How infostealers steal credentials and evade detection

En una era en la que las identidades digitales son la llave de nuestro reino, una epidemia silenciosa se extiende por el panorama cibernético. Los infostealers, malware sofisticado malware para recopilar credenciales, han robado 1800 millones de credenciales de 5,8 millones de dispositivos solo en 2025, lo que supone un aumento del 800 % con respecto a años anteriores. Esta asombrosa magnitud del robo de credenciales es ahora la causa del 86 % de todas las violaciones de seguridad, lo que cambia radicalmente la forma en que las organizaciones deben abordar la seguridad.

La gravedad de esta amenaza se hizo innegable en octubre de 2025, cuando 183 millones de credenciales de Gmail inundaron los mercados clandestinos, vendiéndose por tan solo 10 dólares por cuenta. Aunque no se trataba de una brecha en los sistemas de Google, esta filtración masiva demostró cómo las infecciones de los puntos finales se traducen en desastres de seguridad a escala empresarial. Para los profesionales de la seguridad que defienden entornos cada vez más complejos, comprender los infostealers no es opcional, sino esencial para la supervivencia de la organización.

¿Qué son los infostealers?

Los infostealers son una categoría especializada de malware para extraer silenciosamente información confidencial de los sistemas infectados, centrándose especialmente en credenciales de autenticación, tokens de sesión y datos personales. Estos programas maliciosos operan de forma sigilosa en segundo plano, recopilando contraseñas almacenadas en navegadores, claves de monederos de criptomonedas, información del sistema y cookies de sesión activas que eluden la autenticación multifactorial. A diferencia del ransomware, que anuncia su presencia mediante el cifrado, los infostealers permanecen ocultos mientras saquean sistemáticamente las identidades digitales.

La sofisticación de los modernos ladrones de información va mucho más allá del simple robo de contraseñas. Estas herramientas extraen perfiles digitales completos que incluyen historiales de navegación, datos de autocompletar, capturas de pantalla y configuraciones del sistema. Operando bajo un modelo Malware(MaaS), los delincuentes pueden alquilar el acceso a plataformas avanzadas de infostealers por tan solo 200 dólares al mes, lo que elimina las barreras técnicas de entrada. Esta democratización de las herramientas de ciberdelincuencia ha transformado el robo de credenciales de una habilidad especializada a un servicio básico.

El modelo de negocio que hay detrás de los ladrones de información revela por qué se han convertido en el arma preferida de los ciberdelincuentes. Las credenciales robadas circulan por una sofisticada economía sumergida en la que los Initial Access Brokers (IAB) compran, empaquetan y revenden el acceso a cuentas comprometidas. Una sola credencial corporativa puede alcanzar un valor de miles de dólares cuando proporciona acceso a redes valiosas. Este incentivo económico impulsa la innovación continua en técnicas de evasión y estrategias de selección de objetivos.

La magnitud de la amenaza de los ladrones de información

The numbers paint a sobering picture of infostealer proliferation. 1.8 billion credentials were stolen in the first half of 2025 alone, an 800% increase over the previous six months, with 3.2 billion stolen across all of 2024, 75% of which were taken via infostealers (IBM X-Force, 2024). The average breach now costs organizations $4.44 million globally, reaching $10.22 million in the United States. Geographic analysis shows concentrated infections in India (10%) and Brazil (8%), though no region remains untouched.

Law enforcement has mounted its most aggressive coordinated response yet, Operation Endgame dismantled core infostealer infrastructure in 2024, followed by INTERPOL's Operation Secure in 2025, which took down 20,000 malicious IPs and domains, seized 41 servers, arrested 32 suspects, and notified 216,000 victims. Yet within days of each action, new infrastructure emerged, confirming that takedowns create friction but cannot outpace an ecosystem built on decentralization and rapid reconstitution.

Organizations implementing Identity Threat Detection and Response (ITDR) solutions report significantly improved detection rates, though the gap between infection and discovery still averages 4 days.

Cómo funcionan los infostealers

Comprender los mecanismos técnicos de los infostealers revela por qué las medidas de seguridad tradicionales suelen fallar. Estas sofisticadas herramientas emplean múltiples métodos de extracción, técnicas avanzadas de evasión y una infraestructura de comando y control resistente para mantener un acceso persistente a los flujos de datos de las víctimas.

