Durante los primeros meses de 2025, América Latina enfrenta una ola de ciberataques que tiene como principal objetivo el robo de información confidencial de empresas a través de campañas de correo electrónico malicioso.
Según informes de ESET, esta amenaza se ha intensificado, afectando de manera significativa a sectores como Recursos Humanos y Finanzas en varios países de la región, incluyendo Argentina, México, Colombia, Ecuador, Perú y Chile.
Cómo funciona el ataque a empresas a través de correo electrónico
Todo empieza con un correo electrónico que, a primera vista, parece legítimo. Suelen ser mensajes que simulan provenir de áreas de Recursos Humanos o Finanzas, dos sectores clave dentro de cualquier organización. Los asuntos de estos correos están diseñados para generar urgencia o preocupación, con frases como “Pago urgente requerido” o “Su cuenta ha sido comprometida”.
El mensaje contiene un archivo adjunto que, en apariencia, podría ser un currículum, una factura o un formulario de pedido. Nombres como “CV Benedita Oliveira.zip” o “Solicitud de cotización.zip” son algunos de los ejemplos detectados.
Al abrir ese archivo, lo que realmente se ejecuta es un programa malicioso basado en Autoit, una herramienta de automatización legítima que, en este caso, los atacantes están utilizando para fines criminales.
Este archivo inicial se encarga de instalar silenciosamente en la computadora de la víctima un tipo de virus llamado Formbook. Según explican los expertos, “al momento de ejecutarse el archivo comprimido, realmente se está ejecutando un archivo compilado de Autoit que inicia el proceso de infección”.
Qué buscan los ciberdelincuentes con este ataque
El propósito principal de esta campaña es la extracción de datos confidenciales de las empresas afectadas. Formbook, el malware desplegado, posee capacidades sofisticadas que incluyen:
- Robo de credenciales almacenadas en navegadores como Chrome, Firefox y Edge, así como en clientes de correo como Outlook y Thunderbird.
- Registro de pulsaciones de teclado (keylogging), lo cual permite capturar contraseñas, información personal y datos financieros.
- Captura de pantallas del escritorio de la víctima, obteniendo así una visión de la actividad sensible de la empresa.
- Exfiltración de toda la información recolectada hacia servidores controlados por los atacantes.
Como detalla el informe de ESET, “Formbook se ha convertido en una amenaza persistente y popular entre los ciberdelincuentes debido a su efectividad y relativa facilidad de uso, operando bajo un modelo de Malware como Servicio (MaaS)”.
Además, la arquitectura de esta amenaza permite a múltiples actores de amenazas implementar el malware a través de diferentes métodos de entrega, ampliando su alcance potencial.
En campañas anteriores, este malware ha sido utilizado para atacar sectores como la defensa, la industria aeroespacial y objetivos estratégicos durante conflictos geopolíticos, como la guerra entre Rusia y Ucrania en 2022.
Cuál ha sido el impacto que han tenido las empresas latinoamericanas
La sofisticación de esta campaña representa un riesgo significativo para las organizaciones de la región. Según el informe de ciberseguridad de Check Point de 2022, Formbook fue el tercer malware más prolífico a nivel mundial en 2021, atacando al 5% de las redes corporativas y siendo responsable del 16% de los incidentes de robo de información.
Con el reciente aumento del 20% en las detecciones de Win32/Injector.Autoit registrado por ESET, el impacto en América Latina es cada vez más evidente.
Las consecuencias para las empresas pueden incluir filtraciones masivas de datos, accesos no autorizados a sistemas críticos, robo de propiedad intelectual y daños reputacionales severos.
La capacidad del malware de permanecer oculto dentro de procesos legítimos complica su detección y prolonga su permanencia en los sistemas comprometidos, aumentando el alcance de la brecha de seguridad.
Medidas de protección frente a esta amenaza
- Soluciones antiphishing: Implementar filtros avanzados que puedan detectar y bloquear correos electrónicos maliciosos, especialmente aquellos con contenido ofuscado.
- Content Disarm and Reconstruction (CDR): Aplicar tecnologías que desinfecten documentos adjuntos, eliminando cualquier funcionalidad maliciosa antes de que lleguen a los usuarios finales.
- Detección y Respuesta de Endpoint (EDR): Utilizar soluciones que permitan identificar actividades maliciosas en dispositivos, facilitando la contención y erradicación del malware.
- Autenticación Multifactor (MFA): Reducir el impacto del robo de credenciales al requerir múltiples formas de autenticación para acceder a sistemas críticos.
- Modelo de Seguridad Zero Trust: Minimizar los privilegios de las cuentas y asumir que todas las redes, tanto internas como externas, son potencialmente comprometidas.
- Capacitación continua en ciberseguridad: Formar a los empleados para que reconozcan intentos de phishing y otros vectores de ataque, fortaleciendo así la primera línea de defensa de las organizaciones.