São Paulo. O Brasil concentra hoje uma das maiores ondas de ciberataques do mundo ao mesmo tempo em que o mercado de cibersegurança bate recordes de crescimento: um paradoxo alimentado pela própria escalada tecnológica que sustenta os dois lados da disputa.

Dados da consultoria Peers Consulting + Technology mostram que o setor movimentou quase US$ 3 bilhões no país em 2024 (cerca de R$ 17 bilhões) e deve crescer 9% em 2025, chegando a quase US$ 4,5 bilhões até 2029. No mesmo período, o país se consolidou como principal alvo de facções cibernéticas na América Latina.

Durante o evento Proofpoint Protect Tour São Paulo nesta terça-feira (14), os dados se confirmaram. Levantamento da Proofpoint apontou que o grupo TA2725 (hoje o mais ativo globalmente em volume de ataques monitorados) têm direcionado suas operações prioritariamente ao Brasil, explorando engenharia social em português e se passando por bancos, órgãos públicos e serviços digitais para roubo de credenciais e dados financeiros.

A ofensiva combina escala industrial com adaptação constante. Entre dezembro de 2025 e fevereiro de 2026, foram registradas dezenas de campanhas com uso de malware bancário como Astaroth, além de ferramentas legítimas de acesso remoto, como ScreenConnect e LogMeIn Resolve, utilizadas para manter controle persistente sobre máquinas infectadas.

A guerra que se retroalimenta

Esse cenário ocorre num campo de batalha guiado pela inteligência artificial, que passou a ser usada simultaneamente por criminosos e pelas próprias empresas de segurança, ampliando a sofisticação dos ataques e das defesas.

“Grupos cibercriminosos são altamente adaptáveis, refinando continuamente suas técnicas para explorar melhor o comportamento humano e marcas confiáveis”, afirma Marcos Nehme, da Proofpoint. 

Do outro lado, a indústria responde com o mesmo arsenal tecnológico. Segundo a empresa, modelos de IA já operam em tempo real na análise de bilhões de mensagens diárias, sem latência perceptível, em uma corrida para identificar ameaças antes que cheguem aos usuários.

Mas a própria dinâmica sugere um jogo sem ponto final. “As organizações não serão derrotadas pela IA, mas por empresas que sabem utilizá-la. Não vamos perder nossos empregos para a IA, mas para pessoas que a utilizam de forma eficaz”, afirmou Tom Corn, Vice-Presidente Executivo e GM de Threat Protection da Proofpoint, ao destacar que a tecnologia se tornou uma exigência competitiva – sobretudo no campo da segurança.

Na prática, isso significa que a mesma ferramenta que permite automatizar ataques, seja via engenharia de prompts ou geração de conteúdo fraudulento em escala, também sustenta o crescimento de soluções capazes de detectá-los.

O resultado é um ciclo contínuo: quanto mais sofisticadas as ameaças, maior a demanda por proteção e maior o tamanho do mercado.

Ao mesmo tempo, a superfície de risco se expande. A adoção de ambientes baseados em agentes de IA, que interagem com dados e sistemas em tempo real, cria novas vulnerabilidades. “Humanos são suscetíveis à engenharia social; agentes, à engenharia de prompts”, disse o executivo.

Nesse contexto, a disputa deixa de ser apenas tecnológica e passa a envolver comportamento, uso de dados e capacidade de adaptação.

O elo fraco não são os sistemas, mas os humanos. Daí a abordagem da Proofpoint centrada em pessoas e em monitoramento, porque mesmo os agentes de IA acabam cometendo os mesmos erros, e de forma ainda mais eficiente em favor dos criminosos.

“O Brasil é uma economia importante, early adopter, é um mercado que depende muito de tecnologia, estamos crescendo muito aqui” disse Rogério Morais, VP de América Latina e Caribe da Proofpoint, em conversa com jornalistas.

A empresa global chegou com operações locais no País em 2021, expandindo também para o México e a região andina. No Brasil atende governos e grandes empresas como a Globo.

El Servicio de Administración Tributaria (SAT) de México negó haber sido blanco de un ciberataque por medio de Inteligencia Artificial (IA).

Y es que de acuerdo con la firma de ciberseguridad Gambit Security, más de 195 millones de datos de identidad de ciudadanos mexicanos quedaron expuestos por una intrusión hecha a través de IA.

El SAT se refirió a la situación como “supuesto ciberataque”, por lo que negó que haya ocurrido. La institución aseveró que está alineado a protocolos internacionales.

“En temas de ciberseguridad, el SAT se encuentra alineado con las directrices y marcos de gestión establecidos por el Gobierno Federal, basados en estándares internacionales como la familia ISO/IEC 27000, y los estándares ISO 22301 e ISO 31000, para mantener un constante monitoreo y poder efectuar la temprana detección y correspondiente respuesta a incidentes de índole informática”, explicó la institución gubernamental en un comunicado.