La cadena de infección suele comenzar con ingeniería social, aprovechando la psicología humana en lugar de vulnerabilidades técnicas. Phishing que envían archivos adjuntos maliciosos siguen siendo el vector principal, aunque la publicidad maliciosa y las descargas de software comprometido han aumentado un 700 % gracias a iniciativas como la campaña ClickFix. Una vez ejecutados, los infostealers comienzan inmediatamente a recopilar las credenciales almacenadas en los navegadores, clientes de correo electrónico y gestores de contraseñas, al tiempo que establecen comunicación con la infraestructura del atacante.

Los infostealers modernos emplean sofisticadas técnicas de evasión que les permiten eludir los controles de seguridad. Utilizan el proceso de «hollowing» para ocultarse dentro de aplicaciones legítimas, emplean trucos anti-análisis para detectar máquinas virtuales y aprovechan técnicas sin archivos que operan íntegramente en la memoria. El protocolo de comando y control basado en JSON de StealC V2 ejemplifica esta evolución, ajustando dinámicamente su comportamiento en función del entorno objetivo y manteniendo canales de comunicación cifrados resistentes a la supervisión de la red.

El proceso de extracción sigue una secuencia metódica:

1. Perfilado del sistema — Recopilación de especificaciones de hardware, software instalado y herramientas de seguridad.
2. Recopilación de datos del navegador: extracción de contraseñas guardadas, cookies y datos de autocompletar.
3. Aplicaciones dirigidas: robo de credenciales de clientes de correo electrónico y aplicaciones de mensajería.
4. Descubrimiento de carteras: búsqueda de claves de criptomonedas y frases semilla.
5. Secuestro de sesión: captura de tokens de autenticación activos
6. Empaquetado de datos: compresión de información robada en archivos cifrados.
7. Exfiltración — Transmisión de datos a servidores de comando y control.
8. Preparación del mercado: formateo de credenciales para la venta clandestina.

Windows APIs commonly targeted by infostealers

To extract credentials efficiently, infostealers don't break into the OS, they use the front door. They call the same legitimate Windows APIs that browsers, password managers, and enterprise applications rely on daily, which is precisely why their activity blends into normal process behavior. Endpoint agents monitoring for malicious signatures rarely flag what looks like routine system calls. These are the specific components infostealers target, what each one holds, and the exact technique used to turn a legitimate API into a credential harvesting tool.

El ecosistema Malware(MaaS)

El modelo MaaS ha transformado los infostealers de herramientas personalizadas a productos comerciales. Por 200 dólares al mes, los delincuentes obtienen acceso a sofisticadas plataformas que incluyen malware personalizables, alojamiento a prueba de balas, gestión automatizada de campañas y paneles de estadísticas en tiempo real. Este modelo de suscripción proporciona actualizaciones continuas, lo que garantiza que malware por delante de las firmas de detección.

Los operadores de plataformas se encargan de la complejidad técnica, mientras que los «clientes» se centran en la distribución. Características como la arquitectura modular permiten a los atacantes seleccionar capacidades específicas, lo que reduce el tamaño de los archivos y los perfiles de detección. El lanzamiento de Acreed en 2025 ejemplifica esta tendencia, ya que ofrece módulos personalizables para el robo de navegadores, el robo de criptomonedas y la recopilación de credenciales corporativas. El competitivo mercado impulsa la innovación, y los proveedores compiten por añadir características como capturas de pantalla multimonitor y capacidades antianálisis mejoradas.

La eficiencia económica de las plataformas MaaS explica su crecimiento explosivo. Si comparamos el coste mensual de 200 dólares con los posibles beneficios de miles de dólares por cada cuenta corporativa comprometida, el retorno de la inversión queda claro. Esta accesibilidad ha ampliado el abanico de actores maliciosos, pasando de grupos sofisticados a delincuentes oportunistas, lo que multiplica la superficie de ataque que las organizaciones deben defender.

