En el imaginario colectivo, un ciberataque suele asociarse con sistemas caídos, pantallas bloqueadas o mensajes de rescate. Sin embargo, la realidad actual es mucho más silenciosa —y peligrosa—. Así lo confirma el Compromise Report 2026 de Lumu Technologies, un informe que advierte sobre un giro estratégico de los ciberdelincuentes hacia ataques persistentes, discretos y difíciles de detectar.
El estudio identifica cuatro grandes tendencias que están marcando el panorama global de la ciberseguridad: el uso de anonymizers, droppers y downloaders, infostealers y ransomware. A diferencia de años anteriores, estas amenazas ya no buscan llamar la atención, sino mezclarse con el tráfico normal de las redes y permanecer activas durante largos periodos.
“Ya no buscamos al enemigo en la puerta; debemos asumir que ya está dentro”, explica Ricardo Villadiego, fundador y CEO de Lumu Technologies. “Los atacantes han reemplazado la fuerza bruta por técnicas de evasión basadas en comportamiento, camuflando su actividad dentro de herramientas legítimas y del ruido normal de la red”.
Latinoamérica, en el radar de los atacantes
El informe revela un aumento sostenido de la actividad maliciosa en Latinoamérica, impulsado por la rápida digitalización y por brechas persistentes en los controles de seguridad. Las cifras son contundentes.
En Centroamérica y el Caribe, los sectores de Gobierno (27,1%) y Telecomunicaciones (22,9%) concentran la mayor exposición a infostealers, y también lideran el impacto del ransomware, con 27,7% y 16,6% respectivamente.
En Sudamérica, Telecomunicaciones (22,1%) y Gobierno (17,5%) encabezan los ataques con robo de información, mientras que el ransomware apunta principalmente a Telecomunicaciones y Educación, ambos con 23,3%.
México no es la excepción: Telecomunicaciones (22,2%) y Educación (20,2%) son los más afectados por infostealers, y en ransomware destacan Educación (35,7%) y Telecomunicaciones (32,1%).
Ataques “low and slow”: lentos, silenciosos y persistentes
Uno de los hallazgos más relevantes del reporte es la adopción de estrategias low-and-slow, donde los atacantes evitan acciones ruidosas y priorizan el control continuo de las redes. Según el marco MITRE ATT&CK, las tácticas de Command and Control (C2) han desplazado a la ejecución directa de código entre las más utilizadas, lo que evidencia un cambio de prioridades: mantenerse ocultos antes que causar daño inmediato.
Entre los indicadores más detectados durante el año se encuentran los anonymizers, como Tor y VPN privadas, utilizados para ocultar el origen de las comunicaciones. También destaca Keitaro, una herramienta legítima de marketing digital que los atacantes aprovechan como “alfombra roja” para distribuir malware.
En el terreno del robo de información, Lumma Stealer sigue siendo dominante, incluso después de intentos de desmantelamiento. Además, surgieron nuevas amenazas como MagentoCore, Remo y Ramnit, enfocadas en credenciales financieras. En ransomware, la fragmentación de grandes bandas dio paso a nuevos grupos, con DeathRansom como el más relevante en la región.
“Este informe funciona como un verdadero plan de batalla para los líderes de seguridad”, añade Villadiego. “La clave está en el monitoreo continuo, la integración de herramientas y el uso de inteligencia de amenazas realmente accionable”.
El mensaje es claro: los ciberataques ya no siempre gritan; muchos susurran. Y en ese silencio, las organizaciones que no miran de forma constante su entorno digital quedan cada vez más expuestas.
