Hace poco, en Lumma Market, un mercado clandestino de la dark web, se publicó un anuncio vendiendo un lote de datos robados. Lo inquietante es que provenían de un dispositivo con IP mexicana (201.119.8.84). Detrás de esto está Lumma Infostealer, un malware que está dando mucho de qué hablar. Funciona bajo el modelo Malware-as-a-Service (como un servicio por suscripción, pero del lado oscuro), y se está haciendo cada vez más presente en los ciberataques que afectan a usuarios en México.
El 10 de junio de 2025 apareció un anuncio que da miedo: por solo un dólar, cualquiera podía comprar un paquete con 209 contraseñas y 5,133 cookies robadas de servicios súper populares como Facebook, Instagram, Twitter, TikTok, OKX, LinkedIn, Pinterest, YouTube y Google.
¿La parte más grave? Esas cookies permiten entrar a las cuentas sin necesidad de poner la contraseña. Es como si los atacantes tuvieran un pase directo a tu perfil. Esto facilita fraudes, suplantaciones y accesos no autorizados en segundos. Entre las contraseñas filtradas también había accesos a sitios como Facebook y Battle.net, usados tanto por usuarios comunes como por gamers.
Aunque el precio parezca ridículamente bajo, no es casualidad. Es parte de un modelo de negocio bien pensado: vender muchos datos robados a precios muy bajos para ganar más por volumen. Es como el “mayoreo” del cibercrimen.
Y cuidado: sitios como lumma-market.ru, donde se comercializa este tipo de contenido, no solo son ilegales, sino que también pueden infectarte apenas entras. Visitar estas páginas puede exponerte a más virus, más robo de datos o fraudes aún peores. Así que mejor, ni los mires.
Podría interesarte leer: 10 Mercados de la Dark Web más Activos en 2025
Lumma Infostealer no es un malware cualquiera. Funciona como un servicio por suscripción, al estilo Netflix… pero para cibercriminales. Sí, así como lo lees. Su modelo Malware-as-a-Service (MaaS) permite que cualquiera con malas intenciones lo alquile para robar datos a otras personas. Y lo peor: está creciendo rápido y México está en su radar.
Su manera de operar sigue una secuencia bastante bien pensada:
Primero te engañan: Te llega un correo sospechoso que parece de la CFE, Telmex o tu banco, o tal vez ves un “PDF de factura” en un canal de Telegram o un enlace en YouTube para descargar “software gratuito”. Si haces clic… ya estás atrapado.
Luego se mete en tu compu: Una vez dentro, recolecta todo: contraseñas, cookies, accesos a billeteras de criptomonedas, y más.
Después, manda todo a sus servidores: La info se envía a servidores (la mayoría en Rusia) que los criminales usan para controlarlo todo.
Y por último, la venden: Esos datos terminan en mercados como Lumma Market, donde literalmente puedes comprar cookies y contraseñas por unos cuantos pesos.
Durante 2024 y lo que va de 2025, México ha sido uno de los blancos favoritos de Lumma. ¿Por qué? Porque aquí han encontrado formas muy efectivas de engañar a la gente. Algunas de sus tácticas más comunes son:
Phishing muy bien disfrazado: Correos que parecen de servicios mexicanos para que confíes y caigas.
Ataques al sector educativo: Se han infiltrado en páginas de instituciones reales para distribuir el malware desde sitios “seguros”.
Obsesión por las criptos: A medida que más personas usan criptomonedas en el país, los atacantes van tras plataformas como OKX.
Técnicas muy refinadas: Usan cosas como páginas falsas con reCAPTCHA (sí, como las que te piden confirmar que no eres un robot), pero que están alojadas en servicios en la nube que parecen legítimos. Así, muchos antivirus ni las detectan.
El 15 de mayo de 2025, Europol, el FBI y otras agencias se coordinaron para pegarle al corazón de Lumma. Lograron cerrar más de 2,500 dominios usados como servidores y paneles de control. Hasta los criminales se quejaron en foros de la dark web porque su “servicio” se cayó.
¿El problema? No fue suficiente. Muchos servidores clave, sobre todo los que están en Rusia, siguieron activos. El 23 de mayo, el mismo creador de Lumma salió a decir que nadie fue arrestado y que todo volvía a la normalidad. Y para el 29 de mayo, un bot en Telegram ya estaba ofreciendo 406 registros robados de 41 países. Así que sí, sigue vivo… y muy activo.
Conoce más sobre: Caída del Malware Lumma Stealer: Incautan 2.300 Dominios
Uno de los casos más concretos fue el de un dispositivo ubicado en México con la IP 201.119.8.84. Desde ahí se robaron datos que luego fueron puestos en venta en la dark web. Esto no solo afecta a la persona que usaba ese dispositivo, sino también a cualquier empresa donde trabajara o con la que tuviera contacto. Así de fácil puede escalar un ataque.
No todo está perdido. Hay varias cosas simples pero efectivas que puedes hacer para protegerte de Lumma y de otros malwares similares:
Desconfía de lo que no esperas: Si te llega un correo raro con un archivo o enlace, ¡no lo abras! Aunque parezca legítimo.
Revisa bien las direcciones web: A veces cambian una letra o un símbolo para engañarte. Verifica siempre que el sitio sea oficial.
Cambia tus contraseñas y usa 2FA: Especialmente si sospechas que alguna cuenta fue comprometida. Y si puedes, usa un gestor de contraseñas seguro.
Ten un buen antivirus y mantenlo actualizado: No es infalible, pero puede ayudarte a detectar cosas sospechosas.
Monitorea tus cuentas: Revisa regularmente tus movimientos en redes sociales, bancos y plataformas de criptos. Si ves algo raro, actúa rápido.
Capacita a tu equipo: Asegúrate de que todos tus trabajadores sepan identificar un intento de phishing o una amenaza.
Reporta incidentes: No te lo guardes. Reportar ayuda a las autoridades a identificar patrones y actuar.
Lumma Infostealer no es cualquier virus, es un sistema bien montado, rentable y muy difícil de frenar. Su modelo basado en volumen, la forma en que se adapta y su capacidad para engañar hasta a los usuarios más cuidadosos lo hacen una amenaza real. Y lo peor: México está entre sus principales objetivos.
Casos como el del dispositivo con IP mexicana muestran que nadie está exento, ni usuarios comunes ni empresas grandes. Por eso, la mejor defensa sigue siendo la prevención, estar informados y actuar con sentido común.