Métodos de distribución y vectores de infección

Las estrategias de distribución han evolucionado más allá de los archivos adjuntos tradicionales de correo electrónico. La campaña ClickFix muestra una sofisticada ingeniería social, mostrando mensajes de error falsos que incitan a los usuarios a «solucionar» problemas ejecutando comandos maliciosos de PowerShell. Estas campañas aprovechan contextos de confianza (avisos de actualización de software, notificaciones del navegador y alertas del sistema) para eludir el escepticismo de los usuarios.

Los ataques a la cadena de suministro representan un vector emergente, en el que los atacantes comprometen software legítimo para distribuir infostealers. El incidente Snowflake, en el que participaron seis cepas diferentes de infostealers, comprometió 165 entornos a través de herramientas de terceros infectadas. El envenenamiento de la optimización de motores de búsqueda (SEO) dirige el tráfico a sitios maliciosos que alojan cracks de software falsos y modificaciones de juegos, dirigidos especialmente a los grupos demográficos más jóvenes, menos conscientes de los riesgos de seguridad.

Las campañas de publicidad maliciosa compran espacios publicitarios legítimos para distribuir programas de robo de información, aprovechando plataformas de confianza para llegar a las víctimas. Estos anuncios suelen suplantar la identidad de programas populares, lo que lleva a páginas de descarga convincentes que alojan cargas maliciosas. La segmentación geográfica y demográfica garantiza que las campañas lleguen a objetivos valiosos: profesionales de las finanzas durante la temporada de impuestos, jugadores durante los lanzamientos importantes o estudiantes durante los periodos de exámenes.

Tipos de infostealers

El panorama de los infostealers presenta diversas variantes, cada una con capacidades y perfiles de objetivos únicos. Comprender estas diferencias ayuda a los equipos de seguridad a priorizar las estrategias de detección y asignar los recursos defensivos de manera eficaz.

El mercado ha experimentado importantes perturbaciones en 2025, con operaciones policiales que han desmantelado a los actores establecidos, mientras que nuevas variantes llenan rápidamente el vacío. Esta constante evolución supone un reto para los equipos de seguridad, que deben mantener la inteligencia sobre amenazas actualizada y prepararse al mismo tiempo para las amenazas emergentes. Malware revela patrones comunes entre las variantes, aunque cada familia mantiene características distintivas que requieren enfoques de detección personalizados.

La competencia impulsa la innovación, y los desarrolladores compiten por añadir funciones que diferencien sus productos. Las actualizaciones incluyen regularmente técnicas de evasión avanzadas, aplicaciones objetivo ampliadas y métodos mejorados de exfiltración de datos. Las plataformas de inteligencia sobre amenazas realizan un seguimiento de estos avances y proporcionan a los equipos de seguridad indicadores de compromiso y patrones de comportamiento esenciales para la detección.

Lumma Stealer: líder del mercado

Lumma Stealer domina el mercado con 1200 búsquedas mensuales, lo que refleja su amplia adopción entre los ciberdelincuentes. Esta variante ha experimentado un aumento del 369 % en las detecciones, a pesar de que Microsoft y Cloudflare confiscaron 2300 dominios asociados en mayo de 2025. Su resistencia se debe a una infraestructura distribuida y a su rápida adaptación a las medidas policiales.

El análisis técnico revela las sofisticadas capacidades de Lumma, incluida la extracción avanzada de navegadores dirigida a los almacenes de contraseñas de Chrome, Firefox y Edge. El malware múltiples técnicas antianálisis, detectando máquinas virtuales y entornos sandbox para evadir el análisis automatizado. Su arquitectura modular permite a los operadores personalizar las cargas útiles, añadiendo o eliminando funciones en función de los perfiles de los objetivos. La comunicación se produce a través de canales cifrados que utilizan algoritmos de generación de dominios (DGA) que complican los esfuerzos de eliminación.

El éxito de Lumma refleja su equilibrio entre sofisticación y facilidad de uso. El panel de gestión proporciona estadísticas en tiempo real, análisis automatizado de registros y herramientas de monetización integradas. Los operadores pueden filtrar las credenciales robadas por valor, identificando automáticamente los objetivos de alto valor, como cuentas corporativas o carteras de criptomonedas. Esta eficiencia ha convertido a Lumma en la opción preferida tanto para grupos sofisticados como para delincuentes novatos.

