En una era en la que las identidades digitales son la llave de nuestro reino, una epidemia silenciosa se extiende por el panorama cibernético. Los infostealers, malware sofisticado malware para recopilar credenciales, han robado 1800 millones de credenciales de 5,8 millones de dispositivos solo en 2025, lo que supone un aumento del 800 % con respecto a años anteriores. Esta asombrosa magnitud del robo de credenciales es ahora la causa del 86 % de todas las violaciones de seguridad, lo que cambia radicalmente la forma en que las organizaciones deben abordar la seguridad.
La gravedad de esta amenaza se hizo innegable en octubre de 2025, cuando 183 millones de credenciales de Gmail inundaron los mercados clandestinos, vendiéndose por tan solo 10 dólares por cuenta. Aunque no se trataba de una brecha en los sistemas de Google, esta filtración masiva demostró cómo las infecciones de los puntos finales se traducen en desastres de seguridad a escala empresarial. Para los profesionales de la seguridad que defienden entornos cada vez más complejos, comprender los infostealers no es opcional, sino esencial para la supervivencia de la organización.
Los infostealers son una categoría especializada de malware para extraer silenciosamente información confidencial de los sistemas infectados, centrándose especialmente en credenciales de autenticación, tokens de sesión y datos personales. Estos programas maliciosos operan de forma sigilosa en segundo plano, recopilando contraseñas almacenadas en navegadores, claves de monederos de criptomonedas, información del sistema y cookies de sesión activas que eluden la autenticación multifactorial. A diferencia del ransomware, que anuncia su presencia mediante el cifrado, los infostealers permanecen ocultos mientras saquean sistemáticamente las identidades digitales.
La sofisticación de los modernos ladrones de información va mucho más allá del simple robo de contraseñas. Estas herramientas extraen perfiles digitales completos que incluyen historiales de navegación, datos de autocompletar, capturas de pantalla y configuraciones del sistema. Operando bajo un modelo Malware(MaaS), los delincuentes pueden alquilar el acceso a plataformas avanzadas de infostealers por tan solo 200 dólares al mes, lo que elimina las barreras técnicas de entrada. Esta democratización de las herramientas de ciberdelincuencia ha transformado el robo de credenciales de una habilidad especializada a un servicio básico.
El modelo de negocio que hay detrás de los ladrones de información revela por qué se han convertido en el arma preferida de los ciberdelincuentes. Las credenciales robadas circulan por una sofisticada economía sumergida en la que los Initial Access Brokers (IAB) compran, empaquetan y revenden el acceso a cuentas comprometidas. Una sola credencial corporativa puede alcanzar un valor de miles de dólares cuando proporciona acceso a redes valiosas. Este incentivo económico impulsa la innovación continua en técnicas de evasión y estrategias de selección de objetivos.
Las cifras pintan un panorama preocupante sobre la proliferación de los ladrones de información. Las investigaciones muestran que en 2025 se robarán 1800 millones de credenciales de 5,8 millones de dispositivos, y que el coste medio de las violaciones de seguridad ascenderá a 4,44 millones de dólares a nivel mundial, alcanzando los 10,22 millones de dólares en Estados Unidos. El análisis geográfico muestra una concentración de infecciones en la India (10 %) y Brasil (8 %), aunque ninguna región se libra.
Las iniciativas policiales como la Operación Endgame han desarticulado importantes infraestructuras, incautando más de 1025 servidores y deteniendo a operadores clave. Sin embargo, por cada desmantelamiento, surgen nuevas variantes. La resiliencia de este ecosistema se deriva de su naturaleza descentralizada y de la baja barrera de entrada que ofrecen las plataformas MaaS. Las organizaciones que implementan soluciones de detección y respuesta a amenazas de identidad (ITDR) informan de una mejora significativa en las tasas de detección, aunque la brecha entre la infección y el descubrimiento sigue siendo de 4 días de media.
El cambio hacia Zero Trust refleja el reconocimiento por parte del sector de que el robo de credenciales es inevitable. En lugar de basarse únicamente en la prevención, las estrategias de seguridad modernas asumen el compromiso y se centran en limitar el alcance del impacto de las credenciales robadas mediante la verificación continua y modelos de acceso con privilegios mínimos.
Comprender los mecanismos técnicos de los infostealers revela por qué las medidas de seguridad tradicionales suelen fallar. Estas sofisticadas herramientas emplean múltiples métodos de extracción, técnicas avanzadas de evasión y una infraestructura de comando y control resistente para mantener un acceso persistente a los flujos de datos de las víctimas.
La cadena de infección suele comenzar con ingeniería social, aprovechando la psicología humana en lugar de vulnerabilidades técnicas. Phishing que envían archivos adjuntos maliciosos siguen siendo el vector principal, aunque la publicidad maliciosa y las descargas de software comprometido han aumentado un 700 % gracias a iniciativas como la campaña ClickFix. Una vez ejecutados, los infostealers comienzan inmediatamente a recopilar las credenciales almacenadas en los navegadores, clientes de correo electrónico y gestores de contraseñas, al tiempo que establecen comunicación con la infraestructura del atacante.
