El malware registró un preocupante aumento del 55.5% en México durante 2024

En 2024, el malware registró un preocupante aumento tanto a nivel global como regional, con un crecimiento del 55.5% en su volumen total y un incremento de hasta 74.2% en ciertos tipos de ataques. Según la unidad de investigación de SILIKN, se detectaron en México, en promedio, 834,000 archivos maliciosos diarios, un 54.8% más que en años anteriores, mientras que las detecciones de malware evasivo aumentaron un 438%, reflejando una mayor sofisticación en las tácticas de los ciberdelincuentes. Además, el ransomware representó el 68.9% de todos los ciberataques registrados durante el año.

Este panorama, sumado a los numerosos ciberataques de alto perfil que afectaron a empresas y gobiernos, destaca la importancia de reforzar las medidas de ciberseguridad. De cara a 2025, es esencial que las organizaciones comprendan a sus adversarios cibernéticos y conozcan las principales familias de malware para implementar estrategias de protección efectivas y mitigar sus impactos.

Remcos

Remcos es un malware que ha sido comercializado por sus creadores como una herramienta legítima de acceso remoto. Desde su lanzamiento en 2019, se ha utilizado en numerosos ataques para realizar una amplia gama de actividades maliciosas, incluido el robo de información confidencial, el control remoto del sistema, el registro de pulsaciones de teclas, la captura de la actividad de la pantalla, etcétera.

En 2024, las campañas para distribuir Remcos utilizaron técnicas como ataques basados en scripts, que a menudo comienzan con un VBScript que lanza un script de PowerShell para implementar el malware, y explotaron vulnerabilidades como CVE-2017-11882 aprovechando archivos XML maliciosos.

En noviembre de 2024, la unidad de investigación de SILIKN identificó una nueva versión maliciosa de Remcos que ha impactado al sector gubernamental, incluyendo al Instituto Mexicano del Seguro Social (IMSS) y al Servicio de Administración Tributaria (SAT). Asimismo, se han visto comprometidos organismos de infraestructura crítica como el Organismo Operador Municipal de Agua Potable de Cajeme, el Sistema de Agua Potable de Atlixco, el Organismo Agua y Saneamiento de Toluca, el Sistema Integral de Aseo Público de León, la Secretaría del Agua y Medio Ambiente de Zacatecas y el Mexico Projects Hub de Banobras, instituciones que desempeñan funciones clave para el país y cuya protección es crucial para garantizar la seguridad de los intereses nacionales.

LockBit

LockBit es un ransomware dirigido principalmente a dispositivos con sistema operativo Windows y es considerado una de las mayores amenazas en el ámbito del Ransomware como servicio (RaaS). Su estructura descentralizada ha permitido al grupo detrás de LockBit comprometer a organizaciones de alto perfil en todo el mundo, incluyendo en México al Gobierno de Yucatán, al Ayuntamiento de Macuspana en Tabasco, al Ayuntamiento de Juárez en Chihuahua y la Secretaría de Salud de Veracruz, por mencionar algunos.

Aunque las fuerzas del orden han intensificado los esfuerzos para desmantelar este grupo, logrando la captura de varios de sus desarrolladores y colaboradores, LockBit sigue activo. Además, ya se han anunciado planes para el lanzamiento de una nueva versión, LockBit 4.0, prevista para 2025, lo que subraya la persistente amenaza que representa.

XWorm

XWorm es un programa malicioso que brinda a los cibercriminales control remoto sobre las computadoras infectadas. Apareció por primera vez en julio de 2022 y puede recopilar una amplia gama de información confidencial, incluidos detalles financieros, historial de navegación, contraseñas guardadas y datos de billeteras de criptomonedas.

XWorm permite a los atacantes monitorear las actividades de las víctimas rastreando las pulsaciones de teclas, capturando imágenes de cámaras web, escuchando la entrada de audio, escaneando las conexiones de red y viendo las ventanas abiertas. También puede acceder y manipular el portapapeles de la computadora, lo que podría robar las credenciales de la billetera de criptomonedas.

En 2024, XWorm estuvo involucrado en muchos ataques a gran escala, incluidos los que explotaron los túneles de CloudFlare y los certificados digitales legítimos. En México, el sector industrial ha sido uno de los más afectados, registrando un incremento significativo en los ataques dirigidos a sistemas de control industrial (ICS).

AsyncRAT

AsyncRAT es un troyano de acceso remoto identificado por primera vez en 2019, que inicialmente se propagaba mediante correos electrónicos no deseados, frecuentemente utilizando señuelos relacionados con la pandemia de COVID-19. Desde su aparición, este malware ha ganado notoriedad y ha sido empleado en múltiples ataques cibernéticos.

Con el tiempo, AsyncRAT ha evolucionado para incorporar una amplia gama de capacidades maliciosas. Entre sus funciones se encuentran la grabación secreta de la actividad en pantalla, el registro de pulsaciones de teclas, la instalación de malware adicional, el robo de archivos, la persistencia en sistemas infectados, la desactivación de software de seguridad y la ejecución de ataques de denegación de servicio contra sitios web específicos.

En 2024, AsyncRAT continuó siendo una amenaza significativa, a menudo ocultándose como software legítimo. Además, destacó por ser una de las primeras familias de malware en aprovechar scripts generados por inteligencia artificial como parte de ataques complejos, lo que evidencia su continua evolución y peligrosidad.

En México, el malware AsyncRAT ha tenido un impacto significativo, afectando a sectores clave a través de campañas dirigidas. Entre los principales objetivos se encuentran el sector salud, donde se compromete la seguridad de datos sensibles de pacientes; el sector financiero, con ataques destinados a obtener credenciales bancarias y datos de usuarios; y el sector de viajes y turismo, donde las empresas enfrentan riesgos para la información de sus clientes y sus operaciones comerciales. Este panorama resalta la necesidad de reforzar las medidas de ciberseguridad en estas áreas críticas.

Lumma

Lumma es un malware diseñado específicamente para robar información confidencial y ha estado disponible en la Dark Web desde el año 2022. Este software malicioso es capaz de recopilar y exfiltrar datos sensibles de aplicaciones específicas, como credenciales de acceso, información financiera y datos personales.

Con actualizaciones constantes que fortalecen sus capacidades, Lumma puede registrar información detallada de los sistemas comprometidos, incluyendo historiales de navegación y datos de billeteras de criptomonedas. Además, puede servir como una puerta de entrada para la instalación de otros programas maliciosos en los dispositivos afectados. En 2024, este malware se propagó mediante diversos métodos, como páginas CAPTCHA falsas, descargas de torrents y correos electrónicos de phishing dirigidos, lo que subraya la necesidad de medidas preventivas efectivas contra esta amenaza. En México, el malware Lumma Stealer ha afectado a diversas víctimas, especialmente en el ámbito de la seguridad financiera y las criptomonedas.

En 2025, la seguridad de las organizaciones frente a todo tipo de malware se ha vuelto más crucial que nunca debido al aumento significativo en la sofisticación y frecuencia de los ataques cibernéticos. Adoptar medidas de ciberseguridad proactivas no solo salvaguarda la integridad de los sistemas y datos, sino que también garantiza la continuidad operativa y refuerza la confianza de los ciudadanos, clientes y usuarios. Anticiparse a las amenazas es esencial para minimizar riesgos y fortalecer la resiliencia digital en un entorno cada vez más desafiante.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker | Líder del Capítulo Querétaro de OWASP.

Twitter: https://twitter.com/silikn

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599