Cómo los Infostealers están Impactando a México en 2024

En los últimos meses, México se ha convertido en el blanco perfecto para un tipo de ciberataque que no para de crecer. La digitalización de las empresas ha traído muchos beneficios, pero también ha abierto la puerta a nuevas oportunidades para los cibercriminales. Entre las amenazas más comunes están los malwares de todo tipo: ransomware, spyware, adware, troyanos... y últimamente, uno que está ganando mucha fuerza: los infostealers. Este tipo de malware, diseñado específicamente para robar información confidencial, se está volviendo cada vez más común.

A diferencia del ransomware, que secuestra tu información y te pide un rescate, los infostealers trabajan de forma silenciosa, robando datos sin que te des cuenta. Su auge está muy ligado a la cantidad de dispositivos conectados que usamos todos los días y al tráfico constante de información en mercados clandestinos, como la Dark Web.

Además, los infostealers han adoptado un modelo muy particular: el Malware como Servicio (MaaS). Básicamente, cualquiera con malas intenciones puede alquilar este tipo de malware en la Dark Web a precios accesibles, lo que facilita su uso para lanzar ataques sin necesidad de ser un experto en tecnología. ¿El resultado? Una amenaza cada vez más accesible y peligrosa para empresas y usuarios por igual.

El Auge de los Infostealers en México

Este tipo de malware, que trabaja en silencio, se especializa en robar de todo: nombres de usuario, contraseñas, direcciones, correos electrónicos, números de cuenta, información de tarjetas de crédito, cookies, y hasta ID de sesión. Para darte una idea del alcance del problema, las credenciales en venta en la Dark Web debido a estos ataques aumentaron un 271% entre 2023 y 2024, según un análisis de la unidad de investigación de SILIKN.

La estrategia detrás de estos ataques es simple pero efectiva: engañar al usuario para que descargue el malware. Suelen disfrazarse como juegos gratuitos, software popular o incluso antivirus falsos. Para convencerte, los atacantes utilizan redes sociales, sitios web fraudulentos y otros trucos. Una vez instalado, este programa malicioso se pone a trabajar, recolectando datos desde las carpetas del sistema donde guardas información personal o de autenticación.

Lo peor es que no termina ahí. La información extraída se envía a un servidor remoto, donde se organiza cuidadosamente en archivos fáciles de entender. Estos datos se venden a otros delincuentes o se utilizan para ataques más profundos, como tomar el control de cuentas o redes completas. Y aunque la mayoría de los dispositivos infectados son personales, las consecuencias suelen afectar a empresas y organizaciones que dependen de la seguridad de esos datos.

Por ejemplo, con credenciales robadas, cookies o huellas digitales del navegador, los atacantes pueden secuestrar sesiones, saltarse la autenticación multifactor y acceder a información empresarial crítica. Muchas veces, los datos robados se transfieren mediante plataformas como Discord o Telegram, donde los ciberdelincuentes mantienen su anonimato.

De acuerdo con SILIKN, este tipo de malware ya es una de las mayores amenazas para dependencias gubernamentales, así como para sectores clave como el financiero, el comercio electrónico, la salud, las telecomunicaciones y la industria. Su popularidad entre los atacantes radica en tres cosas: es barato, fácil de usar y extremadamente rentable. Credenciales en texto claro, datos bancarios y números de identificación son solo algunos de los tesoros que buscan.

En 2024, más de la mitad del malware comercializado como servicio (54.8%) correspondió a este tipo de software. Esto significa que cualquiera con recursos técnicos o económicos limitados puede lanzar un ataque sin demasiado esfuerzo. Además, los mercados de datos robados están llenos de registros obtenidos con estas herramientas, lo que agrava el problema.

La realidad es que muchas organizaciones no detectan estas amenazas hasta que ya es demasiado tarde, en parte porque sus soluciones de seguridad están diseñadas para enfrentar riesgos internos o amenazas más conocidas. Este enfoque deja la puerta abierta a los atacantes, que se aprovechan de la falta de preparación frente a un malware tan silencioso como efectivo.

