con afiliados que adoptaron un enfoque de “multiplataforma”. Muchos actores de amenazas ahora trabajan con varias familias de ransomware al mismo tiempo, lo que les permite optimizar sus operaciones y mitigar los riesgos asociados con depender de un solo grupo. Por ejemplo, los investigadores de ciberseguridad han observado a afiliados participando activamente en campañas para diferentes familias de ransomware, cambiando entre grupos como BlackMatter y otros de reciente aparición, como RansomHub. Este enfoque estratégico les permite mantener un flujo constante de ataques aprovechando diferentes cepas de ransomware que dependen del blanco, el posible pago y el estado operativo de cada plataforma RaaS. La fragmentación del panorama de los programas de ransomware es evidente: el número de grupos que publican listas de víctimas ha aumentado de 43 a 68, y en el último año surgieron 31 nuevos grupos. Esta descentralización complica los esfuerzos policiales, ya que el reto de rastrear y contener a estos grupos se ha vuelto más complicado debido a su estructura ágil y alcance internacional. Grupos más pequeños, como Medusa y Cloak, están aprovechando este entorno cambiante, ofreciendo atractivas participaciones en las ganancias de recursos de la web oscura para atraer afiliados. Por ejemplo, Medusa ofrece hasta un 90% de participación en las ganancias para atraer afiliados, mientras que Cloak permite a los afiliados unirse sin ningún pago inicial. Mientras tanto, las plataformas establecidas continúan desarrollando sus ofertas para retener y atraer operadores calificados.

10. Adopción de lenguajes menos populares o multiplataforma

    ✅ Verdadera

    La predicción anticipaba que los ciberdelincuentes recurrirían a lenguajes de programación menos conocidos para evadir la detección. Han surgido múltiples amenazas a partir de la adopción de lenguajes de programación bastante nuevos o no estándar utilizados para el desarrollo de malware. Herramientas como KrustyLoader, un implante de cargador escrito en Rust, NKAbuse, o incluso K4Spreader, un cargador utilizado por la pandilla 8220 y escrito en Golang, han sido capturados en estado salvaje. Además, vimos troyanos espías, troyanos bancarios y otros malwares motivados financieramente desarrollados en Go. Estas son señales claras de que los desarrolladores de malware recurren a estos lenguajes no sólo por su practicidad y fácil portabilidad a diferentes sistemas operativos, sino también porque hacen que el análisis sea una tarea más ardua.

11. Surgimiento de grupos hacktivistas

    ✅ Verdadera

    La predicción de que surgirían grupos de hacktivistas debido a conflictos globales fue certera. La escena de los hacktivistas sólo se hizo más grande y fuerte. La presencia de nuevos grupos en diferentes partes del mundo y el aumento en los conflictos circundantes son un terreno fértil para la acción del hacktivismo. Actualmente, grupos como CiberInteligenciaSV, un grupo de hacktivistas salvadoreños, pueden llegar a publicar hasta dos o tres filtraciones por día desde su creación a principios de 2024. SiegedSec y GhostSec son dos grupos de hacktivistas que forman parte de una alianza llamada “The Five Families”. Continúan lanzado una gran cantidad de ataques contra infraestructuras críticas como ICS/SCADA y receptores de satélite GNSS en diferentes países, sobre todo en zonas de conflicto donde tienen lugar los eventos geopolíticos actuales.

Predicciones de crimeware para 2025

1. Aumento en la actividad de los stealers

   La información de las víctimas recopilada a través de ataques de stealers conducirá al aumento del crimen, ya se trate del cibercrimen o del crimen tradicional. Lumma, Vidar, RedLine y otros sobrevivirán a las operaciones policiales disruptivas, se adaptarán y adoptarán nuevas técnicas. Aparecerán nuevos actores entre las familias de stealers.

2. Ataques contra bancos centrales e iniciativas de “open banking”

   Los bancos centrales son responsables de implementar y administrar sistemas de pago instantáneo, CBDC (monedas digitales de bancos centrales), transferir gigabytes de datos entre entidades financieras a través de iniciativas de open banking, etc. Esto hará que los bancos centrales sean un objetivo interesante para los ciberdelincuentes. Los sistemas de banca abierta dependen en gran medida de las API para el intercambio de datos. Las API pueden ser vulnerables al abuso, donde los atacantes manipulan los puntos finales de la API para obtener acceso no autorizado a datos confidenciales. Pronosticamos que el número de ataques dirigidos a los bancos centrales y a las API de banca abierta tendrá un gran aumento durante el año.

