La Epidemia Silenciosa: Por qué los Infostealers son la mayor amenaza para tus accesos en 2025

Mientras que el Ransomware suele acaparar los titulares por su impacto destructivo, existe una amenaza más sigilosa y omnipresente que actúa como la llave maestra para la mayoría de los ciberataques modernos: los Infostealers (ladrones de información).

En Magnosecurity, hemos analizado los reportes de tendencias de crimen de alta tecnología para 2025 de Group-IB y CrowdStrike, y las cifras son alarmantes. En el último año, se recuperaron más de 1,000 millones de credenciales pertenecientes a individuos y organizaciones en Latinoamérica, extraídas principalmente a través de logs de malware y filtraciones de datos.

A continuación, desglosamos cómo operan estos ladrones digitales y por qué tu organización debe estar alerta.

1. El “Top 5” de los Infostealers en Latinoamérica

Según la telemetría de Group-IB, la región enfrenta una oleada masiva de hosts comprometidos. Los criminales no necesitan ser expertos; pueden alquilar este malware bajo el modelo de Malware-as-a-Service (MaaS).

Estos son los 5 Infostealers más activos en LATAM por número de dispositivos infectados en el último año:

  1. RedLine Stealer (134,236 hosts): El líder indiscutible. Extrae credenciales guardadas, datos de autocompletar y tarjetas de crédito de navegadores web.
  2. RisePro (121,453 hosts): Un malware que crece rápidamente, capaz de robar datos de más de 200 tipos de billeteras de criptomonedas y ofrece acceso remoto oculto al sistema.
  3. Stealc (85,380 hosts): Un imitador de otras familias de malware que se distribuye mediante tutoriales falsos de YouTube y software pirateado.
  4. META Stealer (36,476 hosts): Una variante modificada de RedLine diseñada originalmente para atacar regiones específicas, pero que se ha extendido globalmente.
  5. LummaC2 (27,092 hosts): Especializado en el robo de criptomonedas y extensiones de doble factor de autenticación (2FA).

Brasil lidera la región con casi 97,000 hosts comprometidos, seguido por Argentina (52,737) y México (48,775).

2. Nuevas Tácticas: De la Ingeniería Social al “ClickFix”

Los adversarios están evolucionando sus métodos de entrega para evadir la detección y engañar a los usuarios.

La Trampa “ClickFix”

Una de las tendencias más peligrosas identificadas por Group-IB en 2024 es la técnica ClickFix. Los atacantes muestran ventanas emergentes falsas de error (simulando ser de Google Chrome o Microsoft Word) que piden al usuario “Hacer clic para arreglar” o “Verificar que no soy un robot”. Al hacerlo, la víctima copia y ejecuta inadvertidamente un script malicioso de PowerShell que descarga el infostealer.

Malware “Hecho en Casa” y Evasión Avanzada

CrowdStrike reporta que los criminales enfocados en LATAM están adoptando lenguajes de programación modernos como Rust para sus downloaders, lo que dificulta el análisis por parte de los antivirus tradicionales.

  • Caso México: Se detectó el malware Doit (TimbreStealer) y BotnetFenix, distribuidos a través de sitios de phishing que imitan portales gubernamentales (como el SAT o RENAPO) y sitios falsos de CAPTCHA,.
  • SpyLoan: Aplicaciones de préstamos depredadores en tiendas oficiales que actúan como spyware, robando datos personales para extorsionar a las víctimas.

3. El Mercado de las “Nubes de Logs”

El robo de información no es el fin del ataque, es solo el comienzo. Los datos extraídos por estos stealers terminan en lo que Group-IB denomina “Underground Clouds of Logs” (UCL).

Estos logs se venden a Brokers de Acceso Inicial (IABs), quienes utilizan las credenciales válidas para infiltrarse en redes corporativas y vender ese acceso a grupos de Ransomware. En 2024, el 56.8% de los accesos utilizados por grupos de Ransomware provinieron de estas “nubes de logs” y cuentas comprometidas.

¿Cómo protegerse ante esta amenaza invisible?

La prevalencia de RedLine y LummaC2, sumada a tácticas engañosas como ClickFix, demuestra que el endpoint (el dispositivo del usuario) es la nueva frontera de batalla.

En Magnosecurity, recomendamos:

  1. Monitoreo de la Dark Web: Es vital saber si las credenciales de tus empleados ya están a la venta en mercados ilegales o nubes de logs.
  2. Educación contra nuevas técnicas: Capacitar al personal para no ejecutar comandos de PowerShell copiados de ventanas emergentes (técnica ClickFix).
  3. Protección de Identidad: Implementar autenticación multifactor (MFA) resistente al phishing, ya que los stealers pueden robar cookies de sesión y tokens.

No dejes que una credencial robada se convierta en un ataque de ransomware. Contáctanos hoy en Magnosecurity para evaluar tu exposición a estas amenazas.

Fuentes: Datos extraídos del “CrowdStrike 2025 Latin America Threat Landscape Report” y “Group-IB High-Tech Crime Trends 2025”.

Previous Project
Next Project