El aumento de los infostealers en México representa una amenaza crítica para gobiernos, sectores estratégicos y empresas

La creciente digitalización de las empresas ha abierto nuevas oportunidades que los cibercriminales aprovechan cada vez más. Esto ha generado una variedad de amenazas de ciberseguridad, incluyendo distintos tipos de malware como el ransomware, wiper, spyware, adware y troyanos. Una categoría en rápido auge es el malware de robo de información, conocido como “infostealer”, un software malicioso específicamente creado para extraer datos confidenciales.

A diferencia del ransomware, que toma la información como rehén, los ataques de robo de información se realizan de manera silenciosa y su aumento ha sido impulsado por la proliferación de dispositivos conectados y la facilidad para compartir datos en sitios de la Dark Web.

Los infostealers son un tipo de malware como servicio (MaaS) diseñado para extraer datos de dispositivos infectados, almacenándolos en archivos de registro que los atacantes comercializan y publican en la Dark Web. Como otros servicios de MaaS, este malware puede alquilarse a bajo costo en la Dark Web, facilitando la realización de ciberataques.

El modelo de malware como servicio (MaaS) ha disminuido las barreras de acceso, incrementando así el nivel de riesgo. Una vez instalado, este software recopila en secreto datos del dispositivo comprometido, incluyendo información de navegadores, correos electrónicos, redes sociales, cookies, billeteras de criptomonedas y aplicaciones de juegos.

Los infostealers se enfocan en recolectar una amplia variedad de datos personales, tales como nombres de usuario, contraseñas, fechas de nacimiento, direcciones, correos electrónicos, números de cuentas bancarias, información de tarjetas de crédito, números de teléfono, cookies e ID de sesión. Para dimensionar el problema, el número de credenciales en venta en la Dark Web a causa de estos ataques de robo de información creció un 271% entre 2023 y 2024, de acuerdo con datos de un análisis de la unidad de investigación de SILIKN.

La mayoría de los infostealers dependen de estrategias de engaño para lograr que el usuario los descargue e instale en su dispositivo. Suelen disfrazarse como versiones gratuitas de videojuegos o incluso como programas de antivirus. Los ciberdelincuentes emplean redes sociales, sitios web falsos y otras tácticas para persuadir a las víctimas de descargar y ejecutar el software. Al ejecutarlo, el malware extrae datos de carpetas del sistema que suelen almacenar información personal o de autenticación.

Estos archivos se transfieren a un servidor remoto y se organizan en registros de información personal de fácil lectura, que luego pueden venderse a otros ciberdelincuentes o aprovecharse para obtener un acceso más profundo y mantener el control sobre la computadora de la víctima. Dado que la mayoría de los dispositivos afectados son equipos personales, la exposición de grandes cantidades de datos altamente confidenciales representa un riesgo considerable para las organizaciones.

Las credenciales robadas, cookies y huellas del navegador permiten a los ciberdelincuentes secuestrar sesiones, evitar la autenticación multifactor, acceder a la red y obtener información empresarial sensible. Posteriormente, el malware envía estos datos al atacante, y en ocasiones los canaliza a través de plataformas de terceros, como servidores de Discord o Telegram, para mantener el anonimato.

En este sentido, la unidad de investigación de SILIKN revela que los infostealers representan una de las principales amenazas para las dependencias gubernamentales y son una preocupación cibernética destacada en los sectores financiero, comercio electrónico, salud, telecomunicaciones e industrial. Este aumento se debe a su facilidad de uso, bajo costo y al alto valor de la información comprometida, como credenciales en texto claro, datos de tarjetas de crédito y números de identificación.

El análisis también encontró que el 54.8% del malware comercializado como servicio en 2024 correspondió a infostealers. La disminución de las barreras de entrada permite que ciberdelincuentes con recursos técnicos o económicos limitados puedan implementar fácilmente este software para infiltrarse en redes. Además, estos atacantes recurren a mercados de datos robados para obtener registros de infostealers. Esta situación, combinada con el enfoque de muchas soluciones de ciberdefensa en amenazas exclusivamente internas, hace que numerosas organizaciones no detecten el riesgo hasta que es demasiado tarde.

Una vez que un ciberdelincuente adquiere un infostealer en la Dark Web o se suscribe a un modelo MaaS, su siguiente objetivo es infectar la mayor cantidad de dispositivos posible. Para lograrlo, emplea diversas tácticas, entre las cuales se incluyen:

- Incrustar el software en un documento y enviarlo como archivo adjunto en un correo electrónico de phishing que incita a las personas a abrirlo.

- La creación de un sitio de phishing que refleja el dominio o el logotipo de una organización confiable, junto con un diseño convincente, para engañar a las personas haciéndoles creer que es una aplicación legítima y, sin darse cuenta, que descarguen el infostealer.

- Agregar el código a una aplicación móvil, un navegador web o una extensión de navegador, y luego hacer que esté disponible para su descarga en tiendas de aplicaciones populares.

- Publicidad en Google Ads y Facebook Ads para engañar a más personas y que descarguen su malware. Esta táctica es tan efectiva que el FBI emitió una alerta advirtiendo contra ella.

- Promocionar enlaces de descarga en redes sociales y sitios de streaming como YouTube, con el pretexto de compartir copias gratuitas o complementos para videojuegos populares u otros tipos de software gratuito.

