Reporte Técnico Cobertura: 1 de abril – 10 de mayo de 2025
Reporte Técnico Lectura rápida: 9 min | Nivel: CISO / SecOps | Fuente de datos: Honeypots Hackanary, feeds OSINT, informes ANCI, y 12 CERT sudamericanos
Resumen ejecutivo
Entre el 1 de abril y el 10 de mayo Chile registró 36.4 millones de eventos maliciosos (+27 % respecto al mismo periodo 2024). El 71 % tuvo como vector inicial vulnerabilidades conocidas (CVE‑2023‑22527, CVE‑2024‑3094, CVE‑2024‑23897) y el 19 % phishing. El tiempo medio de permanencia (dwell time) cayó a 4 días gracias a campañas de smash‑and‑grab ransomware.
| Métrica | Valor | Δ interanual | Fuente |
|---|---|---|---|
| Intentos de explotación CVE conocidos | 25 878 519 | +31 % | Honeypots Hackanary |
| Phishing que elude SPF/DKIM/DMARC | 3 138 440 | +18 % | Spamtraps regionales |
| Hosts chilenos randesop | 1 492 | +16 % | ANCI |
| Downtime promedio por incidente reportado | 36 h | −9 % | ENCUESTA‑CISO 2025 |
Insight clave: los atacantes optan por living‑off‑the‑land (LotL) y campañas cortas: menos ruido, cifrado inmediato.
Cronología de incidentes críticos
| Fecha | Entidad | Vector | Técnica (MITRE) | Payload / Familia | Impacto |
| 02‑abr | EmoTrans Chile | CVE‑2023‑22527 (Jenkins RCE) | T1190 Exploit Public‑Facing App | Ransomware NightSpire v2.3 | 48 GB cifrados, fuga CSV clientes |
| 07‑abr | CAS‑Chile | Phishing + MFA‑Fatiga | T1110.003 | PowGoop Beacon → C2 185.243.11.14 | 12 k registros ciudadanos filtrados |
| 14‑abr | Minvu BioBío | Privilege Escalation local | T1068 | Kernel exploit (DirtyPipe) | Web GIS inoperativo 3 días |
| 22‑abr | YouTube “La Roja” | OAuth token compromise | T1539 Steal Web Session Cookie | Defacement → cryptoscam | 43 k subs, reputación 🗑️ |
| 05‑may | Banco Cooperativo | SQLi en API interno | T1040 Exfil via DNS‑over‑HTTPS | Scripts FrostBite | Seudo‑DoS y robo PII 220 k clientes |
Tendencias de explotación de vulnerabilidades
Top 5 CVE apuntados en infraestructura chilena:
| CVE | Score CVSS | Software | % ataques | POC pública | Patch disponible |
| CVE‑2024‑3094 | 10.0 | xz Utils backdoor | 28 % | Sí | Sí (5.6.1) |
| CVE‑2024‑23897 | 9.8 | Jenkins CLI Command Injection | 21 % | Sí | Sí |
| CVE‑2023‑22527 | 9.8 | Atlassian Confluence OGNL Injection | 14 % | Sí | Sí |
| CVE‑2024‑26809 | 9.8 | RDP Gateway Remote Code Exec | 9 % | Sí | No* |
| CVE‑2023‑20198 | 10.0 | Cisco IOS XE Web UI | 6 % | Sí | Parcial |
| * Workaround mitiga. |
El esquema ATT&CK más utilizado fue T1190 → T1059 → T1027 → T1567.
Sectores más golpeados
Gobierno (38 %)
Predominan exploits web y falta de micro‑segmentación. El 63 % de los servidores Apache 2.4 no tiene mod_security habilitado.
Retail y logística (23 %)
Ransomware one‑shot dirigido a APIs REST sin autenticación robusta (Bearer tokens hard‑coded).
Finanzas (18 %)
Incremento de Smishing con enlaces https://kcl‑cl[.]shop. Tasa de clic superior al 8 %.
Educación (11 %)
Paneles Moodle 4.1 expuestos con contraseñas por defecto. Explotación vía CVE‑2023‑6213.
Artefactos observables (IOCs)
185.243.11.14 → C2 NightSpire
104.244.79.1 → Lumma Stealer dump
SHA256 d1f78…0a9 inari_loader_macos
URL hxxps://update‑mac‑os[.]com/chile.pkg
DNS api.invoices‑cl[.]guru → FrostBite tunnelingAñade estos IOCs a tu SIEM y eleva su correlación a severidad alta.
Inteligencia de amenazas e IA
- Deepfakes: campañas visa‑work Chile. Se detectaron 24 videos en TikTok generados con HeyGen clonando a periodistas nacionales.
- LLM‑Ops: prompt injection contra chatbots bancarios para filtrar datos KYC.
- Defensivo: filtrado de logs con OpenAI Embeddings + Pinecone, reduciendo el MTTD un 26 % (pruebas Hackanary).
Gap analysis frente a NIST CSF 2.0
| Función | Subcategoría crítica | Cumplimiento promedio | Nota |
| Identify | ID.AM‑05 Inventario completo | 54 % | Shadow IT en alza |
| Protect | PR.AC‑03 MFA everywhere | 40 % | MFA aún parcial |
| Detect | DE.CM‑02 Logs centralizados | 46 % | Retención <90 d |
| Respond | RS.CO‑01 Plan de comunicación | 31 % | Deficiente |
| Recover | RC.IM‑01 Backups offline | 37 % | Restores sin prueba |
Conclusión: sin un pentest exhaustivo, el 63 % de las brechas permanece invisible hasta el incidente.
Recomendaciones técnicas inmediatas
- Parche de emergencia: aplica CVE‑2024‑3094 y CVE‑2024‑23897.
- Segregación de redes: implementa VLANs y ACL zero‑trust en zonas OT.
- Hardening de identidades: adopta MFA adaptativo y passkeys FIDO2.
- Backup 3‑2‑1: realiza una prueba de restauración mensual.
- Pentest completo: incluye pruebas de APIs GraphQL y contenedores.
Coste de no actuar
- Ransom promedio Chile Q1‑2025: 1.3 M USD.
- Multa por no reportar (Ley 21.663): hasta 10.000 UTM.
- Tiempo reputacional medio para recuperar confianza: 8 meses.
Próximos pasos con Hackanary 🦅
Sabemos que leer CVEs no blinda tus servidores. Por eso ofrecemos nuestro Penetration Test integral.
Pentest Especializado — 25 UF + IVA
Elige uno de los siguientes alcances:
- Web Application Pentest
- Perimetral / External Infrastructure Pentest
- Mobile Application Pentest (Android o iOS)
- Internal Network Pentest
- Wireless Pentest
Metodología: OWASP, PTES y MITRE ATT&CK, combinando explotación manual y herramientas automatizadas.
Entregables:
- Informe técnico y ejecutivo con evidencias y matriz de riesgos.
- Dos retests incluidos para verificar la efectividad de los parches.
- Certificado oficial de correcciones y ejecución del pentest emitido por Hackanary.
Agenda hoy y convierte este informe en un plan de acción antes de que aparezcas en el próximo titular. y convierte este informe en un plan de acción antes de que aparezcas en el próximo titular.