Los infostealers modernos emplean sofisticadas técnicas de evasión que les permiten eludir los controles de seguridad. Utilizan el proceso de «hollowing» para ocultarse dentro de aplicaciones legítimas, emplean trucos anti-análisis para detectar máquinas virtuales y aprovechan técnicas sin archivos que operan íntegramente en la memoria. El protocolo de comando y control basado en JSON de StealC V2 ejemplifica esta evolución, ajustando dinámicamente su comportamiento en función del entorno objetivo y manteniendo canales de comunicación cifrados resistentes a la supervisión de la red.
El proceso de extracción sigue una secuencia metódica:
El modelo MaaS ha transformado los infostealers de herramientas personalizadas a productos comerciales. Por 200 dólares al mes, los delincuentes obtienen acceso a sofisticadas plataformas que incluyen malware personalizables, alojamiento a prueba de balas, gestión automatizada de campañas y paneles de estadísticas en tiempo real. Este modelo de suscripción proporciona actualizaciones continuas, lo que garantiza que malware por delante de las firmas de detección.
Los operadores de plataformas se encargan de la complejidad técnica, mientras que los «clientes» se centran en la distribución. Características como la arquitectura modular permiten a los atacantes seleccionar capacidades específicas, lo que reduce el tamaño de los archivos y los perfiles de detección. El lanzamiento de Acreed en 2025 ejemplifica esta tendencia, ya que ofrece módulos personalizables para el robo de navegadores, el robo de criptomonedas y la recopilación de credenciales corporativas. El competitivo mercado impulsa la innovación, y los proveedores compiten por añadir características como capturas de pantalla multimonitor y capacidades antianálisis mejoradas.
La eficiencia económica de las plataformas MaaS explica su crecimiento explosivo. Si comparamos el coste mensual de 200 dólares con los posibles beneficios de miles de dólares por cada cuenta corporativa comprometida, el retorno de la inversión queda claro. Esta accesibilidad ha ampliado el abanico de actores maliciosos, pasando de grupos sofisticados a delincuentes oportunistas, lo que multiplica la superficie de ataque que las organizaciones deben defender.
Las estrategias de distribución han evolucionado más allá de los archivos adjuntos tradicionales de correo electrónico. La campaña ClickFix muestra una sofisticada ingeniería social, mostrando mensajes de error falsos que incitan a los usuarios a «solucionar» problemas ejecutando comandos maliciosos de PowerShell. Estas campañas aprovechan contextos de confianza (avisos de actualización de software, notificaciones del navegador y alertas del sistema) para eludir el escepticismo de los usuarios.
Los ataques a la cadena de suministro representan un vector emergente, en el que los atacantes comprometen software legítimo para distribuir infostealers. El incidente Snowflake, en el que participaron seis cepas diferentes de infostealers, comprometió 165 entornos a través de herramientas de terceros infectadas. El envenenamiento de la optimización de motores de búsqueda (SEO) dirige el tráfico a sitios maliciosos que alojan cracks de software falsos y modificaciones de juegos, dirigidos especialmente a los grupos demográficos más jóvenes, menos conscientes de los riesgos de seguridad.
Las campañas de publicidad maliciosa compran espacios publicitarios legítimos para distribuir programas de robo de información, aprovechando plataformas de confianza para llegar a las víctimas. Estos anuncios suelen suplantar la identidad de programas populares, lo que lleva a páginas de descarga convincentes que alojan cargas maliciosas. La segmentación geográfica y demográfica garantiza que las campañas lleguen a objetivos valiosos: profesionales de las finanzas durante la temporada de impuestos, jugadores durante los lanzamientos importantes o estudiantes durante los periodos de exámenes.
El panorama de los infostealers presenta diversas variantes, cada una con capacidades y perfiles de objetivos únicos. Comprender estas diferencias ayuda a los equipos de seguridad a priorizar las estrategias de detección y asignar los recursos defensivos de manera eficaz.
El mercado ha experimentado importantes perturbaciones en 2025, con operaciones policiales que han desmantelado a los actores establecidos, mientras que nuevas variantes llenan rápidamente el vacío. Esta constante evolución supone un reto para los equipos de seguridad, que deben mantener la inteligencia sobre amenazas actualizada y prepararse al mismo tiempo para las amenazas emergentes. Malware revela patrones comunes entre las variantes, aunque cada familia mantiene características distintivas que requieren enfoques de detección personalizados.
La competencia impulsa la innovación, y los desarrolladores compiten por añadir funciones que diferencien sus productos. Las actualizaciones incluyen regularmente técnicas de evasión avanzadas, aplicaciones objetivo ampliadas y métodos mejorados de exfiltración de datos. Las plataformas de inteligencia sobre amenazas realizan un seguimiento de estos avances y proporcionan a los equipos de seguridad indicadores de compromiso y patrones de comportamiento esenciales para la detección.
Lumma Stealer domina el mercado con 1200 búsquedas mensuales, lo que refleja su amplia adopción entre los ciberdelincuentes. Esta variante ha experimentado un aumento del 369 % en las detecciones, a pesar de que Microsoft y Cloudflare confiscaron 2300 dominios asociados en mayo de 2025. Su resistencia se debe a una infraestructura distribuida y a su rápida adaptación a las medidas policiales.