3. Aumento en los ataques a la cadena de suministro en proyectos de código abierto

   Tras el incidente de la backdoor en XZ, la comunidad de código abierto ha comenzado a revisar con más detalle cada “commit” en los proyectos OSS. Es probable que esta mayor vigilancia conduzca al descubrimiento tanto de nuevos intentos como de backdoors que lograron implantarse a través de commits maliciosos. Además, la tasa de éxito de este tipo de ataques, vinculada al impacto de los mismos, hace que la táctica sea ahora más buscada.

4. Nuevas amenazas basadas en el blockchain

   El uso cada vez mayor de blockchain en nuevas tecnologías y la creciente adopción de criptomonedas como medio de pago hacen que las amenazas relacionadas con blockchain sean un campo fértil. Nuevos protocolos surgen junto a la necesidad de una red segura y privada basada en blockchain y peer-to-peer, lo que facilita la distribución y el uso diverso de nuevos malware desarrollados utilizando estos protocolos oscuros. Esto está vinculado al creciente uso de lenguajes de programación modernos como Go y Rust, que son elegidos por estos protocolos basados en blockchain para desarrollar sus SDKs. Pronosticamos que continuará la tendencia de usar estos lenguajes para el desarrollo de malware.

5. Expansión mundial del crimeware de habla china

   Asistimos al surgimiento encubierto de varias familias de crimeware de origen chino, dirigidas a usuarios fuera de Asia, su área común de ataque, y que esta vez apuntaban a usuarios en Europa y Latinoamérica, sobre todo a través de campañas de troyanos bancarios y de phishing en Android, que tenían el objetivo de clonar tarjetas de crédito. Pero también vimos algunos ataques avanzados como DinodasRAT. Predecimos que tendrá lugar una expansión aún más notable del crimeware chino hacia otros países y mercados, en busca de nuevas oportunidades, y que realizará ataques con más frecuencia.

6. Envenenamiento de datos sintéticos a través de ransomware

   El ransomware se orientará a modificar los datos de las víctimas o a inyectar datos erróneos en las infraestructuras bajo ataque, en lugar de simplemente cifrar los datos. Esta técnica de “envenenamiento de datos” hará más difícil o eliminará la posibilidad de restaurar los activos de datos originales de las empresas incluso después de descifrarlos.

7. Ransomware resistente al descifrado cuántico

   Las organizaciones avanzadas de ransomware comenzarán a utilizar criptografía post-cuántica a medida que se desarrolle la computación cuántica. Las técnicas de cifrado utilizadas por este ransomware “a prueba de cuántica” podrán resistir intentos de descifrado tanto de computadoras clásicas como cuánticas, lo que lo hará casi imposible para las víctimas descifrar sus datos sin tener que pagar el rescate.

8. El cumplimiento regulatorio se usará como arma mediante ataques de ransomware

   Los atacantes examinarán las responsabilidades regulatorias de una empresa objetivo y cifrarán o alterarán los datos de manera intencionada para que puedan resultar en graves violaciones del cumplimiento normativo. Los atacantes luego agregarán presión financiera y legal adicional al esquema de extorsión amenazando con alertar a los reguladores si las demandas no se satisfacen.

9. Proliferación del ransomware-como-servicio

   El modelo RaaS continuará facilitando el desarrollo y ejecución de ataques a los ciberdelincuentes. Los actores menos experimentados podrán lanzar ataques sofisticados con kits tan baratos como $40, lo que conducirá a que aumente el número de incidentes.

10. Más IA y aprendizaje automático en el lado de la defensa

    Hoy en día, numerosas soluciones de ciberseguridad ya aprovechan la inteligencia artificial para abordar vulnerabilidades comunes, como errores de configuración, manejo de alertas y más. En el futuro, veremos que la IA se adoptará cada vez más en la defensa cibernética para acelerar la detección de anomalías, reducir la duración del análisis a través de capacidades predictivas, automatizar acciones de respuesta y fortalecer políticas para contrarrestar amenazas emergentes. La IA acelerará la detección y reforzará las defensas contra amenazas en evolución. Este cambio está respaldado por un aumento significativo en las aplicaciones de aprendizaje automático en tiempo real, que están cambiando la defensa cibernética al mejorar la adaptabilidad y reducir la carga de trabajo manual. Teniendo en cuenta que los delincuentes también recurren a la inteligencia artificial, aumentarán la demanda de que los defensores desarrollen estrategias adaptativas igual de avanzadas.

11. Aumento en los ciberataques financieros dirigidos a smartphones

    Vemos que a medida que disminuye el número de ataques con malware bancario o financiero tradicional para PC, aumentan las amenazas cibernéticas financieras para smartphones: en 2024 a nivel mundial, el número de usuarios que se enfrentaron a amenazas financieras móviles se duplicó en comparación con 2023 (en un 102%). Prevemos que este número aumente aún más, captando la atención tanto de actores malintencionados como de posibles víctimas.