A principios de mayo, se llevó a cabo una operación coordinada a nivel global para frenar las actividades de Lumma Stealer, un malware que se ofrecía como servicio para robar información personal y corporativa. El resultado fue contundente: se confiscaron miles de dominios y se desmanteló parte clave de su infraestructura.
La acción fue posible gracias al trabajo conjunto de varias empresas tecnológicas y agencias policiales. De hecho, el 13 de mayo de 2025, Microsoft, tras presentar una demanda legal, logró incautar alrededor de 2.300 dominios relacionados con esta amenaza.
Pero no fue lo único. El Departamento de Justicia de EE.UU. (DOJ) también intervino y logró cerrar el panel de control de Lumma, una plataforma que los delincuentes usaban para gestionar el malware. Mientras tanto, Europol y el Centro de Ciberdelincuencia de Japón (JC3) colaboraron para incautar los servidores que operaban desde Europa y Asia.
Entre el 16 de marzo y el 16 de mayo, Microsoft detectó más de 394,000 equipos con Windows infectados con Lumma Stealer en todo el mundo. “En coordinación con la policía y nuestros socios, cortamos por completo la comunicación entre el malware y las víctimas”, explicó Steven Masada, asesor legal de la Unidad de Delitos Digitales de Microsoft.
Gracias a esta operación, los ciberdelincuentes que usaban Lumma ya no pueden acceder al sistema con el que controlaban los datos robados, ni a la infraestructura que usaban para distribuirlo. Esto los obliga a empezar desde cero y les genera un gran golpe tanto técnico como financiero, según añadió Cloudflare, otra de las compañías involucradas.
Además de Microsoft y Cloudflare, también participaron en la operación ESET, CleanDNS, Bitsight, Lumen, GMO Registry y el despacho legal global Orrick. Un esfuerzo colectivo que demuestra lo que se puede lograr cuando el sector privado y las autoridades se unen para combatir el cibercrimen.
Banner de confiscación de dominio (Fuente: Microsoft)
Cloudflare bajo ataque (indirectamente): Así se aprovechó Lumma Stealer de sus servicios
Lumma Stealer, encontró la forma de usar los propios servicios de Cloudflare para esconderse mejor. En concreto, lo usó para ocultar las direcciones IP reales de sus servidores y así dificultar su detección, mientras seguía robando credenciales y datos de los usuarios.
Aunque Cloudflare logró suspender varios dominios relacionados con esta operación maliciosa, el malware todavía lograba evadir las páginas de advertencia que la empresa mostraba a los visitantes para alertar sobre sitios peligrosos. Esto llevó al equipo de Confianza y Seguridad de Cloudflare a tomar medidas más estrictas para evitar que los datos siguieran siendo robados.
"Detectamos estos dominios una y otra vez, y suspendimos sus cuentas cada vez", explicó Cloudflare en un informe. Pero el problema se intensificó cuando, en febrero de 2025, el malware comenzó a burlar las advertencias interactivas de Cloudflare, diseñadas para frenar el tráfico hacia páginas maliciosas.
¿La solución? Cloudflare actualizó sus defensas y añadió su sistema Turnstile (una especie de verificación para humanos) a las advertencias. Así, el malware ya no podía esquivar esa barrera tan fácilmente.
¿Qué es Lumma Stealer y por qué es tan peligroso?
Lumma, también conocido como LummaC2, no es cualquier malware. Es un infostealer, es decir, un programa diseñado para robar todo tipo de información personal y confidencial. Y lo más alarmante: se ofrece como servicio por suscripción, como si fuera Netflix para ciberdelincuentes. Los precios van desde los 250 hasta los 1.000 dólares, dependiendo del plan.
Este malware apunta tanto a Windows como a macOS y tiene funciones bastante avanzadas para evadir antivirus y robar datos. ¿Cómo se distribuye? A través de canales de lo más variados: comentarios en GitHub, sitios de deepfakes, anuncios maliciosos… cualquier espacio online que pueda atraer clics desprevenidos. Una vez que infecta un equipo, Lumma puede extraer:
-
Contraseñas guardadas.
-
Cookies de navegación.
-
Tokens de sesión.
-
Información de tarjetas de crédito.
-
Datos de billeteras de criptomonedas.
-
Historial de navegación.
Todo esto lo empaqueta y lo manda a servidores controlados por los atacantes, quienes luego venden esta información en foros clandestinos o la utilizan para lanzar más ataques.
¿De dónde salió y qué tan grande es el problema?
Lumma apareció por primera vez en diciembre de 2022 en foros de cibercrimen, y no tardó mucho en hacerse popular. Según datos de KELA, rápidamente se convirtió en una de las herramientas favoritas de los ciberdelincuentes.
Y no es para menos. De acuerdo con el informe de inteligencia de IBM X-Force 2025, las credenciales robadas por infostealers aumentaron un 12 % en el último año. Peor aún, hubo un 84 % más de campañas de phishing que distribuían este tipo de malware, y Lumma lideró la lista por amplio margen.
Mapa de calor de infecciones de Lumma (Fuente: Microsoft)
Lumma no es solo un malware molesto; ha sido parte de campañas masivas de malvertising (publicidad maliciosa) que han infectado a cientos de miles de computadoras en todo el mundo. Lo han utilizado desde grupos criminales pequeños hasta colectivos conocidos como Scattered Spider, famosos por sus ciberataques a gran escala.
Y lo peor es que los datos robados con este tipo de malware no se quedan en foros oscuros sin consecuencias. En los últimos meses, han estado directamente relacionados con violaciones graves de seguridad en empresas como PowerSchool, HotTopic, CircleCI y Snowflake. Todas con millones de usuarios o datos sensibles en juego.
Pero la cosa no se queda en el robo de cuentas. Las credenciales robadas también han sido usadas para meterse en redes corporativas y causar un desastre aún mayor. Un ejemplo: unos atacantes secuestraron la cuenta de RIPE de Orange España y manipularon la configuración del ruteo de internet (BGP y RPKI), lo cual puede desestabilizar gravemente cómo se enruta el tráfico en la red.
En resumen, Lumma no solo roba datos; abre la puerta a ataques mucho más serios y peligrosos, que pueden ir desde un simple acceso no autorizado hasta el caos total en la infraestructura de internet de una empresa.