El análisis técnico revela las sofisticadas capacidades de Lumma, incluida la extracción avanzada de navegadores dirigida a los almacenes de contraseñas de Chrome, Firefox y Edge. El malware múltiples técnicas antianálisis, detectando máquinas virtuales y entornos sandbox para evadir el análisis automatizado. Su arquitectura modular permite a los operadores personalizar las cargas útiles, añadiendo o eliminando funciones en función de los perfiles de los objetivos. La comunicación se produce a través de canales cifrados que utilizan algoritmos de generación de dominios (DGA) que complican los esfuerzos de eliminación.
El éxito de Lumma refleja su equilibrio entre sofisticación y facilidad de uso. El panel de gestión proporciona estadísticas en tiempo real, análisis automatizado de registros y herramientas de monetización integradas. Los operadores pueden filtrar las credenciales robadas por valor, identificando automáticamente los objetivos de alto valor, como cuentas corporativas o carteras de criptomonedas. Esta eficiencia ha convertido a Lumma en la opción preferida tanto para grupos sofisticados como para delincuentes novatos.
En 2025 han surgido tres nuevas variantes que suponen una amenaza significativa, cada una de las cuales aporta capacidades únicas al ecosistema de los ladrones de información:
Acreed Stealer se lanzó a principios de 2025 con un diseño modular que permite seleccionar funciones personalizadas. Con un precio competitivo de 200 dólares al mes, Acreed se centra en las credenciales de los navegadores, las carteras de criptomonedas y la información del sistema. Su arquitectura hace hincapié en el sigilo, utilizando procesos legítimos de Windows para la inyección y evitando los patrones de detección habituales. La distribución se realiza principalmente a través de campañas phishing malvertising dirigidas a usuarios empresariales.
StealC V2 (Monster V2) lanzó la versión 2.2.4 en noviembre de 2025, incorporando las lecciones aprendidas de las operaciones policiales. La suscripción mensual de 200 dólares incluye protocolos de comando y control basados en JSON para mejorar la evasión, capacidades de captura de pantalla en múltiples monitores para capturar información confidencial y extracción mejorada de datos del navegador, incluidos los archivos de restauración de sesión. Las técnicas antianálisis de StealC V2 detectan y evaden las soluciones EDR modernas, lo que contribuye a la tasa de elusión del 66 % observada en los infostealers.
Nexus Stealer ha ganado rápidamente cuota de mercado tras la irrupción de RedLine, centrándose en la recopilación avanzada de credenciales y el robo de tokens de sesión. Entre sus capacidades se incluyen el ataque a bases de datos de gestores de contraseñas, la extracción de códigos de respaldo de autenticación de dos factores y el sofisticado robo de cookies eludiendo el aislamiento de sitios. Nexus representa la próxima generación de infostealers, incorporando el aprendizaje automático para la priorización de objetivos y la explotación automatizada de credenciales robadas.
Los incidentes reales demuestran cómo los ladrones de información se traducen en desastres organizativos. Estos casos revelan los patrones de ataque, la magnitud del impacto y las fallas en cadena que se producen tras el compromiso de las credenciales.
La filtración de 183 millones de credenciales de Gmail en octubre de 2025 ejemplifica la enorme magnitud del robo de credenciales en la actualidad. Recopilados a través de Synthient Stealer y otras variantes, este conjunto de datos de 400 GB inundó los mercados clandestinos, lo que provocó que los precios de las credenciales alcanzaran mínimos históricos de 10 dólares por cuenta. La respuesta de Google, que consistió en restablecer masivamente las contraseñas y mejorar la supervisión, puso de manifiesto la naturaleza reactiva de las defensas actuales frente a los atacantes proactivos.
El compromiso de la cadena de suministro de Snowflake demostró cómo los infostealers permiten ataques complejos y de múltiples etapas. Seis cepas diferentes de infostealers comprometieron las máquinas de los desarrolladores, robando credenciales que luego se utilizaron para acceder a 165 entornos de clientes. El ataque eludió los límites de seguridad tradicionales, aprovechando las relaciones de confianza entre proveedores y clientes. Este incidente obligó a toda la industria a reevaluar las prácticas cloud , en particular en lo que respecta a la gestión del acceso de terceros.
La operación Endgame, llevada a cabo en noviembre de 2025, reveló la infraestructura que respaldaba las operaciones de robo de información. La incautación de más de 1025 servidores y 20 dominios interrumpió el acceso a más de 100 000 carteras de criptomonedas comprometidas. Sin embargo, en cuestión de días surgió una nueva infraestructura, lo que demostró la resistencia del ecosistema de los ladrones de información. El juego del gato y el ratón entre las fuerzas del orden y los operadores continúa, y cada desmantelamiento proporciona un alivio temporal antes de que las variantes se adapten y resurjan.
Los ladrones de información son la primera etapa de muchos ataques de ransomware, y las credenciales robadas se venden a grupos especializados para su explotación. La campaña de ransomware HellCat ejemplificó este proceso, utilizando credenciales de JIRA obtenidas de registros de ladrones para obtener acceso inicial. Una vez dentro, los atacantes escalaron privilegios, se movieron lateralmente y desplegaron ransomware, causando millones en daños.
