# México - Perfil Regional de Ameaças > [!abstract] Síntese > O México é o segundo maior alvo de ciberataques da América Latina, com destaque para ataques ao setor financeiro e manufatura. O país concentrou 93% dos casos documentados da campanha Horabot em 2023-2024. Grupos de ransomware internacionais e atores de crime financeiro atuam ativamente no país. > [!latam] Relevância LATAM > O México é o segundo maior ecossistema de cibercrime da América Latina. O [[g1016-fin13|FIN13]] opera no país desde 2016 com foco exclusivo em instituições financeiras mexicanas e ataques ao sistema SPEI - o equivalente local ao PIX brasileiro. A campanha **Horabot** concentrou 93% das vítimas no México em 2023-2024. A posição geográfica fronteiriça com os EUA e a cadeia industrial manufatureira (automotiva, aeroespacial, eletrônica) tornam o país alvo de espionagem industrial de alto valor estratégico para atores estatais norte-americanos, chineses e russos. A ausência de legislação nacional de cibersegurança cria lacuna regulatória significativa. ## Visão Geral O México ocupa a segunda posição no ranking de países mais atacados da América Latina, reflexo direto de seu tamanho econômico (15ª maior economia mundial), da maior base industrial manufatureira da região e de um setor financeiro em rápida digitalização. A posição geográfica - fronteira estratégica entre América do Norte e LATAM - eleva o valor de inteligência sobre entidades mexicanas para múltiplos atores estatais. O grupo [[g1016-fin13|FIN13]] é o ator mais especializado no México: opera desde pelo menos 2016 com foco exclusivo em instituições financeiras mexicanas, tendo comprometido bancos, processadores de pagamento e operadoras de ATMs. Os ataques ao SPEI (Sistema de Pagamentos Eletrônicos Interbancários) em 2018 causaram perdas de USD 20 milhões e são comparáveis aos ataques ao Bangladesh Bank (Lazarus Group). A campanha [[horabot|Horabot]] (Cisco Talos, 2023-2024) concentrou 93% de suas vítimas no México, visando específicamente empresas de contabilidade, construção e serviços financeiros com um botnet PowerShell voltado ao roubo de credenciais de webmail corporativo. ## Panorama de Ameaças O México ocupa posição de destaque no cenário de ameaças da América Latina, sendo o segundo país mais atacado da região. Sua posição geográfica estratégica (fronteira EUA-LATAM), a maior indústria manufatureira da região e um setor financeiro em rápida digitalização tornam o país atrativo para múltiplos perfis de atores. A campanha [[horabot|Horabot]] (documentada pela Cisco Talos em 2023-2024) concentrou 93% de suas vítimas no México, com foco em empresas de contabilidade, construção, engenharia e finanças. O malware - um botnet baseado em PowerShell - visava específicamente webmails corporativos e aplicações de finanças online, exfiltrando credenciais e enviando spam para contatos da vítima. O [[financial|setor financeiro]] mexicano é alvo recorrente do grupo [[g1016-fin13|FIN13]], que opera no país desde pelo menos 2016 e realizou dezenas de intrusões em bancos e processadores de pagamento mexicanos, com foco em fraude em ATMs e transferências SPEI (sistema de pagamentos mexicano, análogo ao TED/PIX brasileiro). --- ## Distribuição de Ataques por Tipo ```mermaid pie title Incidentes Identificados - México (2024) "Ransomware" : 35 "Trojans Bancários / Botnets" : 25 "Phishing Corporativo" : 20 "Espionagem Industrial" : 10 "DDoS / Hacktivismo" : 7 "Outros" : 