Panorama del cibercrimen en América Latina y el Caribe

This Insikt Group report identifies major cybercriminal trends targeting Latin America and Caribbean (LAC) organizations in 2025. Threat actors primarily use Telegram and DarkForums for communications and operations. Financial motives drive most attacks, with Brazil, Mexico, and Argentina being the most targeted countries due to their economic significance. Insikt Group recorded 452 ransomware incidents affecting the region, with healthcare, manufacturing, government, IT, and education sectors experiencing notable increases. Banking trojans and smishing campaigns targeting WhatsApp users are prevalent methods for credential theft. LummaC2 emerged as the most prolific infostealer in H1 2025, with Vidar taking over in H2 2025 following law enforcement action against LummaC2. Organizations should prioritize multi-layered defenses, employee awareness training, and robust backup strategies to mitigate these evolving threats targeting critical infrastructure.

Este informe ofrece una visión general de las tendencias y desarrollos en el ecosistema cibercriminal de América Latina y el Caribe (LAC) en 2025.

This Insikt Group report identifies major cybercriminal trends targeting Latin America and Caribbean (LAC) organizations in 2025. Threat actors primarily use Telegram and DarkForums for communications and operations. Financial motives drive most attacks, with Brazil, Mexico, and Argentina being the most targeted countries due to their economic significance. Insikt Group recorded 452 ransomware incidents affecting the region, with healthcare, manufacturing, government, IT, and education sectors experiencing notable increases. Banking trojans and smishing campaigns targeting WhatsApp users are prevalent methods for credential theft. LummaC2 emerged as the most prolific infostealer in H1 2025, with Vidar taking over in H2 2025 following law enforcement action against LummaC2. Organizations should prioritize multi-layered defenses, employee awareness training, and robust backup strategies to mitigate these evolving threats targeting critical infrastructure. Este informe ofrece una visión general de las tendencias y desarrollos en el ecosistema cibercriminal de América Latina y el Caribe (LAC) en 2025. Resumen ejecutivo Este informe brinda un resumen de las tendencias y los desarrollos en el ecosistema cibercriminal de América Latina y el Caribe (LAC) en 2025. Insikt Group identificó que los actores maliciosos que operan en la región de LAC o que la tienen como objetivo utilizan principalmente aplicaciones cliente-servidor y plataformas de mensajería con cifrado de extremo a extremo como Telegram, así como foros de la dark web y de acceso especial en inglés o ruso, para comunicarse y llevar a cabo sus actividades. Los actores maliciosos demuestran una mayor sofisticación en sus operaciones, ya que adaptan sus tácticas, técnicas y procedimientos (TTP) con el tiempo, pero siguen apoyándose principalmente en métodos tradicionales como el phishing y la ingeniería social, la distribución de malware, y el ransomware. A partir de nuestros análisis, determinamos que Brasil, México y Argentina son los países más atacados por cibercriminales financieros, probablemente porque son las economías más grandes de la región de LAC. Además, a partir de esta investigación, Insikt Group determinó que los actores maliciosos a menudo atacan industrias críticas, como las de salud, finanzas y gobierno, porque poseen datos de alto valor, afrontan urgencias operativas y, a veces, utilizan sistemas antiguos que pueden ser vulnerables. Principales hallazgos Insikt Group estima que el foro criminal DarkForums y la plataforma de mensajería Telegram son los principales medios de acceso especial utilizados por los actores maliciosos que operan en la región LAC o que la tienen como objetivo. Los actores maliciosos que operan en la región LAC o que la tienen como objetivo suelen estar impulsados por motivos financieros y, a menudo, utilizan la ingeniería social, el ransomware y diferentes formas de malware móvil para obtener acceso inicial a las instituciones gubernamentales, de salud o financieras. En 2025, Insikt Group registró 452 incidentes de ransomware que afectaron la región de LAC. Las cinco principales industrias afectadas fueron las de salud, fabricación, gobierno, tecnología de la información y educación; todas ellas observaron un aumento notable en los ataques en comparación con el año anterior. Insikt Group identificó que los actores maliciosos usan troyanos bancarios, especialmente las variantes más establecidas. En particular, estos actores usaron troyanos bancarios en campañas de smishing dirigidas a usuarios de WhatsApp con el objetivo de acceder a datos financieros y robar credenciales. Insikt Group identificó a LummaC2 como el ladrón de información (infostealer) más prolífico que afectó a organizaciones de la región LAC en el primer semestre de 2025, y a Vidar en el segundo semestre, tras la intervención de las fuerzas del orden contra LummaC2