Los intermediarios de acceso inicial (IAB) facilitan este ecosistema, comprando credenciales a operadores de robo de información y revendiendo el acceso a grupos de ransomware. Los precios varían en función del valor del objetivo: una credencial de una empresa de la lista Fortune 500 puede alcanzar los 50 000 dólares, mientras que el acceso a una pequeña empresa se vende por cientos de dólares. Esta especialización permite a cada grupo centrarse en su ámbito de especialización: robar credenciales, intermediar en el acceso o ejecutar ataques de ransomware.
El tiempo transcurrido entre el robo de credenciales y el despliegue del ransomware es, por término medio, de entre 4 y 7 días, aunque los grupos más sofisticados pueden actuar con mayor rapidez. Este intervalo representa el periodo crítico para la detección y la respuesta. Las organizaciones que detectan y responden al robo de credenciales en cuestión de horas pueden evitar que la situación se agrave, mientras que aquellas que tardan días se enfrentan a un compromiso inevitable. El tiempo medio de detección de 4 días significa que la mayoría de las organizaciones descubren las infecciones después de que los atacantes ya hayan monetizado los datos robados.
Una defensa eficaz contra los ladrones de información requiere estrategias por capas que combinen controles técnicos, mejoras en los procesos y formación de los usuarios. La tasa de elusión de la detección en los puntos finales del 66 % demuestra por qué las organizaciones no pueden confiar en capas de seguridad únicas.
Las estrategias de detección deben tener en cuenta la naturaleza sigilosa y las capacidades polimórficas de los infostealers. Las variantes modernas emplean sofisticadas técnicas de evasión, como el vaciado de procesos, tácticas de «vivir de la tierra» y comunicaciones cifradas. El análisis del comportamiento ofrece una detección más fiable que los enfoques basados en firmas, ya que se centra en patrones de actividad anómalos en lugar de en malware específicas malware . El análisis forense de la memoria puede revelar la presencia de infostealers que operan íntegramente en la RAM, mientras que las soluciones de detección y respuesta de red (NDR) identifican patrones sospechosos de exfiltración de datos.
La prevención requiere abordar tanto las vulnerabilidades técnicas como los factores humanos. Si bien los controles tecnológicos proporcionan una protección esencial, el comportamiento de los usuarios sigue siendo el principal vector de infección. Las organizaciones deben equilibrar los requisitos de seguridad con la usabilidad, asegurándose de que las medidas de protección no obstaculicen la productividad. La rápida evolución de las técnicas de robo de información significa que las defensas de ayer pueden fallar frente a las amenazas de hoy, lo que requiere una adaptación y mejora continuas.
Los métodos de detección eficaces incluyen:
Las soluciones de detección y respuesta en los puntos finales (EDR) se enfrentan a importantes retos a la hora de detectar los infostealers modernos. La tasa de elusión del 66 % refleja las sofisticadas técnicas de evasión diseñadas específicamente para burlar la seguridad de los puntos finales. Los infostealers utilizan API legítimas de Windows para extraer credenciales, lo que hace que su comportamiento parezca normal para las soluciones EDR. Operan brevemente, extrayendo datos y terminando antes de que los algoritmos de detección marquen la actividad sospechosa.
Las variantes modernas emplean múltiples técnicas anti-EDR, incluyendo llamadas directas al sistema que evitan los ganchos API, la inyección de procesos en aplicaciones de confianza y operaciones a nivel del núcleo que evitan la supervisión en modo usuario. Detectan entornos de virtualización y sandbox, permaneciendo inactivas cuando se someten a análisis. Algunas variantes se dirigen específicamente a los procesos EDR, intentando desactivar o corromper las herramientas de seguridad antes de comenzar la extracción de credenciales.
La solución no es abandonar el EDR, sino complementarlo con tecnologías adicionales. Las soluciones de detección y respuesta ante amenazas de identidad (ITDR) se centran en las anomalías basadas en la identidad, en lugar de en los comportamientos de los terminales. La detección de red identifica la filtración de datos independientemente de la evasión de los terminales. Las tecnologías de engaño crean credenciales falsas que activan alertas cuando se accede a ellas. Este enfoque de defensa en profundidad aborda las limitaciones del EDR al tiempo que mantiene la visibilidad de los terminales.
La rapidez es clave para responder bien a las infecciones de infostealer. El acuerdo de nivel de servicio (SLA) de 4 horas para restablecer las credenciales es lo mejor, pero para lograrlo hay que estar preparado y automatizar las cosas. Cada hora de retraso aumenta la probabilidad de que se moneticen las credenciales y haya ataques secundarios.
Las medidas de respuesta inmediata deben centrarse en la contención y la invalidación de credenciales. Esto incluye aislar los sistemas infectados del acceso a la red, restablecer todas las contraseñas que puedan estar comprometidas, revocar las sesiones activas y los tokens de autenticación, y revisar los registros de acceso en busca de autenticaciones sospechosas. Las organizaciones deben notificar a los usuarios y socios afectados, al tiempo que conservan las pruebas forenses para la investigación. La implementación temporal de factores de autenticación adicionales y la supervisión de los intentos de reutilización de credenciales ayudan a evitar nuevos compromisos.