El Servicio de Administración Tributaria dijo que en caso de que ocurran estos incidentes, el SAT despliega los protocolos correspondientes de monitoreo y, de ser el caso, de contención y mitigación de amenazas de ciberdelincuencia para salvaguardar la información de las y los contribuyentes.

Aseveró que a raíz de la información publicada en diversos medios de comunicación, realizó una revisión de bitácoras de operación para identificar algún problema, a lo que afirmó no haber encontrado alguno.

“De las revisiones efectuadas, no se identifican accesos ilegítimos ni comportamiento anómalo en la operación de dichos sistemas”, afirmó la institución pública.

El SAT dijo que es consciente de la creciente amenaza de ataques auxiliados por herramientas de IA Generativa, por lo que mantendrá un monitoreo constante de sus plataformas informáticas.

Agregó que mantendrá una actualización continua de sistemas y herramientas de protección ante la ciberdelincuencia.

La firma de seguridad Gambit Security ha advertido que el presunto ataque viene desde finales del 2025, en donde un ciberatacante utilizó modelos de IA como Claude de Anthropic, que le permitió extraer más de 150 gigabytes de información de dependencias mexicanas.

Fuente: Prensa Lumu Technologies

Lumu Technologies, la compañía de ciberseguridad pionera en el modelo de Continuous Compromise Assessment®, presentó hoy su informe Compromise Report 2026, en el que identifica cuatro grandes tendencias de ciberseguridad asociadas al uso de herramientas y técnicas por parte de los delincuentes como: anonymizers, droppers y downloaders, infostealers y ransomware.

El informe evidencia un aumento sostenido de la actividad maliciosa en Latinoamérica, impulsado por la rápida digitalización de sectores estratégicos y brechas persistentes en los controles de seguridad. En Centroamérica y el Caribe, Gobierno (27,1%) y Telecomunicaciones (22,9%) concentran la mayor exposición a infostealers, mientras que en ransomware estos mismos sectores registran el mayor impacto, con 27,7% y 16,6%, respectivamente. En Sudamérica, Telecomunicaciones (22,1%) y Gobierno (17,5%) son los sectores más afectados por infostealers, mientras que el ransomware se dirige principalmente a Telecomunicaciones (23,3%) y Educación (23,3%). Por su parte, en México los sectores de Telecomunicaciones (22,2%) y Educación (20,2%) son los más impactados por infostealers, mientras que en ransomware los mayores niveles de afectación se concentran en Educación (35,7%) y Telecomunicaciones (32,1%).

“Este año hemos observado un cambio estratégico en los métodos de ataque, pasando de malware altamente visible a técnicas mucho más sigilosas. Ya no buscamos al enemigo en la puerta; debemos asumir que ya está dentro. Los atacantes han perfeccionado la capacidad de camuflar su actividad dentro de herramientas legítimas y del ruido normal de la red, sustituyendo la fuerza bruta por evasión basada en comportamiento, y favoreciendo el uso de anonymizers, DNS tunneling y dominios generados con IA”, afirmó Ricardo Villadiego, fundador y CEO de Lumu.

“Nuestro informe más reciente funciona como un plan de batalla para los líderes de seguridad, al desglosar la anatomía de estas nuevas amenazas invisibles, desde Keitaro hasta DeathRansom. Además, resalta la importancia del monitoreo continuo, la integración fluida de herramientas y el uso de inteligencia de amenazas accionable”, añade Villadiego.

El informe de Lumu revela que los atacantes han dejado atrás las brechas “ruidosas” para adoptar estrategias de evasión “lentas y silenciosas” (low-and-slow), dominando las tácticas de Living-off-the-Land y ocultándose dentro de herramientas ya existentes. Para ello, pueden utilizar VPNs, sistemas legítimos de distribución de tráfico o canales de DNS cifrado. El reporte señala que la evidencia más clara de este cambio se refleja en las Tactics, Techniques, and Procedures (TTPs).