Amenazas emergentes en 2025

En 2025 han surgido tres nuevas variantes que suponen una amenaza significativa, cada una de las cuales aporta capacidades únicas al ecosistema de los ladrones de información:

Acreed Stealer se lanzó a principios de 2025 con un diseño modular que permite seleccionar funciones personalizadas. Con un precio competitivo de 200 dólares al mes, Acreed se centra en las credenciales de los navegadores, las carteras de criptomonedas y la información del sistema. Su arquitectura hace hincapié en el sigilo, utilizando procesos legítimos de Windows para la inyección y evitando los patrones de detección habituales. La distribución se realiza principalmente a través de campañas phishing malvertising dirigidas a usuarios empresariales.

StealC V2 (Monster V2) lanzó la versión 2.2.4 en noviembre de 2025, incorporando las lecciones aprendidas de las operaciones policiales. La suscripción mensual de 200 dólares incluye protocolos de comando y control basados en JSON para mejorar la evasión, capacidades de captura de pantalla en múltiples monitores para capturar información confidencial y extracción mejorada de datos del navegador, incluidos los archivos de restauración de sesión. Las técnicas antianálisis de StealC V2 detectan y evaden las soluciones EDR modernas, lo que contribuye a la tasa de elusión del 66 % observada en los infostealers.

Nexus Stealer ha ganado rápidamente cuota de mercado tras la irrupción de RedLine, centrándose en la recopilación avanzada de credenciales y el robo de tokens de sesión. Entre sus capacidades se incluyen el ataque a bases de datos de gestores de contraseñas, la extracción de códigos de respaldo de autenticación de dos factores y el sofisticado robo de cookies eludiendo el aislamiento de sitios. Nexus representa la próxima generación de infostealers, incorporando el aprendizaje automático para la priorización de objetivos y la explotación automatizada de credenciales robadas.

How stolen credentials fueled ransomware and nation-state attacks (2024–2026)

Los incidentes reales demuestran cómo los ladrones de información se traducen en desastres organizativos. Estos casos revelan los patrones de ataque, la magnitud del impacto y las fallas en cadena que se producen tras el compromiso de las credenciales.

Snowflake supply chain compromise — April 2024

The Snowflake supply chain compromise demonstrated how infostealers enable complex, multi-stage attacks. Six different infostealer strains compromised developer machines, stealing credentials later used to access 165 customer environments. The attack bypassed traditional security boundaries, exploiting trusted relationships between vendors and customers. This incident forced an industry-wide reevaluation of cloud security practices, particularly around third-party access management.

Gmail credential leak — October 2025

The October 2025 leak of 183 million Gmail credentials exemplifies the massive scale of modern credential theft. Harvested through Synthient Stealer and other variants, this 400GB dataset flooded underground markets, driving credential prices to historic lows of $10 per account. Google's response — mass password resets and enhanced monitoring — highlighted the reactive nature of current defenses against proactive attackers.

Operation Endgame takedown — November 2025

Operation Endgame's November 2025 takedown revealed the infrastructure supporting infostealer operations. The seizure of 1,025+ servers and 20 domains disrupted access to 100,000+ compromised cryptocurrency wallets. Yet within days, new infrastructure emerged, demonstrating the resilience of the infostealer ecosystem. Law enforcement's cat-and-mouse game with operators continues, with each takedown providing temporary relief before variants adapt and resurface.

Axios supply chain compromise — April 2026

The Axios supply chain compromise extended the infostealer threat into one of the most widely used JavaScript libraries in enterprise development environments. Attackers used stolen developer credentials, consistent with infostealer tradecraft — to inject malicious code into a trusted dependency, exposing downstream organizations before the compromise was detected. The incident reinforced a pattern established by Snowflake, credential theft from a single developer account can cascade into hundreds of organizational breaches through trusted software supply chains.

See how the Axios breach exposed supply chain security gaps →

El canal de credenciales a ransomware

Over half of ransomware victims had infostealer traces recorded beforehand, making credential theft not a parallel threat to ransomware, but its most reliable precursor. Stolen credentials are sold to specialized groups for exploitation, with infostealers serving as the consistent first stage in the chain. The HellCat ransomware campaign exemplified this pipeline, using JIRA credentials obtained from stealer logs to gain initial access. Once inside, attackers escalated privileges, moved laterally, and deployed ransomware, causing millions in damages.

