El malware tipo infostealer se ha convertido en uno de los mejores ejemplos de la industrialización del cibercrimen. Estas herramientas, diseñadas para robar credenciales y datos personales, han popularizado un modelo de negocio criminal que permite a cualquier usuario lanzar campañas de robo de información con inversiones mínimas y sin conocimiento técnico.
¿Cómo funciona un infostealer?
Entre marzo y mayo de 2025, se detectaron más de 394.000 equipos infectados por Lumma, considerado en ese momento el infostealer más extendido de los últimos años. Esta acción fue coordinada con Europol, Microsoft y otros socios internacionales como el Departamento de Justicia de Estados Unidos y el Centro de Control del Cibercrimen de Japón. En ella se interrumpió la infraestructura técnica de este malware, bloqueando sus comunicaciones con las víctimas.
Lumma permitía a los ciberdelincuentes recopilar datos confidenciales de dispositivos comprometidos a gran escala. Sin que sus usuarios fueran conscientes del robo. “Y es que, a diferencia de un ransomware, que bloquea la pantalla y exige un rescate”. Explica Hervé Lambert, Global Consumer Operation Manager de Panda Security. “Las herramientas tipo infostealer como Lumma extraen las credenciales y desaparecen sin dejar rastro aparente para la víctima”.
La detección masiva que realizó Microsoft en 2025 no ocurrió, por tanto, porque los usuarios dieran la voz de alarma. Ocurrió a través de telemetría avanzada y la monitorización de la infraestructura criminal. “Algo que para un usuario común o una pyme sin recursos tecnológicos resulta extremadamente difícil”. Apunta el experto de Panda Security.
Los infostealer son un tipo de malware de guante blanco que entra en el dispositivo, roba los datos y se va en cuestión de segundos. No ralentiza el ordenador de forma evidente ni muestra anuncios. Además, lo puede usar cualquiera. “Ya no es necesario ser un experto hacker ni saber programar”, avisa Lambert,.“Porque el cibercrimen se ha industrializado a través del modelo malware as a service. Y este tipo de solución se alquila a precios populares”, se lamenta.
¿Cuánto cuesta un infostealer?
Según la reputación del virus y el nivel de evasión de herramientas de ciberseguridad que se necesite, estos infostealer pueden costar más o menos. “Pero sus precios varían entre los 100 euros en su versión más básica, hasta los 20.000 euros para aquellos que no quieren pagar una mensualidad y prefieren gestionar su propia red de distribución de forma independiente”. Descubre el directivo de Panda Security.
Del malware básico al premium
Las gama básica o clones son los más accesibles. “Ofrecen las funciones de robo estándar, pero sus archivos son detectados con mayor rapidez si el delincuente no sabe camuflarlos por su cuenta”, explica Lambert. Los de gama media como Lumma o Raccoon pueden costar entre 200 y 250 euros al mes. “Y dan acceso al panel de control interactivo donde el criminal ve en tiempo real las contraseñas, cookies y criptomonedas que va robando a las víctimas. Además de actualizaciones periódicas del virus”, describe el experto.
Los de gama alta suelen costar entre 400 y 900 euros al mes. “Y están diseñados para ciberdelincuentes con más recursos”, apostilla Lambert. El precio incluye sistemas avanzados de evasión (criptografía) que modifican el código del virus automáticamente cada pocas horas para que los antivirus no lo reconozcan. Y cuentan con soporte técnico 24/7.
“Para aquellos criminales que prefieren comprar el troyano hay un tipo de licencia completa con un pago único que puede rondar los 20.000 euros. Esta permite modificar el malware al antojo del comprador, alojarlo en sus propios servidores privados y crear su propia marca para realquilarlo a su vez a delincuentes de menor nivel”. Dice el experto de Panda Security.
Comprar el infostealer es sólo el primer paso. Para que la campaña de infección funcione, los delincuentes suelen invertir en otros servicios del mercado negro. “Como los crypters o servicios de camuflaje, que cuestan entre 20 y 50 euros por archivo y se usan para asegurar que el virus sea indetectable antes de lanzarlo. O bases de datos de correos (leads) cuyos precios rondan los 100 euros y sirven para dirigir las campañas de falsas facturas o falsos CAPTCHAs a emails corporativos”. Explica Lambert.
¿Cuánto se puede ganar?
Toda esta inversión, que en su versión más básica no llega a los 250 euros, puede llegar a ser muy rentable. “Con ganancias desde los 500 euros semanales hasta el millón por campaña”. Asegura el experto de Panda Security.
La rentabilidad también está industrializada, y el dinero que gana un ciberdelincuente depende del número de ordenadores infectados y de la calidad de los datos robados. “Lo que en el mercado negro se vende bajo el nombre de logs o paquetes de datos”, apunta Lambert.
De principiantes a redes organizadas
Un log estándar individual, que contiene todo lo que tenía guardado una víctima en su navegador (contraseñas, tarjetas y cookies), se vende en tiendas automatizadas de la Dark Web. Por ejemplo, en Russian Market, por un precio medio de 10 euros. Sin embargo, si el paquete contiene accesos bancarios o corporativos su precio se multiplica. Así, los script kiddies, o principiantes, con pocos conocimientos técnicos que alquilan un stealer básico por unos 100 euros al mes y difunden el virus a través de vídeos de Youtube que prometen trucos de videojuegos, consiguen entre 50 y 200 infecciones al mes. Y, venden los logs por unos 5 o 10 euros cada uno, lo que se traduce en ganancias estimadas de entre 500 y 2000 euros al mes.
