Comprar el acceso a una cuenta bancaria por apenas dos dólares ya no suena a película de hackers… es algo que está pasando ahora mismo. Lo que antes era terreno de ciberdelincuentes súper especializados, hoy se parece más a una tienda online donde cualquiera con malas intenciones y un poco de cripto puede ir de compras. Así funciona Russian Market, un mercado oculto que se ha convertido en uno de los lugares favoritos para conseguir credenciales robadas usando malware diseñado para robar información.
Aunque lleva varios años en funcionamiento, su fama se disparó recientemente tras la caída de otros mercados similares. Eso abrió la puerta a una avalancha de nuevos usuarios buscando accesos fáciles y baratos. Y sí, muchas de las credenciales que se venden ya fueron filtradas hace tiempo, pero eso no ha impedido que esta plataforma crezca como la espuma. ¿La razón? Su catálogo enorme y precios absurdamente bajos: puedes comprar el acceso completo a cuentas digitales por el precio de un café.
No estamos hablando de algo lejano o raro. Todos los días, miles de cuentas de correo, redes sociales, plataformas bancarias e incluso sistemas empresariales terminan listadas ahí.
Cómo Russian Market convierte los registros de infostealer en oro para ciberdelincuentes
Cuando un malware tipo infostealer infecta una computadora, lo que hace básicamente es hurgar en todo el sistema y robar lo que encuentra: contraseñas guardadas, cookies de sesión, datos de tarjetas, billeteras de criptomonedas, y hasta información del perfil del sistema. Toda esa información se guarda en lo que se conoce como un registro de infostealer (que suele ser uno o varios archivos de texto con todo lo robado).
Y no se trata de un par de claves. Cada registro puede contener decenas, cientos o incluso miles de credenciales. Si sumamos todos esos registros de distintas víctimas, el volumen total de credenciales robadas se dispara fácilmente a cientos de millones. Una vez que el malware termina su trabajo, sube esos archivos al servidor del atacante, donde pueden ser usados para otros ataques... o puestos a la venta en mercados como Russian Market.
Este tipo de malware se ha vuelto increíblemente popular entre los ciberdelincuentes, sobre todo porque ahora no solo apuntan a usuarios comunes: también van directo contra empresas. ¿El objetivo? Robar cookies de sesión y credenciales corporativas, muchas de ellas vinculadas a herramientas críticas para el trabajo.
De hecho, se ha visto que en el Russian Market, el 61 % de los registros disponibles contenían credenciales de plataformas como Google Workspace, Zoom o Salesforce. Y un 77 % incluía accesos a sistemas con inicio de sesión único (SSO), lo que puede dar a los atacantes la llave de entrada a muchísimos servicios con una sola cuenta.
Cuando se compromete una cuenta en la nube, los atacantes no solo entran al sistema: pueden moverse con libertad, acceder a información delicada y, en muchos casos, pasar completamente desapercibidos. Es una puerta abierta a todo tipo de ataques más graves.
Página de registros en el mercado
Conoce más sobre: Los 10 Principales Mercados de la Dark Web
Lumma pierde fuerza y Acreed toma el relevo
Durante un análisis de más de 1,6 millones de publicaciones en Russian Market, se detectó un cambio interesante en el mundo del malware que roba información: mientras uno cae, otro empieza a subir como la espuma.
Hasta hace poco, Lumma era el rey del mercado. De hecho, llegó a estar detrás del 92 % de todos los registros de credenciales vendidos ahí. Su dominio empezó justo después de que Raccoon Stealer desapareciera tras una intervención de las autoridades. Pero parece que a Lumma le está llegando su turno, porque recientemente también fue golpeado por una operación policial a nivel global que logró confiscar más de 2,300 dominios vinculados a su infraestructura.
Infostealer registra porcentaje del mercado ruso(Fuente: ReliaQuest)
Aún no está del todo claro si esto marcará el final de Lumma, pero ya se sabe que sus desarrolladores están tratando de volver al juego, según reportes. Mientras tanto, un nuevo jugador está haciendo ruido: Acreed.
Este nuevo infostealer ha ganado notoriedad rápidamente, y no es para menos: solo en su primera semana, se subieron más de 4,000 registros robados gracias a él, según datos de Webz. Eso es un arranque fuerte.
En cuanto a lo que roba, Acreed sigue la misma línea que otros malware de este tipo: va tras contraseñas, cookies, datos de tarjetas de crédito y billeteras cripto, especialmente los almacenados en navegadores como Chrome y Firefox (y sus variantes).
¿Y cómo infecta? De las formas clásicas, pero efectivas: correos de phishing, anuncios falsos de programas "premium", campañas tipo ClickFix, y hasta videos en YouTube o TikTok con enlaces maliciosos. Por eso, lo mejor es estar atentos, evitar descargar software de fuentes dudosas y seguir buenas prácticas para mantenernos fuera del radar de este tipo de amenazas.