Recorded Future identified infostealers as the primary initial infection vector across tracked incidents during the 2025, the first time a single malware category has held that position for a full calendar year.

El tiempo transcurrido entre el robo de credenciales y el despliegue del ransomware es, por término medio, de entre 4 y 7 días, aunque los grupos más sofisticados pueden actuar con mayor rapidez. Este intervalo representa el periodo crítico para la detección y la respuesta. Las organizaciones que detectan y responden al robo de credenciales en cuestión de horas pueden evitar que la situación se agrave, mientras que aquellas que tardan días se enfrentan a un compromiso inevitable. El tiempo medio de detección de 4 días significa que la mayoría de las organizaciones descubren las infecciones después de que los atacantes ya hayan monetizado los datos robados.

Detección y prevención de ladrones de información

Una defensa eficaz contra los ladrones de información requiere estrategias por capas que combinen controles técnicos, mejoras en los procesos y formación de los usuarios. La tasa de elusión de la detección en los puntos finales del 66 % demuestra por qué las organizaciones no pueden confiar en capas de seguridad únicas.

Las estrategias de detección deben tener en cuenta la naturaleza sigilosa y las capacidades polimórficas de los infostealers. Las variantes modernas emplean sofisticadas técnicas de evasión, como el vaciado de procesos, tácticas de «vivir de la tierra» y comunicaciones cifradas. El análisis del comportamiento ofrece una detección más fiable que los enfoques basados en firmas, ya que se centra en patrones de actividad anómalos en lugar de en malware específicas malware . El análisis forense de la memoria puede revelar la presencia de infostealers que operan íntegramente en la RAM, mientras que las soluciones de detección y respuesta de red (NDR) identifican patrones sospechosos de exfiltración de datos.

La prevención requiere abordar tanto las vulnerabilidades técnicas como los factores humanos. Si bien los controles tecnológicos proporcionan una protección esencial, el comportamiento de los usuarios sigue siendo el principal vector de infección. Las organizaciones deben equilibrar los requisitos de seguridad con la usabilidad, asegurándose de que las medidas de protección no obstaculicen la productividad. La rápida evolución de las técnicas de robo de información significa que las defensas de ayer pueden fallar frente a las amenazas de hoy, lo que requiere una adaptación y mejora continuas.

Los métodos de detección eficaces incluyen:

1. Supervisión del análisis del comportamiento para los patrones de acceso a credenciales
2. Análisis forense de memoria para identificar la inyección de código malicioso
3. Análisis del tráfico de red para detectar comunicaciones C2
4. Supervisión de la integridad de los archivos para detectar modificaciones no autorizadas
5. Auditoría de extensiones del navegador para identificar adiciones maliciosas
6. Supervisión de llamadas API para detectar interacciones sospechosas en el sistema
7. Análisis del registro para detectar mecanismos de persistencia
8. Supervisión de Cloud para detectar autenticaciones anómalas
9. Correlación SIEM agregación de eventos de seguridad en todos los sistemas

Por qué el EDR tradicional no es suficiente

Endpoint detection and response (EDR) solutions face significant challenges detecting modern infostealers. The 66% bypass rate reflects sophisticated evasion techniques specifically designed to defeat endpoint security. The exposure is sharpest at the device level: 30% of compromised systems were managed enterprise devices, while 46% were unmanaged BYOD, meaning nearly half of all infections begin outside the reach of corporate endpoint programs entirely (INTERPOL, 2025).

Infostealers use legitimate Windows APIs for credential extraction, making behavior appear normal to EDR solutions. They operate briefly, extracting data and terminating before detection algorithms flag suspicious activity.

Las variantes modernas emplean múltiples técnicas anti-EDR, incluyendo llamadas directas al sistema que evitan los ganchos API, la inyección de procesos en aplicaciones de confianza y operaciones a nivel del núcleo que evitan la supervisión en modo usuario. Detectan entornos de virtualización y sandbox, permaneciendo inactivas cuando se someten a análisis. Algunas variantes se dirigen específicamente a los procesos EDR, intentando desactivar o corromper las herramientas de seguridad antes de comenzar la extracción de credenciales.