La recuperación va más allá de la reparación técnica e incluye mejoras en los procesos y la formación de los usuarios. Las organizaciones deben analizar los vectores de infección para evitar que se repitan, actualizar los controles de seguridad basándose en las lecciones aprendidas y mejorar la supervisión de patrones de ataque similares. La formación de los usuarios debe abordar tácticas específicas de ingeniería social utilizadas, mientras que los equipos de seguridad deben revisar los procedimientos de respuesta a incidentes basándose en la experiencia. La supervisión de la web oscura en busca de credenciales filtradas y las evaluaciones de seguridad periódicas ayudan a identificar los riesgos actuales.
Los marcos normativos reconocen cada vez más el robo de credenciales como un problema crítico de cumplimiento normativo. Las organizaciones se enfrentan a una presión cada vez mayor para implementar controles exhaustivos que protejan los sistemas de autenticación y las identidades de los usuarios.
MITRE ATT&CK mapea los comportamientos de los ladrones de información a través de múltiples técnicas, incluyendo T1003 (Descarga de credenciales del sistema operativo), T1555 (Credenciales de almacenes de contraseñas), T1539 (Robo de cookies de sesión web), T1056 (Captura de entradas) y T1005 (Datos del sistema local). Este mapeo permite a las organizaciones alinear sus estrategias defensivas con patrones de amenazas reconocidos. Los marcos de cumplimiento hacen referencia a estas técnicas a la hora de definir los requisitos de seguridad.
El Marco de Ciberseguridad 2.0 del NIST aborda las amenazas de robo de información mediante múltiples familias de controles. PR.AC (Gestión de identidades y control de acceso) requiere una autenticación sólida y la protección de las credenciales. DE.CM (Supervisión continua de la seguridad) exige capacidades de detección del robo de credenciales. RS.AN (Análisis) requiere procedimientos de investigación para los casos de sospecha de compromiso. Estos controles constituyen la base del cumplimiento normativo en todos los sectores.
La directiva NIS2 de la UE, que entrará en vigor en octubre de 2024, aborda específicamente las violaciones de credenciales. Las organizaciones deben informar de los incidentes significativos en un plazo de 24 horas, y presentar informes detallados en un plazo de 72 horas. El robo de credenciales que afecte a servicios críticos da lugar a notificaciones obligatorias a las autoridades nacionales. Las sanciones por incumplimiento alcanzan el 2 % de la facturación anual global, lo que pone de relieve los riesgos financieros que entrañan los controles inadecuados.
El sector de la seguridad ha evolucionado más allá de las defensas perimetrales tradicionales, reconociendo que el robo de credenciales requiere estrategias centradas en la identidad. Los enfoques modernos asumen la posibilidad de una brecha y se centran en limitar el impacto mediante cambios arquitectónicos y tecnologías emergentes.
Zero Trust cambia radicalmente la forma en que las organizaciones abordan la seguridad de las credenciales. En lugar de confiar implícitamente en los usuarios autenticados, Zero Trust verifica Zero Trust la identidad y la autorización. Este enfoque limita el valor de las credenciales robadas al exigir una verificación adicional para las acciones sensibles. La microsegmentación contiene las brechas de seguridad, impidiendo el movimiento lateral incluso con credenciales válidas. El principio del mínimo privilegio garantiza que las cuentas comprometidas solo accedan a los recursos necesarios.
La supervisión automatizada de la web oscura se ha convertido en algo esencial para una defensa proactiva. Los servicios escanean continuamente los mercados clandestinos en busca de credenciales organizativas, lo que permite alertar de forma temprana sobre posibles vulnerabilidades. La integración con los sistemas de gestión de identidades permite una respuesta automática cuando las credenciales aparecen en línea. Los algoritmos de aprendizaje automático identifican patrones que sugieren ataques dirigidos, mientras que las fuentes de inteligencia sobre amenazas proporcionan contexto sobre las campañas emergentes. Esta postura proactiva hace que las organizaciones pasen de una postura de seguridad reactiva a una predictiva.
Las credenciales de sesión vinculadas al dispositivo (DBSC) representan la próxima evolución en seguridad de autenticación. Esta tecnología emergente vincula criptográficamente los tokens de sesión a dispositivos específicos, lo que evita los ataques de repetición incluso si se roban las cookies. Las primeras implementaciones muestran resultados prometedores, aunque su adopción generalizada depende del soporte de los navegadores y las aplicaciones. Las claves de acceso FIDO2, ahora compatibles con el 93 % de las cuentas de usuario, proporcionan protección inmediata a través de una autenticación phishing que los ladrones de información no pueden comprometer.
Vectra AI la detección de infostealers desde una perspectiva centrada en la identidad, combinando señales de red e identidad para identificar los intentos de robo de credenciales antes de que se produzca la filtración. En lugar de basarse en malware que rápidamente quedan obsoletas, Attack Signal Intelligence™ se centra en las anomalías de comportamiento que indican un compromiso. Esta metodología detecta variantes desconocidas y zero-day identificando los comportamientos consistentes que todos los infostealers deben exhibir: acceder a almacenes de credenciales, establecer canales de comando y filtrar datos. Al correlacionar las anomalías de identidad con los patrones de red, los equipos de seguridad obtienen visibilidad de los ataques que eluden la protección tradicional de los puntos finales.
El panorama de la ciberseguridad sigue evolucionando rápidamente, con los ladrones de información a la vanguardia de los nuevos retos. Durante los próximos 12-24 meses, las organizaciones deben prepararse para varios avances clave que transformarán la forma en que nos defendemos contra el robo de credenciales.
