Durante los primeros seis meses del año, más de 5.8 millones de dispositivos fueron infectados por infostealers, un tipo de malware diseñado para robar usuarios, contraseñas, cookies de sesión y otros tipos de información. Según la firma Flashpoint, estos programas lograron recolectar más de 1800 millones de credenciales, que hoy circulan en mercados clandestinos y generan insumos para diversos tipos de ataques.

Entre los protagonistas de esta ola de ciberataques destaca Lumma Stealer, un malware fácil de usar que se ha convertido en una herramienta popular entre hackers novatos y grupos criminales organizados. Junto a nombres como RedLine, Stealc, Vidar y Agent Tesla, forma parte de un ecosistema en el que un simple archivo de pocos megabytes que se vende por apenas 10 dólares, puede abrir la puerta a la red interna de una empresa. Un solo archivo puede contener la información suficiente para comprometer un sistema completo, según advierte Ian Gray de Flashpoint.

Las autoridades han intentado frenar este avance, con Microsoft y el FBI colaborando en el desmantelamiento de miles de dominios maliciosos vinculados a Lumma y otros infostealers. Sin embargo, los criminales han demostrado una capacidad de recuperación alarmante. Apenas días después de ser desarticulado, Lumma volvió a operar, anunciando incluso mejoras en foros clandestinos. De acuerdo con la firma Trend Micro, las infecciones globales recuperaron su ritmo habitual en cuestión de semanas, lo que evidencia la dificultad de eliminar este tipo de amenazas.

El éxito de los infostealers radica en su ingeniería social. Los atacantes se disfrazan de generosos benefactores que ofrecen cracks, licencias gratuitas o hacks de videojuegos, cuando en realidad esconden trampas para que el usuario instale el malware por sí solo. Plataformas como YouTube y GitHub han sido utilizadas como vehículos para propagar campañas maliciosas, aprovechando la curiosidad o el descuido de las víctimas. Frente a esta tendencia, expertos insisten en que la educación sigue siendo la defensa más efectiva, junto con prácticas de higiene cibernética básicas: no descargar software de fuentes dudosas, segmentar redes y reforzar el uso de autenticación multifactor.

El infostealer más detectado por ESET en 2025

Un reciente informe de ESET revela que SnakeStealer ha sido, hasta ahora, el infostealer más detectado en 2025, representando aproximadamente una quinta parte de todas las detecciones mundiales de este tipo de malware. Esta herramienta lleva activa desde al menos 2019, y aunque sus funciones básicas (robo de credenciales, keylogging, captura de pantallas) no son especialmente novedosas, su modelo de negocio tipo malware-as-a-service (MaaS) le ha permitido crecer rápidamente en los últimos años mediante alquileres o ventas a actores con pocos conocimientos técnicos.

Las capacidades de SnakeStealer incluyen la exfiltración de datos a través de servidores FTP, canales de Telegram o incluso correos electrónicos adjuntos, además de matar procesos de seguridad, modificar registros de arranque de Windows y recopilar credenciales de navegadores, bases de datos y redes WiFi. La versatilidad y el hecho de que haya sustituido a familias de malware como el mencionado Agent Tesla, lo convierten en una amenaza prioritaria para empresas y usuarios por igual.