La solución no es abandonar el EDR, sino complementarlo con tecnologías adicionales. Las soluciones de detección y respuesta ante amenazas de identidad (ITDR) se centran en las anomalías basadas en la identidad, en lugar de en los comportamientos de los terminales. La detección de red identifica la filtración de datos independientemente de la evasión de los terminales. Las tecnologías de engaño crean credenciales falsas que activan alertas cuando se accede a ellas. Este enfoque de defensa en profundidad aborda las limitaciones del EDR al tiempo que mantiene la visibilidad de los terminales.

Procedimientos de respuesta tras la infección

La rapidez es clave para responder bien a las infecciones de infostealer. El acuerdo de nivel de servicio (SLA) de 4 horas para restablecer las credenciales es lo mejor, pero para lograrlo hay que estar preparado y automatizar las cosas. Cada hora de retraso aumenta la probabilidad de que se moneticen las credenciales y haya ataques secundarios.

Las medidas de respuesta inmediata deben centrarse en la contención y la invalidación de credenciales. Esto incluye aislar los sistemas infectados del acceso a la red, restablecer todas las contraseñas que puedan estar comprometidas, revocar las sesiones activas y los tokens de autenticación, y revisar los registros de acceso en busca de autenticaciones sospechosas. Las organizaciones deben notificar a los usuarios y socios afectados, al tiempo que conservan las pruebas forenses para la investigación. La implementación temporal de factores de autenticación adicionales y la supervisión de los intentos de reutilización de credenciales ayudan a evitar nuevos compromisos.

La recuperación va más allá de la reparación técnica e incluye mejoras en los procesos y la formación de los usuarios. Las organizaciones deben analizar los vectores de infección para evitar que se repitan, actualizar los controles de seguridad basándose en las lecciones aprendidas y mejorar la supervisión de patrones de ataque similares. La formación de los usuarios debe abordar tácticas específicas de ingeniería social utilizadas, mientras que los equipos de seguridad deben revisar los procedimientos de respuesta a incidentes basándose en la experiencia. La supervisión de la web oscura en busca de credenciales filtradas y las evaluaciones de seguridad periódicas ayudan a identificar los riesgos actuales.

Infostealers y cumplimiento normativo

Los marcos normativos reconocen cada vez más el robo de credenciales como un problema crítico de cumplimiento normativo. Las organizaciones se enfrentan a una presión cada vez mayor para implementar controles exhaustivos que protejan los sistemas de autenticación y las identidades de los usuarios.

MITRE ATT&CK mapea los comportamientos de los ladrones de información a través de múltiples técnicas, incluyendo T1003 (Descarga de credenciales del sistema operativo), T1555 (Credenciales de almacenes de contraseñas), T1539 (Robo de cookies de sesión web), T1056 (Captura de entradas) y T1005 (Datos del sistema local). Este mapeo permite a las organizaciones alinear sus estrategias defensivas con patrones de amenazas reconocidos. Los marcos de cumplimiento hacen referencia a estas técnicas a la hora de definir los requisitos de seguridad.

El Marco de Ciberseguridad 2.0 del NIST aborda las amenazas de robo de información mediante múltiples familias de controles. PR.AC (Gestión de identidades y control de acceso) requiere una autenticación sólida y la protección de las credenciales. DE.CM (Supervisión continua de la seguridad) exige capacidades de detección del robo de credenciales. RS.AN (Análisis) requiere procedimientos de investigación para los casos de sospecha de compromiso. Estos controles constituyen la base del cumplimiento normativo en todos los sectores.

La directiva NIS2 de la UE, que entrará en vigor en octubre de 2024, aborda específicamente las violaciones de credenciales. Las organizaciones deben informar de los incidentes significativos en un plazo de 24 horas, y presentar informes detallados en un plazo de 72 horas. El robo de credenciales que afecte a servicios críticos da lugar a notificaciones obligatorias a las autoridades nacionales. Las sanciones por incumplimiento alcanzan el 2 % de la facturación anual global, lo que pone de relieve los riesgos financieros que entrañan los controles inadecuados.