El riesgo de ciberataques no termina con el robo de información; la reutilización de contraseñas sigue siendo una práctica común. Un análisis de la unidad de investigación de SILIKN reveló que, en promedio, las personas reutilizan una sola contraseña hasta 18 veces. Si un empleado usa la misma contraseña para aplicaciones laborales y personales, y esa credencial es comprometida por un infostealer, los ciberdelincuentes intentarán usarla en todas las cuentas asociadas que puedan identificar. Dado que las organizaciones no pueden controlar las contraseñas utilizadas en cuentas personales, es crucial monitorear y evaluar proactivamente el compromiso de credenciales para mitigar los riesgos derivados de la reutilización de contraseñas.

Una vez que una máquina está infectada y los datos son extraídos, los ciberdelincuentes tienen varias maneras de monetizar la información robada, ya sea utilizando los datos para cometer fraudes o vendiéndolos en la Dark Web a otros criminales. Los datos a menudo se agrupan y venden como registros completos de cada dispositivo comprometido. Entre las formas de explotación se incluyen la compra de bienes con tarjetas de crédito robadas, la apertura de nuevas tarjetas utilizando información personal expuesta o la obtención de préstamos a nombre de la víctima.

Además, estos datos pueden usarse para mejorar las campañas de phishing y ingeniería social, haciéndolas más creíbles. Dado que gran parte de los datos obtenidos en estos ataques terminan en la Dark Web, monitorear esta y otras fuentes de la Deep Web es esencial como defensa. Para combatir eficazmente la amenaza, las empresas deben implementar soluciones que escaneen continuamente la Dark Web en busca de credenciales comprometidas y alerten a la organización cuando se expongan datos sensibles. Con este enfoque, si se detecta una exposición, se pueden proteger las cuentas y forzar un restablecimiento de contraseñas, evitando daños mayores por la explotación de los datos robados. La detección temprana es clave para prevenir vulneraciones más graves.

Entre los infostealers más peligrosos cuya actividad se ha registrado cada vez con mayor frecuencia en México se encuentran:

- Remcos es un RAT (troyano de acceso remoto) que se detectó por primera vez en 2016. Este malware se distribuye mediante documentos maliciosos de Microsoft Office adjuntos a correos electrónicos de tipo SPAM y está diseñado para eludir la seguridad UAC (Control de Cuentas de Usuario) de Windows, lo que permite ejecutar malware con privilegios elevados.

- AgentTesla es un RAT avanzado que actúa como keylogger y ladrón de información, diseñado para monitorear y recolectar las pulsaciones del teclado de la víctima, registrar actividades en el sistema, capturar pantallas y exfiltrar credenciales de diversos programas instalados en el dispositivo de la víctima, como Google Chrome, Mozilla Firefox y Microsoft Outlook.

- Lumma Stealer, también conocido como LummaC2, es un malware de robo de información originario de Rusia que opera como una plataforma de Malware-as-a-Service (MaaS) desde el año 2022. Al igual que otros ladrones de información, LummaC2 está diseñado para recopilar diversos datos de los sistemas infectados, incluyendo credenciales de navegador y detalles de cuentas de criptomonedas.

- Androxgh0st es una botnet que afecta a sistemas Windows, Mac y Linux, aprovechando vulnerabilidades en PHPUnit, Laravel Framework y Apache Web Server para robar información sensible.

- FakeUpdates, también conocido como SocGholish, es un programa malicioso escrito en JavaScript que descarga e instala cargas útiles en el disco antes de ejecutarlas. Este malware ha sido responsable de numerosos ataques, facilitando la propagación de otros programas maliciosos como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult.

- AsyncRat es un troyano dirigido a la plataforma Windows que recopila y envía información del sistema comprometido a un servidor remoto. Recibe órdenes desde dicho servidor para descargar y ejecutar complementos, eliminar procesos, desinstalarse o actualizarse, y tomar capturas de pantalla del sistema infectado.

- Vidar es un malware de robo de información que funciona bajo el modelo de Malware-as-a-Service y fue detectado por primera vez a finales de 2018. Este malware, que se ejecuta en sistemas Windows, tiene la capacidad de recopilar una amplia variedad de datos sensibles, incluidos los almacenados en navegadores y billeteras digitales.

- NJRat es un troyano de acceso remoto que se dirige principalmente a agencias y organizaciones gubernamentales en Oriente Medio. Este malware infecta a sus víctimas mediante ataques de phishing y descargas automáticas, y se propaga a través de memorias USB infectadas o unidades en red, todo ello gestionado por un software de servidor Command & Control.

- Glupteba, identificado por primera vez en 2011, comenzó como una puerta trasera que con el tiempo evolucionó hasta convertirse en una botnet. En 2019, incorporó un mecanismo para actualizar direcciones de Command & Control (C&C) utilizando listas públicas de Bitcoin, además de contar con capacidades avanzadas de robo de datos de navegadores y explotación de enrutadores.

- Formbook es un malware que se ofrece como Malware-as-a-Service. Su objetivo principal es robar credenciales, capturar pantallas y descargar y ejecutar archivos de acuerdo con las instrucciones de su servidor de comando y control.

El crecimiento de los sofisticados ladrones de información resalta una realidad en aumento: los ciberdelincuentes están perfeccionando sus técnicas y utilizando nuevos vectores de ataque. Las organizaciones deben superar las defensas tradicionales y adoptar estrategias de seguridad proactivas y adaptativas que permitan anticipar y abordar de manera efectiva las amenazas emergentes, enfrentando así estos desafíos persistentes.

* Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker | Líder del Capítulo Querétaro de OWASP.

Twitter: https://twitter.com/silikn

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599