Vigía LATAM — Inteligencia de Amenazas

Esta semana Vigía LATAM registra actividad al alza en amenazas activas. El sector Otros acumula la mayor presión con 65 alertas en 30 días. CVE-2026-42271 (BerriAI) encabeza el catálogo CISA KEV. Proyección próxima semana: 60–64 amenazas críticas/altas esperadas.

CVE-2026-42271 BerriAI Tendencia al alza Sector: Otros

Amenazas al Sector Financiero LATAM

Troyanos bancarios, malware ATM y herramientas activas en México, Brasil y LATAM

8Activas

2Dormidas

10Total

Troyano bancario brasileño, uno de los más activos en LATAM y España. Roba credenciales de más de 1,500 instituciones financieras mediante ventanas emergentes falsas. Operado por múltiples grupos criminales tras el desma…

T1566.001T1055T1113T1056.001T1071.001 +1

🇲🇽 MX 🇧🇷 BR 🇪🇸 ES 🇦🇷 AR 🇨🇴 CO 🇨🇱 CL

Uno de los troyanos bancarios más persistentes de LATAM. Ha evolucionado significativamente desde 2015, con múltiples variantes. Activo en Chile, México, Brasil y Colombia. Usa spear-phishing con señuelos fiscales (SAT, …

T1566.001T1059.001T1027T1056.001T1547.001

🇲🇽 MX 🇨🇱 CL 🇧🇷 BR 🇨🇴 CO 🇵🇪 PE 🇪🇸 ES

También conocido como Metamorfo. Apunta a instituciones bancarias en México y Brasil. Usa técnicas de ofuscación avanzadas y DGA para comunicación C2. Captura credenciales bancarias y de criptomonedas mediante ventanas s…

T1566.001T1027T1056.001T1568.002T1082

Suite de malware para terminales de punto de venta (POS) y cajeros. Considerado el malware PoS más avanzado de LATAM. Captura datos de tarjetas EMV (chip) mediante ataques GHOST, bloqueando pagos contactless para forzar …

T1195T1056T1185T1539T1083

Troyano bancario modular activo en México y Brasil. Genera interfaces bancarias falsas de más de 40 bancos LATAM para robar credenciales de autenticación de dos factores. Usa Living Off the Land (LOLBins) para evasión de…

T1566.001T1218T1055T1056.001T1185

Malware para cajeros automáticos originado en México, considerado uno de los primeros ATM malware de LATAM. Permite el vaciado de cajeros mediante comandos enviados por SMS o teclado externo. Ha evolucionado en múltiples…

T1195T1059T1106T1497

🇲🇽 MX 🇨🇴 CO 🇵🇪 PE IN 🇺🇸 US

Troyano bancario con foco en México y Brasil. Ataca más de 60 instituciones financieras. Utiliza componentes de acceso remoto para tomar control del sistema víctima y ejecutar transacciones fraudulentas en tiempo real mi…

T1566.001T1219T1056.001T1055.012T1071.001

También conocido como Astaroth. Parte del grupo Tetrade. Usa técnicas LOLBins avanzadas con WMIC, BITSAdmin y certutil para distribución sin archivos. Roba credenciales bancarias e información del sistema. Principalmente…

T1566.001T1218.010T1197T1140T1056.001

Troyano bancario con origen en Brasil que expandió operaciones a Europa (España, Portugal, Francia, Italia). Utiliza comandos de backdoor, roba contraseñas de gestores, fuerza el cierre de sesiones bancarias activas y mu…

T1566.001T1056.001T1219T1057T1113

🇧🇷 BR 🇦🇷 AR 🇨🇱 CL 🇪🇸 ES 🇵🇹 PT FR IT

Troyano bancario que utiliza GitHub para alojar su C2 y actualizar la lista de bancos objetivo. Ataca instituciones financieras y de gobierno en Brasil. Muestra ventanas pop-up falsas sobre las sesiones bancarias legítim…

T1566.001T1102T1056.001T1071.003

🇧🇷 BR

Último: Nov 2023

210 IOCs

Fuentes: ESET / Kaspersky / Check Point Research / FBI / Europol MITRE ATT&CK IDs incluidos

Feed IOC en vivo

ThreatFox · AbuseIPDB · URLhaus · AlienVault OTX

Actualizado: 7 entradas

🔗 URLhaus abuse.ch URLhaus (abuse.ch) reportó 799 URLs maliciosas nuevas en las últimas 24 horas. 254 siguen activas. U… Alto 🚫 AbuseIPDB AbuseIPDB AbuseIPDB reporta 500 IPs maliciosas con confianza ≥ 90% al 07/06/2026. Se detectaron 500 IPv4 y 0 I… Medio 🦊 ThreatFox abuse.ch ThreatFox (abuse.ch) detectó 958 IOCs de Agentemis,BEACON,CobaltStrike,cobeacon (Post-Exploitation F… Crítico 🦊 ThreatFox abuse.ch ThreatFox (abuse.ch) detectó 889 IOCs de None (Malware) en las últimas 24h. Tipos: 408 Dominio malic… Alto 🦊 ThreatFox abuse.ch ThreatFox (abuse.ch) detectó 187 IOCs de RemcosRAT,Remvio,Socmer (RAT (Troyano de Acceso Remoto)) en… Crítico 🦊 ThreatFox abuse.ch ThreatFox (abuse.ch) detectó 45 IOCs de Havokiz (Malware) en las últimas 24h. Tipos: 45 IP de Comand… Alto 🦊 ThreatFox abuse.ch ThreatFox (abuse.ch) detectó 35 IOCs de LummaC2 Stealer (Malware) en las últimas 24h. Tipos: 16 URL … Alto

Fuentes: abuse.ch ThreatFox · AbuseIPDB · URLhaus · AlienVault OTX Ver todas las alertas IOC →

Fuentes de datos

CISA KEV · NVD/NIST · US-CERT · MSRC · Fortinet · Palo Alto

Clasificación sectorial

Inferida del fabricante y producto afectado, considerando patrones de adopción tecnológica en México y LATAM. Score de riesgo ponderado por severidad CVSS.

Sobre CISA KEV

Explotación activa confirmada, no teórica. Las marcadas con ransomware están siendo usadas activamente contra organizaciones. Requieren parche inmediato.