Enfoques modernos para defenderse contra los ladrones de información

El sector de la seguridad ha evolucionado más allá de las defensas perimetrales tradicionales, reconociendo que el robo de credenciales requiere estrategias centradas en la identidad. Los enfoques modernos asumen la posibilidad de una brecha y se centran en limitar el impacto mediante cambios arquitectónicos y tecnologías emergentes.

Zero Trust cambia radicalmente la forma en que las organizaciones abordan la seguridad de las credenciales. En lugar de confiar implícitamente en los usuarios autenticados, Zero Trust verifica Zero Trust la identidad y la autorización. Este enfoque limita el valor de las credenciales robadas al exigir una verificación adicional para las acciones sensibles. La microsegmentación contiene las brechas de seguridad, impidiendo el movimiento lateral incluso con credenciales válidas. El principio del mínimo privilegio garantiza que las cuentas comprometidas solo accedan a los recursos necesarios.

La supervisión automatizada de la web oscura se ha convertido en algo esencial para una defensa proactiva. Los servicios escanean continuamente los mercados clandestinos en busca de credenciales organizativas, lo que permite alertar de forma temprana sobre posibles vulnerabilidades. La integración con los sistemas de gestión de identidades permite una respuesta automática cuando las credenciales aparecen en línea. Los algoritmos de aprendizaje automático identifican patrones que sugieren ataques dirigidos, mientras que las fuentes de inteligencia sobre amenazas proporcionan contexto sobre las campañas emergentes. Esta postura proactiva hace que las organizaciones pasen de una postura de seguridad reactiva a una predictiva.

Las credenciales de sesión vinculadas al dispositivo (DBSC) representan la próxima evolución en seguridad de autenticación. Esta tecnología emergente vincula criptográficamente los tokens de sesión a dispositivos específicos, lo que evita los ataques de repetición incluso si se roban las cookies. Las primeras implementaciones muestran resultados prometedores, aunque su adopción generalizada depende del soporte de los navegadores y las aplicaciones. Las claves de acceso FIDO2, ahora compatibles con el 93 % de las cuentas de usuario, proporcionan protección inmediata a través de una autenticación phishing que los ladrones de información no pueden comprometer.

Cómo Vectra AI sobre la detección de ladrones de información

Vectra AI approaches infostealer detection through an identity-centric lens, combining network and identity signals to identify credential theft attempts before exfiltration occurs. Rather than relying on malware signatures that quickly become obsolete, Attack Signal Intelligence™ focuses on the consistent behaviors all infostealers must exhibit, accessing credential stores, establishing command channels, and exfiltrating data. By correlating identity anomalies with network patterns, security teams gain visibility into attacks that bypass traditional endpoint protection.

Behavioral detection mapped to attacker actions

Vectra AI's behavioral AI models detect the post-infection activity that follows credential theft, anomalous authentication patterns, lateral movement using stolen credentials, privilege escalation, and unusual access to sensitive resources — without requiring prior knowledge of the specific infostealer family involved. Detections map directly to MITRE ATT&CK credential access (TA0006) and collection (TA0009) techniques, giving SOC teams framework-aligned signal they can act on immediately.

Identity and session token monitoring

When a stolen session token is used from attacker infrastructure, no new login event occurs and no MFA challenge fires. Vectra AI tracks how identities authenticate and move across environments, flagging behavioral deviations from established baselines even when the credential in use is technically valid. This is a detection layer that log-based systems and endpoint agents cannot provide reliably at scale.

Network-level visibility beyond the endpoint

Because 66% of infostealer infections bypass endpoint security and many begin on unmanaged or personal devices, Vectra AI's network-level observability covers all devices communicating on the network, managed or not. Suspicious data exfiltration patterns, C2 communication characteristics, and anomalous outbound transfers are observable at the network level regardless of whether the infected device runs a managed agent.

Correlated attack narratives via Jetstream

Vectra AI's Jetstream real-time streaming engine connects early credential-abuse signals to subsequent lateral movement and privilege escalation within a single correlated attack narrative. Security teams see the full scope of post-infection activity, not isolated alerts requiring manual correlation, enabling faster, more confident response before attackers escalate from credential theft to ransomware deployment.

Explore how Vectra AI surfaces the post-infection signals infostealers leave behind, the network and identity behaviors that endpoint agents and log-based tools are not built to catch.

