Panorama del cibercrimen en América Latina y el Caribe

This Insikt Group report analyzes the evolving cybercrime landscape across Latin America and the Caribbean (LAC) in 2025. Financial-motivated threat actors primarily leverage Telegram, dark web forums (notably DarkForums), and encryption platforms for communications. The region experienced 452 ransomware incidents in 2025, with critical sectors—healthcare, manufacturing, government, IT, and education—most affected, all showing significant year-over-year increases. Threat actors employ traditional methods including phishing, social engineering, and malware distribution, with a notable shift toward banking trojans in smishing campaigns targeting WhatsApp users. LummaC2 emerged as the most prolific infostealer in H1 2025, with Vidar rising after law enforcement disrupted LummaC2 operations. Organizations should prioritize multi-layered defenses, employee awareness training, and robust backup strategies to counter these escalating threats.

Este informe ofrece una visión general de las tendencias y novedades en el ecosistema cibercriminal de América Latina y el Caribe (ALC) en 2025

This Insikt Group report analyzes the evolving cybercrime landscape across Latin America and the Caribbean (LAC) in 2025. Financial-motivated threat actors primarily leverage Telegram, dark web forums (notably DarkForums), and encryption platforms for communications. The region experienced 452 ransomware incidents in 2025, with critical sectors—healthcare, manufacturing, government, IT, and education—most affected, all showing significant year-over-year increases. Threat actors employ traditional methods including phishing, social engineering, and malware distribution, with a notable shift toward banking trojans in smishing campaigns targeting WhatsApp users. LummaC2 emerged as the most prolific infostealer in H1 2025, with Vidar rising after law enforcement disrupted LummaC2 operations. Organizations should prioritize multi-layered defenses, employee awareness training, and robust backup strategies to counter these escalating threats. Este informe ofrece una visión general de las tendencias y novedades en el ecosistema cibercriminal de América Latina y el Caribe (ALC) en 2025 Resumen ejecutivo Este informe brinda un resumen de las tendencias y los desarrollos en el ecosistema cibercriminal de América Latina y el Caribe (LAC) en 2025. Insikt Group identificó que los actores maliciosos que operan en la región de LAC o que la tienen como objetivo utilizan principalmente aplicaciones cliente-servidor y plataformas de mensajería con cifrado de extremo a extremo como Telegram, así como foros de la dark web y de acceso especial en inglés o ruso, para comunicarse y llevar a cabo sus actividades. Los actores maliciosos demuestran una mayor sofisticación en sus operaciones, ya que adaptan sus tácticas, técnicas y procedimientos (TTP) con el tiempo, pero siguen apoyándose principalmente en métodos tradicionales como el phishing y la ingeniería social, la distribución de malware, y el ransomware. A partir de nuestros análisis, determinamos que Brasil, México y Argentina son los países más atacados por cibercriminales financieros, probablemente porque son las economías más grandes de la región de LAC. Además, a partir de esta investigación, Insikt Group determinó que los actores maliciosos a menudo atacan industrias críticas, como las de salud, finanzas y gobierno, porque poseen datos de alto valor, afrontan urgencias operativas y, a veces, utilizan sistemas antiguos que pueden ser vulnerables. Principales hallazgos Insikt Group estima que el foro criminal DarkForums y la plataforma de mensajería Telegram son los principales medios de acceso especial utilizados por los actores maliciosos que operan en la región LAC o que la tienen como objetivo. Los actores maliciosos que operan en la región LAC o que la tienen como objetivo suelen estar impulsados por motivos financieros y, a menudo, utilizan la ingeniería social, el ransomware y diferentes formas de malware móvil para obtener acceso inicial a las instituciones gubernamentales, de salud o financieras. En 2025, Insikt Group registró 452 incidentes de ransomware que afectaron la región de LAC. Las cinco principales industrias afectadas fueron las de salud, fabricación, gobierno, tecnología de la información y educación; todas ellas observaron un aumento notable en los ataques en comparación con el año anterior. Insikt Group identificó que los actores maliciosos usan troyanos bancarios, especialmente las variantes más establecidas. En particular, estos actores usaron troyanos bancarios en campañas de smishing dirigidas a usuarios de WhatsApp con el objetivo de acceder a datos financieros y robar credenciales. Insikt Group identificó a LummaC2 como el ladrón de información (infostealer) más prolífico que afectó a organizaciones de la región LAC en el primer semestre de 2025, y a Vidar en el segundo semestre, tras la intervención de las fuerzas del orden contra LummaC2