Más de un millón de cuentas de banca en línea fueron comprometidas en 2025, según un informe de Kaspersky, que advierte un cambio en las ciberamenazas financieras hacia el robo de credenciales y la reutilización de datos. El reporte señala que los atacantes están abandonando el malware bancario tradicional en PC para apoyarse en la ingeniería social y la dark web, mientras el malware móvil continúa creciendo.
Phishing financiero
El phishing financiero sigue vigente y está cambiando de enfoque. Según el informe de Kaspersky, las páginas que imitan tiendas en línea lideraron este tipo de fraude en 2025, concentrando el 48,5% de los ataques (10,3 puntos más que en 2024), seguidas por los bancos (26,1%, con una caída de 16,5 puntos) y los sistemas de pago (25,5%, con un aumento de 6,2 puntos). Esta disminución en el phishing bancario sugiere que estos servicios son cada vez más difíciles de suplantar, lo que está llevando a los atacantes a optar por rutas más simples para acceder al dinero de los usuarios.
En América Latina, el comportamiento del phishing refleja este cambio con especial claridad. La región muestra una distribución equilibrada, pero con un mayor peso del comercio electrónico (46,3%) y del targeting a bancos (42,25%), lo que evidencia que los ciberdelincuentes están combinando múltiples vectores para aumentar la efectividad de sus campañas.
A nivel global, las diferencias responden a los hábitos digitales de cada región. En Medio Oriente, el phishing financiero se concentra en el comercio electrónico (85,8%), mientras que en África predominan los ataques dirigidos a bancos (53,75%). Por su parte, Asia-Pacífico y Europa presentan una distribución más homogénea entre las tres categorías, lo que apunta a estrategias de ataque más diversificadas.
Distribución de las detecciones de páginas de phishing financiero por categoría (bancos/tiendas en línea/sistemas de pago), a nivel global y por región, 2025.
Malware financiero
En 2025 continuó la disminución de usuarios afectados por malware financiero en PC, asociado a que los usuarios dependen cada vez más de dispositivos móviles para gestionar sus finanzas. En contraste, los ataques de malware bancario móvil crecieron 1,5 veces en 2025 frente al año anterior.
Evolución mensual del número de usuarios afectados por malware bancario tradicional en PC, 2023–2025.
Amenazas financieras y la dark web
Como complemento al malware financiero tradicional, los infostealers desempeñaron un papel clave en el cibercrimen financiero tanto en PCs como en dispositivos móviles, al recolectar credenciales de acceso, cookies, números de tarjetas bancarias, frases semilla de billeteras cripto y datos de autocompletado de navegadores y aplicaciones. Esta información es utilizada por los atacantes para secuestrar cuentas o cometer fraudes bancarios directos.
Datos de Kaspersky muestran un fuerte aumento en la detección de infostealers, con un crecimiento del 59% a nivel global en PCs entre 2024 y 2025. En América Latina, esta tendencia también se refleja con un incremento del 35%, impulsando los ataques basados en el robo y reutilización de credenciales. Una de las técnicas que facilita este crecimiento, es la posibilidad de recolectar los datos desde el mismo navegador web sin requerir la instalación de aplicaciones para su funcionamiento.
Según Kaspersky Digital Footprint Intelligence (DFI), en 2025 más de un millón de cuentas de banca en línea de los 100 bancos más grandes del mundo fueron comprometidas por infostealers, y sus credenciales se compartían libremente en la dark web. Los países con el mayor número mediano de cuentas comprometidas por banco fueron India, España y Brasil.
Número mediano de cuentas comprometidas por banco en los 10 principales países.
Además, el 74% de las tarjetas de pago comprometidas por malware infostealer, publicadas en recursos de la dark web e identificadas por el equipo DFI de Kaspersky en 2025, seguían siendo válidas en marzo de 2026. Esto significa que los atacantes aún pueden utilizar tarjetas robadas meses o incluso años atrás.
“Lo que estamos viendo es la consolidación de un mercado criminal altamente estructurado en la dark web, donde los datos financieros robados dejan de ser un subproducto del ataque para convertirse en el activo principal. Credenciales, tarjetas bancarias y accesos comprometidos se agrupan, se validan y se comercializan como insumos listos para nuevas campañas de fraude, mientras que herramientas como kits de phishing permiten escalar estos ataques con mínima experiencia técnica. Este modelo no solo acelera la velocidad del cibercrimen, sino que reduce las barreras de entrada para los atacantes. En este contexto, la prevención ya no puede ser reactiva: las organizaciones necesitan visibilidad constante sobre estas dinámicas, y los usuarios deben asumir un rol más activo en la protección de su información”, comenta Eduardo Chavarro, Director para Américas del Equipo Global de Respuestas a Incidentes en Kaspersky.
Para mantenerse protegido frente a este panorama, los expertos de Kaspersky recomiendan:
Para usuarios individuales:
● Activa una verificación adicional en tus cuentas: además de tu contraseña, usa un código que te llegue al celular o una app. También evita usar la misma contraseña en tus cuentas y, si procura guarda tus claves en una aplicación segura para no olvidarlas.
● No confíes en enlaces que te lleguen por mensajes, correos o redes sociales: si algo te pide datos personales o bancarios, entra tú mismo escribiendo la página en el navegador. Antes de poner cualquier información, revisa bien que el sitio sea el oficial.
● Protege tus dispositivos con una solución de seguridad: herramientas como Kaspersky Premium te ayudan a detectar páginas falsas, bloquear enlaces peligrosos y evitar que caigas en fraudes, incluso antes de que des clic.
Para empresas:
● Evaluar toda la infraestructura, corregir vulnerabilidades y considerar evaluaciones de seguridad ejecutadas por especialistas externos que permitan identificar riesgos desconocidos.
● Implementar plataformas integradas que permitan monitorear y controlar todos los vectores de ataque, con detección rápida y respuesta ágil. Soluciones como la línea Kaspersky Next ofrecen protección en tiempo real, visibilidad de amenazas, investigación y capacidades EDR/XDR escalables.
● Monitorear continuamente la dark web para ampliar la cobertura de fuentes de amenazas y anticipar actividades de actores maliciosos. Este tipo de monitoreo forma parte del servicio Digital Footprint Intelligence de Kaspersky.
