Alerta por ataque de ransomware: Crypto24 esquiva EDR en América Latina

En los últimos días, se ha detectado una preocupante actividad relacionada con Crypto24, una nueva variante de ransomware que está afectando a organizaciones de América Latina. Este ataque de ransomware ha demostrado ser capaz de evadir soluciones de detección y respuesta en endpoints (EDR), lo que incrementa significativamente su peligrosidad.

Desde Wezen, y en línea con nuestro compromiso de mantener informados a nuestros clientes, compartimos esta alerta preventiva junto a recomendaciones específicas para distintas plataformas de seguridad. Nuestro enfoque es claro: anticiparse, reforzar controles y mejorar la capacidad de detección y contención antes de que una amenaza escale.

La fuente principal de esta comunicación es el artículo publicado por Segu-Info, una referencia confiable en ciberseguridad en la región.

¿Qué es Crypto24 y por qué es tan preocupante?

Crypto24 es una familia de ransomware recientemente identificada que ha comenzado a propagarse en empresas latinoamericanas. Su peligrosidad radica en:

• Capacidad para evadir soluciones EDR tradicionales.
• Uso de técnicas avanzadas de ofuscación y persistencia.
• Rápida propagación lateral dentro de la red interna.
• Encriptación de datos críticos con demanda de rescate.

Este comportamiento refuerza la necesidad de adoptar un enfoque defense-in-depth y revisar configuraciones clave en nuestras herramientas de seguridad.

Acciones prioritarias para cada tecnología antimalware

A continuación, presentamos medidas recomendadas para distintos entornos de seguridad, clasificadas por proveedor.

ESET (ESET PROTECT / Endpoint Security / Server Security)

Acciones prioritarias (ALTA)

• Habilitar Ransomware Shield desde política en ESET PROTECT.
• Si es un equipo/servidor nuevo o una política recién aplicada: activar Audit mode por un período corto, ajustar exclusiones legítimas si aparece algún FP, y luego desactivar Audit mode para volver a bloqueo automático.
• Aplicar recomendaciones adicionales de ESET contra filecoder/ransomware (buenas prácticas generales y postura).

CrowdStrike (Falcon Prevent / NGAV + EDR)

Acciones prioritarias (ALTA)

• Revisar Prevention Policy y validar que el Sensor Tampering Protection esté activo.
• Asegurar que la prevención incluya:
  • Cuarentena automática de archivos maliciosos (para investigación/control).
  • Monitoreo/bloqueo de ejecución basada en scripts y comportamientos (para frenar cadenas típicas de ransomware).
• Alinear controles operativos recomendados para ransomware (hardening de accesos, revisión de privilegios, reducción de superficie) como parte del paquete de prevención.

Fortinet (FORTI ZTNA: FortiGate + FortiClient EMS + ZTNA Access Proxy)

Acciones prioritarias (ALTA)

• Validar implementación de ZTNA Access Proxy y reglas asociadas (aplicaciones publicadas, puertos, identidad).
• Configurar/validar en FortiClient EMS los Security Posture tags (cumplimiento AV/EDR, postura mínima, etc.) y su consumo en FortiGate para decisiones ZTNA.
• Asegurar que exista verificación de postura en sesiones activas (política que reevalúe y termine sesiones si el equipo pierde compliance).

Acciones recomendadas (MEDIA)

• Aplicar el enfoque de least privilege por aplicación para reducir la superficie y limitar el movimiento lateral (clave en escenarios de ransomware).
• Revisar buenas prácticas del stack FortiClient/Fabric orientadas a la contención frente al ransomware.

Microsoft Defender (Defender for Endpoint / Microsoft Defender XDR)

Acciones prioritarias (ALTA)

• Confirmar Tamper protection habilitado en el tenant desde Microsoft Defender portal (y verificar alcance/estado).
• Configurar Controlled Folder Access para resguardar información crítica (y revisar apps permitidas).
• Implementar ASR Rules siguiendo las buenas prácticas: iniciar en Audit mode para medir impacto y luego pasar a bloqueo con exclusiones mínimas justificadas.

Reforzar la postura: más allá de la herramienta

Si bien contar con herramientas robustas es esencial, también es clave mantener:

• Políticas de segmentación de red.
• Autenticación multifactor (MFA) para accesos sensibles.
• Entrenamiento continuo al personal para reducir errores humanos.
• Procedimientos de respuesta y backup offline.

Preguntas frecuentes sobre ataque de ransomware

¿Crypto24 afecta solo a grandes empresas?

No. Cualquier organización con brechas de seguridad puede ser blanco, sin importar su tamaño.

¿Las soluciones EDR ya no son suficientes?

Son esenciales, pero deben configurarse de modo correcto y complementarse con otras capas de protección.

¿Puedo protegerme solo con antivirus gratuito?

No es recomendable. Las amenazas modernas requieren soluciones empresariales avanzadas y servicios gestionados.

¿Qué pasa si ya tengo políticas activas?

Revisarlas de forma periódica es vital. Las amenazas evolucionan y las configuraciones deben acompañar ese ritmo.

Anticiparse es clave

El crecimiento de Crypto24 en la región evidencia que los atacantes continúan sofisticándose. En Wezen, entendemos que la mejor defensa es la anticipación, por eso ayudamos a nuestros clientes a:

• Revisar sus entornos de seguridad.
• Fortalecer configuraciones críticas.
• Implementar servicios gestionados para una protección continua.

Desde Wezen podemos ayudarte a auditar, reforzar y acompañar tu estrategia de ciberseguridad para enfrentar amenazas como Crypto24 con tranquilidad y control.
Si quieres una evaluación técnica o tienes dudas sobre la postura actual de tu organización, escríbenos.

Imagen: generada por IA (DALL·E 3 – GPT-4o), OpenAI, 2026.

Fuentes consultadas:

• Segu-Info. (2025, diciembre). Ransomware Crypto24 se propaga en América Latina salteando EDR. URL
• ESET. (s.f.). Best practices to protect against filecoder/ransomware malware. ESET Support. URL
• CrowdStrike. (2024, septiembre). CrowdStrike Falcon Prevent Data Sheet. URL
• Fortinet. (s.f.). ZTNA Access Proxy – FortiGate. Fortinet Documentation Library. URL
• Microsoft. (s.f.). Manage tamper protection in Microsoft Defender for Endpoint. Microsoft Learn. URL