Halloween 2025: los ciberataques que más asustan a los CISOs latinoamericanos
Mientras el mundo celebra Halloween, los CISOs latinoamericanos enfrentan su propio desfile de horrores: ataques potenciados por IA, ransomware de múltiples capas y brechas invisibles que se multiplican en la nube. El miedo, esta vez, no es ficción: es código malicioso.
Mientras las calabazas iluminan las noches de Halloween, en las oficinas de seguridad los miedos son otros. Los CISOs latinoamericanos conviven con espectros que no descansan: el ransomware que acecha desde la oscuridad, el phishing que cambia de rostro con la ayuda de la inteligencia artificial, o las brechas en la nube que se abren como portales hacia lo desconocido.
Este 2025, los informes globales de ciberseguridad advierten que la amenaza es más real que nunca, y que los atacantes —lejos de asustar por diversión— buscan dinero, datos y poder.
A continuación, exploramos las diez amenazas más relevantes este año, con datos actualizados y voces que contextualizan la magnitud del problema.
1) Ataques potenciados por IA: cómo se hacen ahora
Los atacantes entrenan y usan modelos generativos para automatizar la investigación previa y la elaboración del ataque. El proceso típico comienza con la recolección de señales (huellas en redes sociales, perfiles profesionales, datos públicos y filtraciones anteriores).
Con esos datos, un modelo generativo prepara correos personalizados, reconstruye estilos de comunicación y hasta genera clips de audio que imitan la voz de un directivo. El paso siguiente es la entrega: spear-phishing hiperpersonalizado que incluye instrucciones plausibles para transferencias, o enlaces a páginas de acceso falsas. Finalmente, cuando la víctima cede credenciales o ejecuta un archivo malicioso, el atacante escala privilegios y mueve lateralmente para instalar herramientas de acceso persistente.
Check Point y otros observatorios advierten que la IA “está siendo instrumentalizada para ataques sofisticados como deepfakes y malware generado por IA”, y que eso ha acelerado la cadencia de incidentes en LATAM.
2) Ransomware con extorsión múltiple: el ataque en tres actos
El ransomware moderno suele desplegarse en tres actos: primero, acceso inicial (phishing, vulnerabilidad expuesta, o compra de acceso en mercados); segundo, movimiento lateral y exfiltración —los atacantes copian cantidades masivas de datos—; tercero, cifrado y extorsión.
La diferencia actual es que, además de cifrar, los grupos publican o venden datos robados y presionan a clientes o proveedores para pagar. Kaspersky reportó más de 1.185.000 intentos de ransomware en América Latina entre junio de 2023 y julio de 2024, una señal de la escala que adquiere el fenómeno.
3) Ataques a la cadena de suministro: contaminar la fuente
Un adversario identifica un proveedor con amplio acceso o un componente de software usado por muchas víctimas. Ataca esa “puerta” (ej.: comprometer la cuenta de desarrollador, insertar malware en actualizaciones, o aprovechar configuraciones de terceros) y, una vez dentro, ese control se propaga a clientes.
En 2023 SOCRadar documentó 1.498 ataques de ransomware con impacto regional, lo que demuestra cómo la falla de un eslabón puede provocar un efecto dominó. El vector es especialmente letal cuando el proveedor gestiona credenciales, infraestructura en la nube o módulos críticos.
4) Amenazas internas: el ataque que viene desde adentro
El insider malicioso o el error humano sigue un patrón claro: acceso legítimo + oportunidad. Un empleado con permisos amplios descarga por error o transporta información sensible, o un exempleado conserva credenciales.
Con esos accesos, los atacantes internos filtran datos o facilitan la entrada a actores externos. Encuestas en la región muestran un alza en la percepción de incidentes internos y dificultades en control de accesos y offboarding, lo que convierte a la amenaza interna en una fuente persistente de filtraciones.