Tendencias futuras y consideraciones emergentes

El panorama de la ciberseguridad sigue evolucionando rápidamente, con los ladrones de información a la vanguardia de los nuevos retos. Durante los próximos 12-24 meses, las organizaciones deben prepararse para varios avances clave que transformarán la forma en que nos defendemos contra el robo de credenciales.

La inteligencia artificial está transformando tanto las capacidades de ataque como las de defensa. Los atacantes aprovechan la IA para crear phishing convincentes, identificar automáticamente objetivos de gran valor en conjuntos de datos robados y desarrollar malware polimórfico malware se adapta a las medidas defensivas. Los defensores contrarrestan con análisis de comportamiento basados en IA, búsqueda automatizada de amenazas y modelos predictivos que identifican posibles objetivos. Esta carrera armamentística de la IA se acelerará hasta 2026, y las ventajas se desplazarán entre atacantes y defensores a medida que las tecnologías maduren.

La computación cuántica supone una amenaza a largo plazo para los métodos de cifrado actuales que protegen las credenciales almacenadas. Aunque aún faltan años para que los ordenadores cuánticos sean una realidad, las organizaciones deben empezar a prepararse para los ataques de «recoger ahora, descifrar después», en los que los adversarios roban datos cifrados para descifrarlos en el futuro. Las normas de criptografía poscuántica, finalizadas por el NIST en 2024, requieren su implementación en todos los sistemas de autenticación. Las organizaciones deben hacer un inventario de las dependencias criptográficas y desarrollar planes de migración para algoritmos resistentes a la computación cuántica.

La presión regulatoria se intensificará tras las infracciones de alto perfil atribuidas al robo de credenciales. La directiva NIS2 de la UE sienta precedentes que probablemente seguirán otras regiones, con notificaciones obligatorias de infracciones y sanciones sustanciales por controles inadecuados. La legislación federal estadounidense propuesta en materia de privacidad incluye disposiciones que abordan específicamente la protección de credenciales y la verificación de identidad. Las organizaciones que operan a nivel internacional se enfrentan a un complejo mosaico de requisitos que requieren programas integrales de seguridad de la identidad.

Las prioridades de inversión para los próximos 24 meses deben centrarse en tres áreas fundamentales. En primer lugar, las organizaciones deben acelerar la adopción de claves maestras, con el objetivo de alcanzar una cobertura del 100 % para las cuentas privilegiadas en el segundo trimestre de 2026. En segundo lugar, la implementación de ITDR debe ampliarse más allá de los programas piloto para abarcar la implementación en producción de todos los almacenes de identidades. En tercer lugar, Zero Trust deben pasar de ser marcos conceptuales a arquitecturas operativas con verificación continua y microsegmentación.

La convergencia de los entornos de TI y OT crea nuevas superficies de ataque para los ladrones de información. Los sistemas de control industrial se conectan cada vez más a las redes corporativas, lo que expone la tecnología operativa a riesgos de robo de credenciales. Las credenciales comprometidas de un ingeniero podrían proporcionar acceso a infraestructuras críticas, creando escenarios de amenazas internas con potencial de daños físicos más allá del robo de datos. Las organizaciones deben ampliar los programas de seguridad de identidad para abarcar los entornos OT, implementando controles especializados para los sistemas industriales.

Conclusión

The infostealer epidemic has quietly redrawn the threat landscape, not through louder attacks, but through cheaper ones. With 1.8 billion credentials stolen in 2025 alone and 86% of breaches involving credential theft, organizations can no longer treat identity security as secondary to network protection. The emergence of sophisticated variants like Lumma, Acreed, and StealC V2, available for just $200 monthly, has democratized advanced attack capabilities while the 66% EDR bypass rate exposes critical gaps in current defenses.

Success against infostealers requires embracing identity-centric security strategies that assume compromise rather than perfect prevention. Organizations must accelerate adoption of FIDO2 passkeys, now supported by 93% of accounts, while implementing ITDR solutions that detect credential theft attempts regardless of malware variants.

Explore how Vectra AI's behavioral detection across network, identity, and cloud surfaces the post-infection signals infostealers leave behind, the signals that endpoint agents and log-based tools are not built to catch.