# Colômbia - Perfil Regional de Ameaças > [!abstract] Síntese > A Colômbia é o quarto maior alvo de ciberataques da América Latina, com destaque para ataques ao setor governamental e infraestrutura de energia. O país é alvo preferêncial do grupo **Blind Eagle** (APT-C-36) - ator que combina espionagem política com crime financeiro e opera desde pelo menos 2018 com foco exclusivo na Colômbia e países vizinhos. > [!latam] Relevância LATAM > A Colômbia é ponto de atenção crítico para a inteligência regional: abriga o único APT com foco exclusivo em países de língua espanhola (**Blind Eagle**), sofreu o maior ataque de ransomware já documentado contra infraestrutura de conectividade da América Latina (IFX Networks, 2023) e possui o setor energético mais exposto da região após o Brasil. Organizações colombianas e empresas brasileiras com operações no país devem monitorar ativamente indicadores do **Blind Eagle**, **LockBit** e atores de crime financeiro local. ## Visão Geral A Colômbia é o quarto país mais atacado da América Latina, com um perfil de ameaças diversificado que combina espionagem estatal, crime financeiro e ransomware oportunista. Seu setor governamental altamente digitalizado - mas com baixa maturidade de segurança - e sua infraestrutura energética crítica (petróleo, gás e hidroelétricas) tornam o país atrativo para múltiplos perfis de atores de ameaça. O país concentra atenção especial por ser o principal alvo do [[g0099-blind-eagle-apt-c-36|Blind Eagle]], o único grupo APT documentado com foco exclusivo em países de língua espanhola. Este ator, ativo desde 2018, combina espionagem política contra dissidentes e jornalistas com crime financeiro contra instituições colombianas, usando arsenal de RATs open source (AsyncRAT, NjRAT, BitRAT) distribuídos via phishing temático com documentos judiciais falsos da DIAN ou Fiscalía. ## Panorama de Ameaças A Colômbia ocupa posição de crescente relevância no cenário de ameaças LATAM. O país concentra infraestrutura energética crítica (petróleo, gás e hidroelétricas), um setor financeiro em rápida digitalização e órgãos governamentais com baixa maturidade de segurança - combinação atrativa para atores de ameaça com diferentes motivações. O ator mais documentado na Colômbia é o [[g0099-blind-eagle-apt-c-36|Blind Eagle]] (também rastreado como APT-C-36 por alguns vendors). Este grupo é notável por ser um dos poucos APTs com foco exclusivo em países de língua espanhola - Colômbia, Equador, Peru e Chile são seus alvos principais. Suas campanhas misturam espionagem política (vigilância de dissidentes, jornalistas, opositores) com crime financeiro contra instituições colombianas. Em 2024, o ataque ransomware contra a IFX Networks - maior provedor de conectividade da Colômbia - causou interrupção catastrófica: sites do governo (Procuradoria, Corte Suprema, Ministerio de Salud) ficaram offline por dias, expondo a dependência crítica de um único fornecedor de infraestrutura. --- ## Distribuição de Ataques por Tipo ```mermaid pie title Incidentes Identificados - Colômbia (2024) "Ransomware" : 30 "Espionagem / APT" : 25 "Phishing Corporativo" : 22 "Fraude Bancária" : 13 "DDoS / Hacktivismo" : 7 "Outros" : 3 ``` --- ## Setores Mais Visados ### Governo O setor [[government|governamental]] é o principal alvo de ataques de espionagem. Órgãos de segurança pública (Policía Nacional, Fiscalía), poder judiciário e ministérios são alvos frequentes do [[g0099-blind-eagle-apt-c-36|Blind Eagle]]. A coleta de inteligência política - sobre opositores, jornalistas investigativos e ativistas - parece motivar parte significativa das campanhas. ### Energia A infraestrutura de [[energy|energia]] colombiana - Ecopetrol (petróleo), ISA (transmissão elétrica) e operadoras hidrelétricas - representa alvo de alto valor para atores estatais interessados em sabotagem ou espionagem industrial. O ataque à IFX Networks em 2023 demonstrou o efeito cascata de ataques a provedores de infraestrutura. ### Financeiro e Telecomúnicações Os setores [[financial|financeiro]] e de [[telecommunications|telecomúnicações]] sofrem com trojans bancários e ransomware oportunista. O [[g1016-fin13|FIN13]], primariamente focado no México, também tem operações documentadas na Colômbia. --- ## Blind Eagle - APT Focado na Colômbia > [!warning] Ameaça Persistente > Blind Eagle mantém campanhas contínuas contra alvos colombianos desde 2018. Atualiza regularmente seu arsenal para evadir detecção. ```mermaid graph TB A["📧 Spear-phishing<br/>Tema: Citação judicial / DIAN"] --> B["📄 RAT Embutido<br/>AsyncRAT / NjRAT / BitRAT"] B --> C["🔑 Persistência<br/>Registro Windows / Startup"] C --> D["🖥️ Acesso Remoto<br/>Full RAT control"] D --> E1["🕵️ Espionagem<br/>Keylog, screencap, microfone"] D --> E2["💰 Crime Financeiro<br/>Credenciais bancárias"] E1 --> F["📡 Exfiltração<br/>Telegram Bot / Pastebin C2"] E2 --> F style A fill:#1a1a2e,stroke:#e94560,color:#fff style F fill:#1a1a2e,stroke:#e94560,color:#fff ``` **Características distintivas do Blind Eagle:** - Uso de temas locais em espanhol: citações judiciais falsas da DIAN (receita federal) ou Fiscalía - Arsenal variado de RATs open source: AsyncRAT, NjRAT, BitRAT, Remcos - Infraestrutura C2 via Telegram e serviços legítimos (Discord, Pastebin) - Campanhas de curta duração com rápida rotação de domínios --- ## Framework Regulatório A **CONPES 3995/2020** define a estratégia nacional de cibersegurança colombiana. O **ColCERT** (Comando Conjunto Cibernético) é o CERT nacional, vinculado às Forças Armadas - modelo diferente do [[brasil|CERT.br]] (vinculado ao NIC.br). A **Ley 1581/2012** (Habeas Data) é a principal lei de proteção de dados, com enforcement pela SIC. Menos abrangente que a [[lgpd|LGPD]] brasileira, está em processo de atualização para alinhar com padrões GDPR. --- ## Atores de Ameaça Ativos na Colômbia | Ator | Tipo | Motivação | Setores Alvo | | ---- | ---- | --------- | ------------ | | [[g0099-blind-eagle-apt-c-36\|Blind Eagle]] | APT | Espionagem + financeiro | Governo, financeiro, judiciário | | [[g0099-blind-eagle-apt-c-36\|APT-C-36]] | APT | Espionagem | Governo, militar, energia | | [[lockbit\|LockBit]] | Ransomware | Financeiro | Todos | | [[cl0p\|Cl0p]] | Ransomware | Financeiro | Saúde, telco, manufatura | | [[g1016-fin13\|FIN13]] | Cybercrime | Financeiro | Financeiro | --- ## Referências - [ColCERT - Comando Conjunto Cibernético](https://www.colcert.gov.co/) - [CONPES 3995/2020 - Política de Ciberseguridad Nacional](https://www.dnp.gov.co/) - [ESET LATAM - Blind Eagle Analysis](https://www.welivesecurity.com/es/) - [Recorded Future - IFX Networks Incident 2023](https://www.recordedfuture.com/) --- ← Voltar para **[[_regions|Regiões]]** · **[[_market|Market Intelligence]]**