5) Phishing y ingeniería social avanzada: la trampa perfeccionada
El phishing evoluciona: ya no son correos genéricos sino micros-campañas que combinan ingeniería social tradicional con datos recuperados por IA. El proceso: el atacante elige una víctima con nivel de privilegio, investiga su círculo profesional, fabrica un correo con tono y contexto correctos y añade una prueba social (un enlace a un “documento compartido” o audio de un supuesto colega).
Kaspersky y Check Point registran millones de intentos en la región; Kaspersky bloqueó más de 268 millones de ataques en LATAM en 12 meses, muchos de ellos phishing. El ataque funciona porque convierte la confianza en arma.
6) Abuso y fugas por IA generativa: el propio arma del negocio se vuelve riesgo
Cuando las organizaciones alimentan modelos con datos internos o permiten integraciones sin controles, dos cosas pueden pasar: el modelo memoriza o reproduce información confidencial, o un atacante con acceso al entorno de entrenamiento extrae grandes volúmenes de información.
El flujo de ataque empieza con la exposición de datos a entornos de IA —sea por mala política, credenciales filtradas o cuentas de prueba— y puede acabar en la difusión masiva de IP o datos personales. Investigaciones y reportes alertan sobre prácticas de “entrenamiento sin aislamiento” y advierten que la gobernanza de IA en LATAM está todavía en etapa temprana.
7) Cuentas en la nube y APIs comprometidas: la llave maestra
Los atacantes apuntan a cuentas con privilegios o a APIs mal configuradas. El modus operandi: obtención de claves (por phishing, exposiciones en repositorios públicos o compra en mercados), uso de esas credenciales para listar recursos y descargar datos masivos, y finalmente la escalada.
IBM X-Force documenta un crecimiento importante del uso de credenciales válidas como vector de acceso (un aumento que llegó a representar una gran porción de incidentes globales), lo que explica por qué los ciberdelincuentes prefieren el camino “sin ruido” de la nube.
8) Ciberataques a OT e infraestructura crítica: manipular lo físico desde lo digital
Atacar OT implica primero identificar protocolos, equipos y rutas de comunicación; luego, explotar interfaces IT-OT o credenciales, modificar comandos o interrumpir sensores.
El impacto puede ser físico: paros de planta, cortes energéticos o pérdidas logísticas. Informes regionales muestran que LATAM figura entre las regiones con incremento de incidentes que afectan procesos industriales, y que la falta de segmentación y visibilidad es la causa más recurrente.
9) Escasez de talento y errores humanos: la debilidad estructural
Este “vector” no es un solo ataque técnico, pero opera como facilitador permanente. Sin equipos suficientes, los parches tardan, la monitorización es reactiva y las pruebas de recuperación son infrecuentes.
El resultado: vulnerabilidades abiertas, malas configuraciones y procesos inconsistentes que los atacantes explotan sistemáticamente. En LATAM, los estudios de sector señalan que la combinación de subinversión y rotación elevada de personal explica buena parte de la escalada de incidentes.
10) Cumplimiento fragmentado y normativas: la penalidad post-ataque
Tras una brecha, el daño técnico se expande a legal y reputacional: notificaciones en múltiples países, cooperación con autoridades, multas por privacidad y exigencias regulatorias generan costos adicionales.
La complejidad normativa en LATAM obliga a las empresas a armar playbooks por jurisdicción y a invertir en asesoría legal especializada, porque la “sanción” secundaria (multas y demandas) muchas veces supera a la pérdida directa por el incidente. Aon y otros informes regionales subrayan que la fragmentación normativa agrava la respuesta y encarece la recuperación.
Leer más
- Check Point Software da un nuevo paso en su alianza estratégica con Wiz para ofrecer una solución integrada de CNAPP y seguridad de red en la nube
- Mes de la Ciberseguridad: los principales desafíos que enfrentarán las empresas rumbo a 2026
- Kaspersky: IA Pública, nueva puerta de fuga de datos para las empresas