3 ``` --- ## Setores Mais Visados ### Financeiro O setor [[financial|financeiro]] mexicano é alvo histórico do [[g1016-fin13|FIN13]] - grupo especializado em México que combina TTPs de APT com motivação financeira. Ataques ao SPEI (Sistema de Pagamentos Eletrônicos Interbancários) em 2018 causaram perdas estimadas em USD 20 milhões e levaram o BANXICO a emitir alerta formal. ### Manufatura O setor manufatureiro - maior da América Latina, concentrado em estados como Nuevo León, Jálisco e Guanajuato - é alvo crescente de espionagem industrial e ransomware. A proximidade com cadeias de fornecimento norte-americanas (automobilística, aeroespacial, eletrônica) aumenta o interesse de atores de espionagem estatal. ### Governo e Energia O setor governamental e a Pemex (petroleira estatal) sofreram ataques de alto perfil. O ataque de ransomware DoppelPaymer à Pemex em 2019 foi um dos primeiros ataques confirmados contra infraestrutura de [[energy|energia]] da região. --- ## Campanha Horabot - Foco no México > [!warning] Campanha Ativa > Horabot permanece ativa em 2024-2025 com atualização de TTPs. Monitorar IOCs via feeds Talos. A campanha Horabot é notável pela concentração geográfica e sofisticação relativa: ```mermaid graph TB A["📧 Phishing em Espanhol<br/>Tema: Fatura / Documento Fiscal"] --> B["📦 Dropper HTML/ZIP<br/>Arquivo compactado com .exe"] B --> C["🤖 Horabot Botnet<br/>PowerShell-based C2"] C --> D["🌐 Roubo de Webmail<br/>Yahoo, Outlook, GMX"] D --> E["📤 Spam Lateral<br/>Envia phishing p/ contatos"] C --> F["💳 Banking Trojan<br/>Credenciais financeiras online"] F --> G["💰 Fraude Bancária<br/>Transferências SPEI / OXXO Pay"] style A fill:#1a1a2e,stroke:#e94560,color:#fff style G fill:#1a1a2e,stroke:#e94560,color:#fff ``` **Setores visados pela Horabot no México:** - Contabilidade e escritórios fiscais (acesso a dados financeiros de clientes) - Construção e engenharia (contratos e licitações governamentais) - Distribuidores de atacado - Serviços financeiros e corretoras --- ## Atores de Ameaça Ativos no México | Ator | Tipo | Motivação | Setores Alvo | | ---- | ---- | --------- | ------------ | | [[g1016-fin13\|FIN13]] | APT / Cybercrime | Financeiro | Financeiro, varejo | | [[g0099-blind-eagle-apt-c-36\|Blind Eagle]] | APT | Espionagem + financeiro | Governo, financeiro | | [[lockbit\|LockBit]] | Ransomware | Financeiro | Todos | | [[cl0p\|Cl0p]] | Ransomware | Financeiro | Manufatura, saúde | | [[g0102-conti-group\|Wizard Spider]] | Cybercrime | Financeiro | Financeiro, governo | --- ## Regulação e Maturidade O México possui a **LFPDPPP** (2010) como lei de proteção de dados - mais antiga que a [[lgpd|LGPD]] brasileira, mas com enforcement mais limitado. O **INAI** é a autoridade nacional de proteção de dados, mas carece de recursos para enforcement efetivo. Uma nova **Ley de Ciberseguridad** está em discussão no Congresso desde 2023. O BANXICO publicou em 2019 a **Circular 2019/R1** com requisitos específicos de cibersegurança para IFs após os ataques ao SPEI, alinhando-se ao modelo do [[bacen-4893|BACEN Res. 4893]] brasileiro. --- ## Referências - [CERT-MX / CERT-In - Reportes](https://www.gob.mx/cert) - [Cisco Talos - Horabot Campaign (2023)](https://blog.talosintelligence.com/) - [Mandiant - FIN13 México Financial Sector](https://www.mandiant.com/) - [BANXICO - Incidente SPEI 2018](https://www.banxico.org.mx/) --- ← Voltar para **[[_regions|Regiões]]** · **[[_market|Market Intelligence]]**