Amenazas cibernéticas y geopolíticas globales. Imagen generada por IA
Latinoamérica entra en el radar del ciberespionaje chino mientras Ucrania sigue siendo el eje del ciberconflicto europeo
Un informe de ESET Research advierte sobre el avance de campañas de ciberespionaje estatal en América Latina y Europa, con un uso creciente de técnicas de engaño digital.
Más información: De apagones a cortar el agua: así son los ciberataques a las infraestructuras críticas de los que alerta Pedro Sánchez
El ciberespacio se ha convertido en un frente clave de la disputa geopolítica mundial, un ámbito de confrontación constante cada vez más sofisticado. Las operaciones digitales son ya parte esencial de las estrategias de poder de los Estados, con efectos directos en la seguridad, la economía y las infraestructuras críticas.
En este contexto, América Latina empieza a ganar peso estratégico, mientras Ucrania continúa siendo el principal escenario del conflicto digital en Europa.
Así lo revela el último análisis de ESET Research, que confirma que entidades gubernamentales e infraestructuras críticas siguen siendo los principales objetivos de estas campañas de amenazas persistentes avanzadas (APT), en consonancia con intereses geopolíticos y la creciente instrumentalización del ciberespacio como un dominio clave para la proyección de poder estatal.
El informe, que examinó estas amenazas detectadas entre abril y septiembre de 2025 sostiene que China, Rusia y Corea del Norte mantuvieron operaciones activas y sostenidas contra sectores estratégicos en múltiples regiones del mundo.
Durante el periodo analizado, los grupos de amenazas persistentes avanzadas alineados con China ampliaron de forma significativa su alcance geográfico, con operaciones detectadas no solo en Asia, Europa y Estados Unidos, sino también —de manera destacada— en América Latina.
Según ESET, se observó un aumento del uso de técnicas de adversary-in-the-middle (ataques en los que un atacante se coloca entre la víctima y un servicio legítimo (por ejemplo, una página web o un sistema corporativo) para espiar, modificar o robar información sin que la víctima lo note.
Y también de campañas de spearphishing altamente dirigidas (ataques de ingeniería social diseñados para engañar a una persona específica o a un grupo muy reducido, utilizando información personalizada para que el mensaje parezca legítimo y confiable).
![Fotomontaje con fotografías de la bandera de Corea del Norte.](["https:\/\/s3.elespanol.com\/2023\/07\/20\/actualidad\/780432592_234846334_320x180.jpg"])
Entre los casos más relevantes sobresale la actividad del grupo de ciberespionaje FamousSparrow, que llevó a cabo operaciones contra entidades gubernamentales en países como Argentina, Ecuador, Guatemala, Honduras y Panamá.
Estos ataques sugieren que la región se consolidó como uno de los principales focos operativos del grupo, en un contexto marcado por la rivalidad estratégica entre Estados Unidos y China y el creciente interés de Washington en la zona.
Ucrania, objetivo central de Rusia
En Europa, Ucrania continúa siendo el blanco prioritario de los grupos APT alineados con Rusia. ESET documentó una intensificación tanto del ciberespionaje como de acciones de carácter destructivo.
Incluso cuando los ataques no se dirigieron directamente a entidades ucranianas, muchos de los objetivos presentaban vínculos estratégicos u operativos con el país, lo que refuerza su papel central en los esfuerzos de inteligencia rusos.
El grupo RomCom destacó por explotar una vulnerabilidad zero-day en WinRAR para desplegar código malicioso y múltiples backdoors, afectando a sectores como el financiero, manufacturero, de defensa y logístico en la Unión Europea y Canadá.
No obstante, ESET señala que la explotación de vulnerabilidades zero-day continúa siendo marginal, frente a técnicas mucho más económicas y igual de eficaces.
En este escenario, grupos prorrusos como Gamaredon y Sandworm han apostado mayoritariamente por campañas de spearphishing para ejecutar sus operaciones.
Gamaredon se ha mantenido como el actor más activo contra Ucrania, mientras que Sandworm ha dirigido sus ataques a provocar interrupciones en sectores estratégicos —gubernamental, energético, logístico y agrícola— con el objetivo de erosionar la capacidad económica y operativa del país.
Nuevas tácticas y uso de la IA
El informe también pone de relieve una evolución en las tácticas empleadas por otros actores estatales, que están incorporando métodos cada vez más sofisticados para aumentar la eficacia de sus operaciones.
Entre ellos destaca FrostyNeighbor, un grupo alineado con Bielorrusia, que aprovechó una vulnerabilidad de tipo cross-site scripting (XSS) en el cliente de correo Roundcube para desplegar campañas de spearphishing dirigidas contra empresas de Polonia y Lituania.
La guerra híbrida en Europa.
Los mensajes, cuidadosamente diseñados para imitar comunicaciones empresariales legítimas, incluían un uso llamativo de viñetas y emojis, un rasgo poco habitual en este tipo de ataques y que, según los analistas, podría indicar el empleo de herramientas de inteligencia artificial para la generación automatizada de los contenidos.
En paralelo, ESET identificó otra operación atribuida al actor ruso InedibleOchotense, que optó por una estrategia de suplantación de identidad al hacerse pasar por la propia compañía de ciberseguridad.
A través de correos electrónicos y mensajes enviados mediante la plataforma Signal, los atacantes distribuyeron instaladores troyanizados que aparentaban ser software legítimo.
Al ejecutarse, los instaladores descargaban aplicaciones legítimas junto con la puerta trasera Kalambur, que garantizaba a los atacantes un acceso persistente.
El caso muestra cómo el ciberespionaje perfecciona sus tácticas mediante el engaño, la explotación de fallos y el abuso de la confianza en marcas reconocidas.
Corea del Norte: criptomonedas
En el panorama asiático, los grupos de amenazas persistentes avanzadas (APT) mantuvieron su foco en entidades gubernamentales y en sectores estratégicos como la tecnología, la ingeniería y la manufactura, considerados clave para el desarrollo económico y militar de la región.
En este contexto, los actores cibernéticos vinculados a Corea del Norte intensificaron sus operaciones, especialmente contra Corea del Sur y su industria tecnológica.
Según los analistas, estos grupos mostraron un interés creciente en el ecosistema de las criptomonedas, al que consideran una fuente de financiación estratégica para el régimen de Pyongyang.
A través de ataques dirigidos, campañas de spearphishing y compromisos a empresas vinculadas al desarrollo de blockchain, intercambios de criptoactivos y proveedores tecnológicos, los atacantes buscan obtener recursos financieros con los que sortear las sanciones internacionales y sostener sus programas estratégicos, incluidos los de carácter militar.