La inteligencia artificial está transformando tanto las capacidades de ataque como las de defensa. Los atacantes aprovechan la IA para crear phishing convincentes, identificar automáticamente objetivos de gran valor en conjuntos de datos robados y desarrollar malware polimórfico malware se adapta a las medidas defensivas. Los defensores contrarrestan con análisis de comportamiento basados en IA, búsqueda automatizada de amenazas y modelos predictivos que identifican posibles objetivos. Esta carrera armamentística de la IA se acelerará hasta 2026, y las ventajas se desplazarán entre atacantes y defensores a medida que las tecnologías maduren.
La computación cuántica supone una amenaza a largo plazo para los métodos de cifrado actuales que protegen las credenciales almacenadas. Aunque aún faltan años para que los ordenadores cuánticos sean una realidad, las organizaciones deben empezar a prepararse para los ataques de «recoger ahora, descifrar después», en los que los adversarios roban datos cifrados para descifrarlos en el futuro. Las normas de criptografía poscuántica, finalizadas por el NIST en 2024, requieren su implementación en todos los sistemas de autenticación. Las organizaciones deben hacer un inventario de las dependencias criptográficas y desarrollar planes de migración para algoritmos resistentes a la computación cuántica.
La presión regulatoria se intensificará tras las infracciones de alto perfil atribuidas al robo de credenciales. La directiva NIS2 de la UE sienta precedentes que probablemente seguirán otras regiones, con notificaciones obligatorias de infracciones y sanciones sustanciales por controles inadecuados. La legislación federal estadounidense propuesta en materia de privacidad incluye disposiciones que abordan específicamente la protección de credenciales y la verificación de identidad. Las organizaciones que operan a nivel internacional se enfrentan a un complejo mosaico de requisitos que requieren programas integrales de seguridad de la identidad.
Las prioridades de inversión para los próximos 24 meses deben centrarse en tres áreas fundamentales. En primer lugar, las organizaciones deben acelerar la adopción de claves maestras, con el objetivo de alcanzar una cobertura del 100 % para las cuentas privilegiadas en el segundo trimestre de 2026. En segundo lugar, la implementación de ITDR debe ampliarse más allá de los programas piloto para abarcar la implementación en producción de todos los almacenes de identidades. En tercer lugar, Zero Trust deben pasar de ser marcos conceptuales a arquitecturas operativas con verificación continua y microsegmentación.
La convergencia de los entornos de TI y OT crea nuevas superficies de ataque para los ladrones de información. Los sistemas de control industrial se conectan cada vez más a las redes corporativas, lo que expone la tecnología operativa a riesgos de robo de credenciales. Las credenciales comprometidas de un ingeniero podrían proporcionar acceso a infraestructuras críticas, creando escenarios de amenazas internas con potencial de daños físicos más allá del robo de datos. Las organizaciones deben ampliar los programas de seguridad de identidad para abarcar los entornos OT, implementando controles especializados para los sistemas industriales.
La epidemia de infostealers representa un cambio fundamental en el panorama de la ciberseguridad, donde las defensas perimetrales tradicionales y la protección de los puntos finales resultan insuficientes frente a los ataques centrados en las credenciales. Con 1800 millones de credenciales robadas solo en 2025 y un 86 % de las infracciones relacionadas con el robo de credenciales, las organizaciones ya no pueden tratar la seguridad de la identidad como algo secundario a la protección de la red. La aparición de variantes sofisticadas como Lumma, Acreed y StealC V2, disponibles por solo 200 dólares al mes, ha democratizado las capacidades de ataque avanzadas, mientras que la tasa de elusión de EDR del 66 % pone de manifiesto las graves deficiencias de las defensas actuales.
Para combatir con éxito a los ladrones de información, es necesario adoptar estrategias de seguridad centradas en la identidad que asuman el compromiso en lugar de la prevención perfecta. Las organizaciones deben acelerar la adopción de claves de acceso FIDO2, que ahora son compatibles con el 93 % de las cuentas, al tiempo que implementan soluciones ITDR que detectan los intentos de robo de credenciales independientemente de malware . El plazo de respuesta de 4 horas para restablecer las credenciales, aunque supone un reto frente a la media actual de detección de 4 días, representa la diferencia fundamental entre incidentes contenidos y violaciones catastróficas. Zero Trust , que verifican continuamente la identidad y limitan el alcance de las credenciales, proporcionan defensas arquitectónicas esenciales.
De cara al futuro, la convergencia de los ataques mejorados por la IA, las amenazas de la computación cuántica y los requisitos normativos remodelará la forma en que las organizaciones abordan la seguridad de las credenciales. Los próximos 12-24 meses serán críticos, ya que las organizaciones se apresuran a implementar claves de acceso, desplegar plataformas ITDR y poner en marcha Zero Trust los actores maliciosos aprovechen las tecnologías emergentes. Los responsables de seguridad deben pasar de respuestas reactivas a estrategias proactivas, tratando la identidad como el nuevo perímetro y preparándose para un entorno en el que cada credencial representa un vector de brecha potencial.
