Propagación deliberada entre países. Según la fuente, los ataques inician en un país —Perú aparece como «paciente cero» recurrente— y migran a mercados adyacentes

Enfoque de decisión

Si tu organización opera infraestructura en América Latina o tiene dependencias de proveedores en la región, este informe describe el contexto de amenaza activo. El patrón documentado no afecta directamente tooling de desarrollo, pero sí define el entorno de riesgo en el que corren sistemas de producción, APIs gubernamentales y cadenas de integración con entidades del sector salud y público.

Resumen en 90 segundos

Ahora, según ESET, en un informe publicado el 18 de marzo de 2026, Perú, México y Argentina concentran el mayor volumen de ataques de malware en América Latina, con foco en organismos gubernamentales y sector salud. Los incidentes documentados incluyen el robo de 300 GB de datos militares en Argentina atribuido al grupo Monti y la exposición de inteligencia policial peruana vía «Dirin Leaks». El vector de entrada más frecuente sigue siendo phishing mediante PDF y páginas HTML diseñadas para captura de credenciales. Los ataques muestran un patrón de propagación regional: se inician en un país y migran a países vecinos.

¿Qué está pasando realmente?

El informe de ESET describe un ecosistema de amenaza con tres características estructurales que lo distinguen de incidentes aislados.

Propagación deliberada entre países. Según la fuente, los ataques inician en un país —Perú aparece como «paciente cero» recurrente— y migran a mercados adyacentes. Esto sugiere grupos que reutilizan infraestructura de ataque y adaptan payloads por región, no actores independientes.

Downloader de reconocimiento antes del payload crítico. La herramienta Rugmi actúa como explorador: analiza la infraestructura objetivo, verifica defensas y solo descarga el malware principal (frecuentemente ransomware) si detecta una vulnerabilidad explotable. Este patrón hace que la fase de detección temprana sea especialmente difícil: el primer indicador de compromiso parece menor.

Exploits antiguos siguen siendo efectivos. En Argentina, el informe señala infecciones activas mediante vulnerabilidades conocidas en sistemas que no han recibido actualizaciones. Esto implica que la brecha no es técnica sino operacional: los parches existen pero no se aplican en tiempo.

Los incidentes concretos reportados incluyen:

  • «Dirin Leaks» en Perú: exposición de datos de la Dirección de Inteligencia de la Policía Nacional, incluyendo información de agentes e información sobre protocolos de seguridad.
  • Argentina Q1 2025: grupo Monti exfiltró 300 GB de Fabricaciones Militares Sociedad del Estado, con proyectos militares entre el material comprometido.
  • Brasil: en el caso C&M Software, un empleado interno vendió credenciales que facilitaron el desvío de más de 800 millones de reales. Este vector —insider threat vía credenciales— es distinto de los otros y merece categoría separada.
  • Colombia: Blind Eagle explotó vulnerabilidades no parchadas en una empresa de aviación.

¿Por qué importa para Líderes de Ingeniería de Software?

Si integrás APIs o servicios de entidades gubernamentales o de salud en LATAM, el contexto de amenaza documentado aquí define el riesgo de esa dependencia. Un proveedor comprometido no necesariamente notifica en tiempo real; los 300 GB exfiltrados de Fabricaciones Militares son un ejemplo de cuánto puede salir antes de que se active una respuesta pública.

El vector de credenciales vendidas por insiders (caso C&M Software) tiene implicaciones directas para equipos que gestionan accesos de terceros o contratan con proveedores en la región. La pregunta operacional es: ¿qué capacidad de revocación inmediata tenés sobre credenciales de integraciones críticas?

El patrón de Rugmi —downloader silencioso antes del payload— implica que los IOCs tempranos son de baja señal. Si tu stack de observabilidad no tiene visibilidad en tráfico de red saliente inusual o ejecución de procesos hijos inesperados en endpoints, este tipo de amenaza puede moverse sin activar alertas hasta que el ransomware ya está ejecutando.

Phishing sobre PDF y HTML sigue siendo el vector de entrada más reportado. En equipos de ingeniería con acceso a sistemas de producción, un credential harvest vía phishing puede convertirse rápidamente en acceso a CI/CD, consolas cloud o sistemas de deployment. La superficie no es solo el usuario final.

Perspectiva a futuro

El patrón de propagación regional descrito por ESET —donde Perú actúa como laboratorio inicial antes de que la campaña migre— sugiere que los equipos de threat intelligence deberían monitorear incidentes en esa geografía como señal anticipatoria para el resto de la región.

Si el patrón de explotar vulnerabilidades no parchadas sigue siendo efectivo (y los datos sugieren que lo es), la pregunta para equipos de plataforma no es si tener un proceso de patch management, sino qué tan auditable y medible es ese proceso hoy.

No es posible, con la información disponible, proyectar si estos grupos escalarán hacia infraestructura de software privada o si seguirán concentrados en el sector público. La fuente primaria es ESET con datos al 18 de marzo de 2026 y no desglosa metodología de recolección.

Movimientos de pares

No hay datos públicos confirmados sobre cómo organizaciones de referencia en ingeniería están respondiendo específicamente al contexto LATAM. Lo que sí es una práctica documentada en equipos maduros: rotación periódica de credenciales de integraciones con terceros, uso de secrets managers con auditoría de acceso, y alertas sobre comportamiento anómalo en pipelines de CI/CD como capa adicional de detección.

Lo que aún es incierto

  • La fuente es ESET, un vendor de seguridad con interés comercial en comunicar la severidad del panorama de amenazas. No hay fuente primaria independiente que corrobore las cifras o los incidentes mencionados en el artículo original de Infobea.
  • No se especifica la metodología de ranking de «países más atacados» (¿volumen absoluto, ataques por organización, incidentes confirmados?).
  • La atribución al grupo Monti y a Blind Eagle proviene de la fuente secundaria sin detalle forense publicado en este artículo.
  • No está documentado si los incidentes representan nuevas capacidades de ataque o reutilización de TTPs conocidas.
  • El informe de ESET referenciado no está enlazado directamente; el artículo de Infobae actúa como intermediario.

Una pregunta para tu equipo

¿Qué tiempo tardarías en revocar y rotar todas las credenciales de acceso que tienen proveedores externos a tus sistemas de producción, y cuándo fue la última vez que auditaste esa lista?

Fuentes

  • Infobae — Alerta roja en Perú, México y Argentina: por qué los datos de salud y gobierno están en la mira de los hackers (Link)

Tags