Los datos del framework MITRE ATT&CK muestran una tendencia clara: los atacantes están priorizando la evasión por encima de todo. De forma notable, Command and Control (C2) ha reemplazado a “Execution” (ejecución de código o comandos dentro de la red) dentro de las tres principales TTPs, lo que indica un cambio de prioridades: los adversarios están menos enfocados en ejecutar código destructivo de inmediato y más en mantener un canal persistente y silencioso dentro de las redes, sin activar alertas

Entre los principales hallazgos del informe de Lumu se destacan:

• La anonimización se mantuvo durante todo el año como el Indicador de Compromisos (IoC) más detectado, consolidándose como una táctica fundamental.
• Los ‘anonymizers’ más detectados a nivel global incluyen servicios como Tor y VPNs privadas.
• Lumu detectó con mayor frecuencia el dropper Keitaro, un sistema de distribución de tráfico (TDS) legítimo utilizado por equipos de marketing para redirigir tráfico web, que los atacantes han construido para crear una especie de “alfombra roja” para el malware.
• A pesar de las acciones de desmantelamiento contra el infostealer Lumma Stealer, basado en el modelo malware-as-a-service (MaaS), los sensores de Lumu Technologies detectaron nuevas infecciones de Lumma, más resilientes, a finales de julio de 2025.
• Aunque Lumma sigue siendo dominante, el panorama evolucionó con la aparición de nuevos ladrones de credenciales financieras como MagentoCore, Remo y Ramnit.
• El ecosistema de ransomware en 2025 estuvo marcado por la fragmentación de grupos que se separaron de bandas grandes y conocidas, siendo DeathRansom el grupo más relevante.

Panorama de amenazas para Latinoamérica:

• DeathRansom se consolidó como la principal familia de ransomware en Latinoamérica, concentrando 62,5% de las detecciones en Centroamérica y el Caribe y 53,3% en Sudamérica, superando ampliamente a otros grupos como Interlock y MOvy / Maze Ransom.
• A nivel país, la mayor concentración de actividad asociada a DeathRansom se registraron en: Brasil (33,3%), Argentina (22,9%) y Colombia (20,8%) en Sudamérica; en Guatemala (46,7%), República Dominicana (13,3%) y Costa Rica (13,3%) en Centroamérica y el Caribe; y en México (42,9%) dentro de Norteamérica.
• En la región, Keitaro afectó principalmente a países como: Argentina (28,8%), Guatemala (37,5%) y México (32,8%)
• Las campañas de infostealers dominaron gran parte de la actividad maliciosa en la región, con Lumma Stealer como la familia más detectada tanto en Centroamérica y el Caribe (29,2%) como en Sudamérica (43,1%).

El Universal

México registró 108 millones de ciberataques en los últimos 12 meses, un promedio de 297 mil por día, reveló la firma de ciberseguridad Kaspersky.

De acuerdo con el reporte “Panorama de Amenazas” hecho por la compañía, lo anteriorconvierte al país en un epicentro de actividad maliciosa, destacando el sector industrial y gubernamental como los más afectados.

Leer más: https://www.eluniversal.com.mx/cartera/mexico-registra-mas-de-290-mil-ciberataques-por-dia-advierte-kaspersky-industrias-y-gobiernos-los-mas-atacados/

La República

Colombia enfrenta un momento definido en materia de ciberseguridad. El país es uno de los más atacados en Latinoamérica, con un registro de 36.000 millones de intentos de ciberataques durante 2024. Estos eventos afectan a sectores como el financiero, salud, energía y gobierno.

Lee más.

Fuente: Prensa Lumu

Lumu, la compañía de ciberseguridad pionera en Continuous Compromise Assessment®, publicó hoy su Compromise Report 2025, en el que identifica tres tendencias clave en ciberseguridad: nuevas técnicas de phishing, un aumento en ciertas formas de malware y técnicas de evasión cada vez más sofisticadas, como el uso de anonymizers (herramientas que ocultan la identidad o ubicación del atacante) y droppers (programas diseñados para instalar malwares).

El informe también destaca un aumento en los ataques dirigidos a cuatro sectores esenciales: Educación, Gubernamental, Finanzas y Salud. Entre ellos, el sector gubernamental y educativo fue el más afectado, concentrando el 60% de los ataques anónimos registrados, el 50% de los ataques con droppers y el 70% de los ataques con ransomware.

“El panorama actual de la ciberseguridad es un campo de batalla en constante cambio. Desafortunadamente, la evasión ya no es la excepción, se está convirtiendo rápidamente en la norma. Para que las organizaciones puedan defenderse eficazmente ante una avalancha constante de amenazas, deben comprender mejor cómo están evolucionando sus adversarios y sus tácticas”, dijo Ricardo Villadiego, fundador y CEO de Lumu. “Nuestro último informe revela información esencial sobre las tácticas, técnicas y procedimientos que los atacantes están empleando para evadir incluso las defensas más sólidas, y subraya la necesidad de una detección continua, una base tecnológica bien integrada y una inteligencia siempre actualizada”.

El reporte señala que los atacantes se están volviendo más hábiles para evadir los controles de seguridad, aprovechando técnicas como Living-off-the-Land (LotL) y explotando a los drivers vulnerables. Los anonymizers y los droppers también se utilizan para ocultar las acciones de los atacantes, al mismo tiempo que entregan softwares dañinos.