Actúe hoy mismo evaluando la superficie de ataque de las credenciales de su organización y explorando cómo los enfoques modernos centrados en la identidad pueden reforzar su defensa contra la amenaza en constante evolución de los ladrones de información.
Los infostealers se diferencian fundamentalmente de otras malware en sus objetivos y métodos operativos. Mientras que el ransomware anuncia su presencia mediante el cifrado de archivos y las demandas de rescate, los infostealers operan de forma silenciosa, evitando ser detectados mientras extraen datos valiosos. A diferencia de los troyanos de acceso remoto (RAT), que mantienen un acceso persistente a través de una puerta trasera para el control manual, los infostealers automatizan el proceso de extracción y, por lo general, se autodestruyen tras completar su misión.
La naturaleza no persistente de los infostealers hace que sean especialmente difíciles de detectar y remediar. No requieren una comunicación continua de comando y control como las botnets, sino que realizan operaciones rápidas de «golpear y huir». Su objetivo específico —el robo de credenciales y datos— les lleva a evitar modificaciones del sistema que puedan activar alertas de seguridad. Este enfoque quirúrgico, combinado con sofisticadas técnicas de evasión, explica por qué el 66 % logra eludir la protección tradicional de los endpoints. El modelo de negocio también difiere, ya que los infostealers se venden como servicios en lugar de herramientas, lo que reduce las barreras de entrada para los ciberdelincuentes.
El software antivirus tradicional tiene limitaciones importantes para detectar los infostealers modernos, y hay estudios que muestran que el 66 % logra evadir las soluciones de detección y respuesta en los puntos finales (EDR). Esta alta tasa de evasión se debe a varios factores, como el código polimórfico que cambia con cada infección, el uso legítimo de API que parece inofensivo y las sofisticadas técnicas antianálisis que detectan las herramientas de seguridad. Los infostealers suelen operar completamente en la memoria, dejando un mínimo de rastros forenses para la detección basada en firmas.
La solución no es abandonar el antivirus, sino complementarlo con detección de comportamiento y seguridad centrada en la identidad. Las soluciones ITDR supervisan los patrones de acceso anómalos a las credenciales, independientemente del malware subyacente. La detección de red identifica la filtración de datos sospechosos incluso cuando falla la seguridad de los puntos finales. Las organizaciones deben mantener actualizado el antivirus como defensa básica, al tiempo que implementan capas adicionales, como el control de aplicaciones, el aislamiento del navegador y la supervisión continua de la autenticación. Las pruebas periódicas de las capacidades de detección utilizando muestras controladas de infostealer ayudan a identificar las brechas antes de que los ataques reales las aprovechen.
Las credenciales robadas entran en una sofisticada economía sumergida con mercados, modelos de precios y canales de distribución establecidos. Inicialmente, los operadores de infostealer clasifican los datos capturados por su valor: las cuentas corporativas, las credenciales bancarias y las carteras de criptomonedas alcanzan precios elevados. Las credenciales a granel se someten a una validación automatizada para confirmar las cuentas activas, filtrando las entradas no válidas. Los Initial Access Brokers (IAB) compran credenciales corporativas de alto valor y las reempaquetan para venderlas a grupos de ransomware y actores de amenazas persistentes avanzadas (APT).
El mercado clandestino funciona como el comercio electrónico legítimo, con sistemas de reputación, atención al cliente y garantías de devolución del dinero. Los precios varían considerablemente en función del valor del objetivo: las credenciales de un ejecutivo de una empresa de la lista Fortune 500 pueden venderse por 50 000 dólares, mientras que las cuentas de los consumidores se comercializan por entre 10 y 50 dólares. Los ciberdelincuentes utilizan las credenciales robadas para obtener beneficios económicos inmediatos mediante compras y transferencias no autorizadas, ataques de compromiso del correo electrónico empresarial (BEC) a socios y clientes, y robo de criptomonedas que vacían los monederos digitales. Los actores estatales adquieren credenciales para el ciberespionaje y la recopilación de información, mientras que las empresas competidoras se dedican al espionaje corporativo. La rapidez de la monetización significa que las organizaciones tienen horas, en lugar de días, para responder al robo de credenciales.
Las mejores prácticas del sector establecen un acuerdo de nivel de servicio (SLA) de 4 horas para el restablecimiento de credenciales tras confirmarse infecciones por infostealer, aunque la media actual de detección se sitúa en 4 días. Esta diferencia entre los tiempos de respuesta ideales y reales representa una oportunidad para que los atacantes moneticen las credenciales robadas. Cada hora de retraso aumenta el riesgo de ataques secundarios, movimientos laterales y exfiltración de datos. Las organizaciones que detectan las infecciones en las primeras 24 horas evitan el 92 % de los ataques posteriores, mientras que las que tardan más tiempo se enfrentan a un compromiso casi seguro.
Una respuesta inmediata requiere procedimientos preparados y automatización. Durante la primera hora, se deben aislar los sistemas infectados e iniciar la preservación forense. Las horas 2-3 se centran en restablecer las credenciales de los usuarios afectados, revocar las sesiones activas y notificar a los equipos de seguridad. A la cuarta hora, se debe implementar una supervisión mejorada de las cuentas afectadas y comenzar la búsqueda de amenazas para detectar infecciones relacionadas. Las actividades posteriores al incidente incluyen el restablecimiento completo de contraseñas para todas las cuentas potencialmente expuestas, la implementación de factores de autenticación adicionales, la supervisión de la web oscura en busca de credenciales filtradas y la formación de los usuarios sobre el vector de ataque específico. Las organizaciones deben realizar simulacros trimestrales para poner a prueba los procedimientos de respuesta, asegurándose de que los equipos puedan cumplir el SLA de 4 horas cuando se produzcan infecciones reales.