El afiliado profesional con presupuestos para pagar herramientas de gama media que, además, invierte en anuncios trampa de Google o páginas web clonadas convincentes, consigue entre 1.000 y 5.000 ordenadores infectados al mes. Y puede ganar entre 15.000 y 50.ooo euros. Mientras que las organizaciones y los Initial Access Brokers (IABs), “o grupos de crimen organizado avanzado que utilizan suscripciones corporativas o compran el código fuente del malware”, dice Lambert. Pueden ganar desde 10.000 a un millón de euros por campaña exitosa si el acceso corporativo vendido acaba en un ataque de ransomware multimillonario donde ellos cobran comisión. “Estos grupos no buscan infectar al usuario común, sino diseñar campañas hiperdirigidas para comprometer equipos corporativos”. Especifica el experto de Panda Security.
La infraestructura financiera del cibercrimen
“Es importante puntualizar que los delincuentes de gama media y alta no utilizan cuentas bancarias tradicionales para cobrar el dinero. Han diseñado todo un entramado financiero digital que complica el rastreo por parte de los cuerpos de seguridad como Europol o la Policía Nacional”. Avisa Lambert. De este modo, toda la economía interna del malware se mueve en Monero (XMR). Estas son criptomonedas de privacidad por defecto que, a diferencia de Bitcoin, oculta matemáticamente al emisor, al receptor y la cantidad transferida. “Los foros donde se alquilan infostealer como Lumma o se venden paquetes de datos robados exigen esta moneda de forma obligatoria”. Apunta el experto de Panda Security.
Para transformar las criptomonedas en dinero de uso oficial, los delincuentes recurren a las mulas muleras. “Que son personas captadas en redes sociales que, mediante falsas ofertas de empleo desde casa, reciben transferencias en sus cuentas bancarias legítimas. Luego, retiran el dinero en cajeros físicos y lo envían a los líderes de la organización mediante empresas de remesas o mensajería. Estos asumen todo el riesgo legal ante una investigación policial”. Cuenta Lambert.
Los infostealer se suelen adquirir en canales y grupos privados de Telegram, en foros de ciberdelincuencia de la Dark Web o a través de sistemas de garantía o Escrow gestionados por los administradores de estos foros. Y, se utilizan, mayoritariamente, hacia sectores estratégicos donde las credenciales corporativas o las cookies de sesión dan acceso directo a activos financieros o a datos de alto valor en el mercado negro. “El sector turístico y hotelero es uno de los más castigados, también el fintech, el de banca y criptomonedas. Y, el de la logística y cadena de suministro”, enumera Lambert.
¿Cómo evitar un infostealer?
Para evitar la infección por este tipo de malware ya no basta con los antivirus tradicionales basados únicamente en firmas. “Las empresas necesitan combinar varias capas de protección dentro de un modelo Zero Trust”, asegura el experto. “Desde autenticación resistente al phishing como FIDO2 hasta soluciones avanzadas como la protección avanzada del Endpoint. Estos son capaces de detectar comportamientos sospechosos en tiempo real y frenar el ataque antes de que se propague. Junto a una gestión centralizada y cifrada de contraseñas”.
No es casualidad que la protección avanzada del endpoint se haya convertido en una de las piezas estratégicas más relevantes dentro de las grandes plataformas modernas de ciberseguridad como Panda Security, parte del grupo WatchGuard.
Cómo deben protegerse empresas y usuarios
Para los departamentos de empresa sometidos a un mayor riesgo y exposición, como Recursos Humanos o Atención al Cliente, se debe implementar navegación web virtualizada en la nube. “Mediante esta tecnología, si un empleado cae en la trampa de un falso CAPTCHA y ejecuta el código malicioso, este se ejecutará dentro de un contenedor remoto aislado que se destruye por completo al cerrar la pestaña. Esto impide que el virus llegue a tocar o infectar el ordenador real del trabajador”, dice Lambert.
Para un usuario común evitar un infostealer como Lumma no requiere de conocimientos técnicos avanzados, sino de romper la cadena de automatismos. Es decir, esquivar ciertas prácticas que nos ponen en peligro sin saberlo, como el autoguardado de contraseñas del navegador. “En su lugar, la primera línea de defensa consiste en migrar esa información a un gestor de contraseñas independiente (como Bitwarden o 1Password). Que, al contrario que los navegadores, blindan las credenciales en una base de datos fuertemente cifrada que resulta inaccesible para el troyano desde los directorios locales del equipo”, explica Lambert.
Hábitos que reducen el riesgo
El segundo automatismo que se debe desmantelar es la confianza ciega al verificar nuestra identidad en la red. Bajo el engaño conocido como el falso CAPTCHA (ClickFix), el malware manipula al usuario para que solucione un supuesto “error de lectura”. “La regla de oro aquí es matemática”, asegura el experto.”Un sistema de verificación legítimo jamás nos pedirá pulsar la combinación de teclas Windows + R ni pegar códigos en la consola de comandos”, sostiene. Si una web exige este proceso, la única respuesta segura es cerrar la pestaña de inmediato.
Asimismo, es fundamental asumir que la contraseña ya no es una barrera suficiente. Si por un descuido el virus logra extraer nuestras claves, el acceso del atacante se puede frenar en seco implementando el Doble Factor de Autenticación (MFA). A través de aplicaciones móviles de autenticación, descartando los códigos por SMS, que son vulnerables si el correo ya ha sido comprometido.
Por último, la prevención implica limpiar el camino por el que navegamos. Instalar extensiones de bloqueo de publicidad reputadas neutraliza los anuncios trampa en los buscadores. Evitando que terminemos descargando programas cotidianos modificados con código malicioso.
En definitiva, la seguridad frente a un infostealer no depende de un software complejo. Sino de sustituir la inercia del clic rápido por una pausa de sospecha activa.