Podría interesarte leer:  Selfies y Credenciales del INE de Mexicanos Filtradas en la Dark Web

Infostealers más peligrosos cuya actividad se ha registrado en México

1. Remcos: Detectado por primera vez en 2016, este troyano de acceso remoto (RAT) se propaga a través de documentos maliciosos de Microsoft Office enviados en correos spam. Lo preocupante es que puede saltarse la seguridad UAC de Windows, lo que le da permisos elevados para ejecutar malware sin restricciones.
   
   
2. AgentTesla: Un RAT avanzado que actúa como keylogger y ladrón de información. Puede registrar las teclas que pulsas, tomar capturas de pantalla y robar credenciales de programas como Chrome, Firefox y Outlook. Es como un espía completo que trabaja en segundo plano.
   
   
3. Lumma Stealer (LummaC2): Originario de Rusia y operativo desde 2022, este malware funciona bajo el modelo de Malware-as-a-Service. Se enfoca en robar credenciales de navegadores y datos de cuentas de criptomonedas, lo que lo hace especialmente peligroso para quienes trabajan con billeteras digitales.
   
   
4. Androxgh0st: Esta botnet afecta a sistemas Windows, Mac y Linux, aprovechando fallas de seguridad en herramientas como PHPUnit, Laravel Framework y Apache Web Server. Su objetivo: robar información sensible de los sistemas vulnerables.
   
   
5. FakeUpdates (SocGholish): Un malware escrito en JavaScript que se usa para descargar e instalar cargas maliciosas en tu equipo. Ha sido clave en la distribución de otros programas dañinos como Dridex, DoppelPaymer y AZORult, entre otros.
   
   
6. AsyncRat: Este troyano para Windows roba información del sistema comprometido y la envía a un servidor remoto. Desde ahí, los atacantes pueden ordenarle descargar complementos, tomar capturas de pantalla, cerrar procesos o incluso desinstalarse.
   
   
7. Vidar: Detectado a finales de 2018, este ladrón de información bajo el modelo de Malware-as-a-Service se especializa en robar datos almacenados en navegadores y billeteras digitales. Si tienes información sensible en tu computadora, Vidar es una seria amenaza.
   
   
8. NJRat: Dirigido principalmente a agencias y organizaciones gubernamentales en Oriente Medio, este RAT se propaga mediante phishing, descargas automáticas y USB infectados. Los atacantes lo manejan a través de un servidor de comando y control (C&C).
   
   
9. Glupteba: Identificado en 2011, este malware empezó como una puerta trasera básica, pero evolucionó hasta convertirse en una botnet sofisticada. Incluso utiliza listas públicas de Bitcoin para actualizar sus servidores de control. También roba datos de navegadores y explota enrutadores.
   
   
10. Formbook: Otro Malware-as-a-Service que se centra en robar credenciales, tomar capturas de pantalla y ejecutar archivos según las órdenes de su servidor. Es uno de los favoritos entre los cibercriminales por su facilidad de uso y efectividad.

Conoce más sobre:  Análisis de Malware con Wazuh

Conclusión

El avance de los sofisticados ladrones de información deja en claro una realidad preocupante: los ciberdelincuentes están perfeccionando sus métodos y aprovechando nuevos vectores de ataque. Esto exige que las organizaciones vayan más allá de las defensas tradicionales y adopten estrategias de seguridad proactivas y adaptativas que les permitan anticipar, detectar y neutralizar las amenazas emergentes de manera efectiva.

Enfrentar estos desafíos no tiene por qué ser un proceso complicado. Contáctanos y te ayudaremos a fortalecer tu estrategia de ciberseguridad con soluciones avanzadas y personalizadas. Ya sea para proteger información sensible, prevenir ciberataques o garantizar la resiliencia de tus sistemas, contamos con la experiencia y las herramientas necesarias para respaldarte en cada etapa. No permitas que las amenazas comprometan la seguridad de tu organización.