Sí, las claves de acceso proporcionan una protección excepcional contra los ladrones de información gracias a un diseño criptográfico que imposibilita el robo de credenciales. A diferencia de las contraseñas almacenadas en navegadores o gestores de contraseñas, las claves de acceso utilizan criptografía de clave pública-privada en la que la clave privada nunca sale del dispositivo. Incluso si los ladrones de información extraen los datos del navegador, no pueden acceder a las claves criptográficas almacenadas en los módulos de seguridad del hardware. Con el 93 % de las cuentas de usuario compatibles actualmente con las claves de acceso FIDO2, esta tecnología representa la defensa más eficaz contra el robo de credenciales disponible en la actualidad.
La naturaleza phishing de las claves de acceso aborda tanto los ataques técnicos como los de ingeniería social. Los usuarios no pueden proporcionar accidentalmente claves de acceso a sitios web falsos, ya que el protocolo criptográfico valida el dominio solicitante. Esto elimina el principal vector de infección para los ladrones de información: los usuarios que introducen sus credenciales en sitios maliciosos. Siguen existiendo retos de implementación, como la compatibilidad con aplicaciones heredadas, los requisitos de formación de los usuarios y los procedimientos de recuperación de cuentas. Las organizaciones deben dar prioridad al despliegue de claves de acceso para cuentas privilegiadas y objetivos de alto valor, ampliando gradualmente la cobertura a medida que los usuarios se familiaricen con la tecnología. En combinación con Zero Trust y la supervisión ITDR, las claves de acceso crean una defensa en profundidad que reduce significativamente los riesgos de robo de credenciales.
Los infostealers eluden la MFA mediante el robo de cookies de sesión, capturando sesiones autenticadas después de que los usuarios completan los desafíos multifactoriales. Cuando los usuarios se autentican, los sitios web crean cookies de sesión que mantienen los estados de inicio de sesión. Los infostealers extraen estas cookies del almacenamiento del navegador, lo que permite a los atacantes reproducir sesiones autenticadas sin conocer las contraseñas ni poseer dispositivos MFA. Esta técnica, conocida como secuestro de sesión, elude incluso las implementaciones MFA más sólidas, incluidos los tokens de hardware y la autenticación biométrica.
Las variantes avanzadas emplean phishing en tiempo real, que capturan los códigos MFA a medida que los usuarios los introducen. La infraestructura del atacante se sitúa entre las víctimas y los sitios legítimos, retransmitiendo los retos de autenticación mientras captura las respuestas. Algunos infostealers se dirigen específicamente a los códigos de respaldo MFA almacenados en gestores de contraseñas o notas del navegador. Otros extraen las semillas de las aplicaciones de autenticación, lo que permite a los atacantes generar códigos TOTP válidos. La defensa requiere la implementación de claves de acceso FIDO2 que resistan los ataques de repetición, el despliegue de credenciales de sesión vinculadas al dispositivo (DBSC), la supervisión de patrones de acceso anómalos e imposibles, y la exigencia de una nueva autenticación para acciones sensibles. Las organizaciones también deben implementar tiempos de espera de sesión cortos y una autenticación continua que valide la identidad del usuario a lo largo de las sesiones, en lugar de solo en el momento del inicio de sesión.
Las variantes emergentes como Acreed y StealC V2 representan avances evolutivos en las capacidades de los infostealers, incorporando las lecciones aprendidas de las operaciones policiales y las mejoras en seguridad. Estas nuevas plataformas cuentan con arquitecturas modulares que permiten ataques personalizados, en los que los operadores seleccionan módulos específicos en función de los objetivos. Las técnicas avanzadas de evasión, diseñadas específicamente para eludir las soluciones EDR modernas, contribuyen a la tasa de fallo de detección del 66 %. Los protocolos basados en JSON y los canales de comando cifrados resisten la supervisión de la red, mientras que las capacidades antiforenses, como la autodestrucción y la manipulación de registros, complican la investigación.
La democratización de las capacidades avanzadas a través de suscripciones mensuales de 200 dólares significa que los ataques sofisticados ya no requieren conocimientos técnicos especializados. La capacidad de captura de pantalla de múltiples monitores de StealC V2 captura información más allá de las credenciales almacenadas, incluyendo datos confidenciales en pantalla y códigos QR de autenticación. La integración del aprendizaje automático permite la priorización automática de objetivos, centrándose primero en las credenciales de alto valor. Estas variantes también demuestran una mayor resistencia a los desmantelamientos gracias a la infraestructura distribuida, los canales de comando basados en blockchain y la rápida adaptación a las acciones de las fuerzas del orden. La velocidad de la innovación significa que las estrategias defensivas deben evolucionar continuamente, ya que las organizaciones no pueden confiar en defensas estáticas contra amenazas que evolucionan rápidamente.