Los malwares también están mejorando para evadir la detección. Los cibercriminales están recurriendo cada vez más a los infostealers, que emplean ejecución sin archivos (fileless) y técnicas de ofuscación para robar una variedad más amplia de datos, abriendo así el camino para ataques de ransomware y otros incidentes.  También están evolucionando los ataques de phishing, en los que los delincuentes usan IA para generar correos polimórficos (polymorphic phishing, correos que cambian constantemente su forma o contenido para evitar ser detectados por sistemas de seguridad), explotan la fatiga del uso de autenticación multifactor (MFA) y emplean quishing, una modalidad de phishing que utiliza códigos QR para engañar a los usuarios.

El informe incluye un estudio de caso en profundidad sobre Lumma Stealer, un tipo común de infostealer que actualmente encabeza la lista de malware más detectado. Representa más del 25% de los ataques de infostealer registrados a nivel mundial.

Otros hallazgos clave incluyen:

• SocGholish lidera entre las familias de droppers a nivel mundial con un 66,3% de los casos, seguido por QakBot (14%) y ClearFake (5,6%).
• Los infostealers han permanecido como una de las principales tendencias de malware a lo largo de 2024 y hasta 2025. Sin embargo, han evolucionado más allá del robo básico de credenciales. Ahora, los infostealers utilizan técnicas más avanzadas para eludir las soluciones de EDR (Endpoint Detection and Response), lo que les permite evitar ser detectados y mejorar su capacidad para robar información sensible. Siendo el Gobierno uno de sus grupos foco, con el 19,2% de ataques, seguido por el 18,2 % del sector financiero.
• Las nuevas técnicas de ataque de phishing, como el falso CAPTCHA, el phishing polimórfico impulsado por IA y el quishing o phishing QR, van en aumento.
• Si bien se detectaron intentos de phishing en todos los sectores, los servicios esenciales, como la educación, las asociaciones y organizaciones sin fines de lucro, el gobierno, las empresas de TI y software, las finanzas y la atención médica, fueron los objetivos más populares.
• La evasión de la defensa es la táctica de MITRE más utilizada en los incidentes cibernéticos en la actualidad.
• Los atacantes utilizan tácticas de ejecución para desplegar software malicioso en sistemas comprometidos, siendo la técnica más común el archivo malicioso (T1204.002).

Para leer una copia completa del informe, visite este link. Para obtener más información sobre las soluciones de ciberseguridad líderes en la industria de Lumu, visite lumu.io.

El Economista

Apenas 5% de los ciberataques que afectan a empresas mexicanas se origina dentro del país. El otro 95% proviene del extranjero, en su mayoría desde Estados Unidos, Brasil, China, Rusia y países de Europa del Este.

“Hoy en día los atacantes son mafias globales. No necesariamente están escondidas en alguna ubicación en la Ciudad de México. Menos de 5% de los ataques maliciosos se gesta en México; la gran mayoría viene de todo el mundo”, dijo Carlos Torales, vicepresidente de Cloudflare para Latinoamérica, en conferencia de prensa.

Leer más: https://www.eleconomista.com.mx/tecnologia/5-ciberataques-mexico-proviene-territorio-mexicano-20250609-762853.html

Europa Press

El hecho de que las desconexiones se produjeran en la región suroeste peninsular “puede hacer pensar que la pérdida de generación es solar”, aseguraron.

Leer más: https://www.europapress.es/economia/energia-00341/noticia-restablecido-9995-demanda-electrica-700-horas-red-electrica-20250429115326.html

El Economista

Casi la mitad de los usuarios mexicanos de dispositivos móviles afirma haber sido víctima de algún tipo de ciberataque, lo que sitúa a México como uno de los países más vulnerables en este aspecto dentro de la región, de acuerdo con el estudio Appdome Mexico Mobile Consumer Survey 2024.

El nivel de exposición de los consumidores mexicanos a amenazas cibernéticas es superior al de otros países analizados en el estudio global de Appdome. Mientras que a nivel mundial 40% de los encuestados reportó haber sufrido un ciberataque, en México esta cifra sube a 48% de los usuarios. Este dato sugiere que las amenazas digitales en el país son más frecuentes o que los consumidores tienen una mayor percepción de riesgo.

Leer más: https://www.eleconomista.com.mx/tecnologia/48-mexicanos-dice-haber-sufrido-ciberataque-dispositivo-movil-20250330-752616.html

TI Inside

De acordo com informações publicadas em um portal na dark web no último dia 22 de dezembro, o Sicoob teria sido pela segunda vez vítima de um ataque ransomware. Segundo as informações divulgadas pelo grupo 8base, foram exfiltrados dados confidenciais da instituição, incluindo informações pessoais de clientes e funcionários, documentos estratégicos e acessos internos.
Mais…