Un infostealer es un tipo de malware diseñado para vaciar en silencio el contenido más valioso de un dispositivo: contraseñas, cookies de sesión, tokens de autenticación, datos de autocompletado, claves de VPN y hasta archivos de monederos digitales. No busca destruir; busca copiar, empaquetar y enviar la información al atacante antes de desaparecer, como un ladrón que entra, vacía los cajones y deja la puerta casi cerrada.
Su atractivo para el cibercrimen está en la eficacia y el coste. Con una sola infección puede abrir la puerta a fraudes bancarios, toma de cuentas, espionaje corporativo y, con frecuencia, a la siguiente fase del ataque: ransomware. En los últimos años, su expansión ha ido en paralelo al uso del navegador como centro de la vida digital y al auge del modelo malware as a service, que permite comprar estas herramientas por suscripción y lanzar campañas sin grandes conocimientos técnicos.
Una industria del robo que funciona como un negocio
La lógica del infostealer es industrial. Detrás suele haber una cadena con distintos papeles: desarrolladores que crean el código, intermediarios que lo alquilan o revenden y operadores que lo distribuyen en campañas de phishing, descargas maliciosas, anuncios engañosos o software manipulado. El objetivo no es solo infectar, sino convertir cada dispositivo comprometido en un paquete de datos monetizable, conocido en el mercado clandestino como log.
Ese cambio de escala explica por qué la amenaza ha crecido tanto. Informes de la industria han señalado que, solo en 2024, los infostealers alimentaron el robo de 2.1 billion credenciales y concentraron más del 60% de las credenciales robadas registradas por organizaciones. No se trata de un fenómeno marginal ni de una rareza técnica: es una economía paralela, con precios bajos, márgenes altos y una rotación constante de familias nuevas cuando una campaña queda expuesta o se desmantela.
La consecuencia práctica para empresas y particulares es dura: el robo de credenciales ya no depende de descifrar contraseñas. Muchas veces basta con capturar lo que el navegador ya había guardado o la sesión que seguía abierta. Por eso el impacto de una infección puede notarse días después, cuando un actor distinto, comprado el acceso, intenta entrar desde otro país, otro equipo o una red anónima.
Cómo entra el malware en el dispositivo
La vía de entrada suele apoyarse en la confianza del usuario. El correo de phishing sigue siendo un canal clásico, pero no el único. También abundan las páginas falsas que simulan descargas de software, anuncios manipulados, extensiones maliciosas, instaladores troyanizados y campañas que se camuflan como herramientas legítimas, desde utilidades de productividad hasta supuestas aplicaciones de inteligencia artificial. El cebo cambia; el patrón, no.
El software pirata y los cracks siguen siendo un imán. Los atacantes saben que una parte de los usuarios acepta el riesgo con tal de obtener una licencia gratuita o una versión modificada de un programa popular. En ese terreno, el infostealer se mezcla con instaladores aparentemente inocentes, mods de videojuegos, paquetes de trampas, utilidades de soporte y archivos comprimidos que esconden la carga real. A menudo, el usuario no ve nada sospechoso hasta que el daño ya está hecho.
En entornos corporativos, el riesgo se amplifica por las estaciones no gestionadas, los equipos de contratistas y el trabajo híbrido. Un portátil personal con acceso a correo, VPN o aplicaciones SaaS puede convertirse en el punto débil de toda una organización. No hace falta una gran intrusión perimetral cuando el navegador guarda, en silencio, las llaves de múltiples servicios críticos.
Qué roba exactamente y por qué esas piezas valen tanto
El botín más buscado son las contraseñas guardadas en navegadores y aplicaciones, pero la captura de valor real suele llegar con las cookies de sesión y los tokens de autenticación. Esos elementos funcionan como un pase temporal que confirma que el usuario ya superó el inicio de sesión y, en muchos casos, también la verificación multifactor. Si el atacante los reutiliza, entra como si fuera el dueño de la cuenta sin necesidad de conocer la clave original.
Además de credenciales de acceso, los infostealers suelen extraer historial de navegación, direcciones, datos de autocompletado, claves API, perfiles de VPN, credenciales de correo, archivos locales sensibles y, cada vez más, monederos de criptomonedas y extensiones asociadas. En equipos corporativos, eso puede incluir secretos de desarrollo, accesos a plataformas cloud y datos de administración que luego se usan para avanzar lateralmente por la red.
Las cookies merecen una atención especial. A diferencia de una contraseña, una sesión activa puede permitir acceso inmediato a cuentas de correo, almacenamiento, comercio electrónico o aplicaciones empresariales sin pasar de nuevo por la autenticación. Esa es una de las razones por las que cambiar la clave tras un incidente, sin cerrar sesiones y revocar tokens, ofrece una sensación de seguridad que no siempre se corresponde con la realidad.
Cómo se produce el robo paso a paso dentro del equipo
Una vez ejecutado, el malware actúa con rapidez. Explora el sistema en busca de navegadores basados en Chromium, Firefox y otros almacenes de credenciales, consulta bases de datos locales y usa funciones del sistema operativo para descifrar los secretos guardados. En algunos casos, el propio código abre procesos de navegador, accede a su contexto o extrae datos de directorios donde se almacenan perfiles y sesiones. El robo suele ser breve, quirúrgico y silencioso.
La exfiltración es la fase decisiva. La información se empaqueta en archivos estructurados, se comprime y se envía al servidor de mando y control del atacante, o a servicios legítimos usados como cobertura, como canales de mensajería, plataformas de almacenamiento o infraestructuras alojadas en la nube. Desde fuera, el tráfico puede parecer una conexión normal a un servicio cifrado; por dentro, es la salida del botín.
Muchas variantes desaparecen después de completar la extracción, lo que dificulta la respuesta forense. Esa ausencia de persistencia es deliberada: cuanto menos permanezca el malware, menor será la probabilidad de análisis en profundidad. El equipo de seguridad suele llegar tarde al archivo ejecutable, pero a tiempo de ver el daño indirecto: inicios de sesión anómalos, sesiones secuestradas o credenciales expuestas en mercados clandestinos.
Por qué la autenticación multifactor no siempre basta
El multifactor sigue siendo esencial, pero no es una muralla perfecta cuando el ataque roba una sesión ya autenticada. Esa es la gran trampa de este tipo de malware: no siempre intenta entrar por la puerta principal, sino que copia la tarjeta de acceso una vez dentro. Si el token de sesión sigue válido, el atacante puede moverse con normalidad en servicios web aunque la contraseña se haya cambiado después.
En la práctica, eso obliga a pensar en capas. La protección resistente al phishing, como FIDO2 o passkeys, reduce mucho la exposición porque usa claves criptográficas vinculadas al dispositivo y al servicio, en lugar de secretos reutilizables. Aun así, una empresa o un usuario no puede confiar solo en la tecnología de autenticación si deja sin control los navegadores, los equipos personales, los permisos de acceso y la higiene de sesiones.
La falsa sensación de seguridad es uno de los riesgos más caros. Un panel de administración puede mostrar que la contraseña fue cambiada; sin embargo, la sesión robada sigue activa en otro dispositivo. Para el atacante, eso es una puerta abierta con alfombra roja. Para la víctima, una cuenta aparentemente recuperada que sigue comprometida por debajo de la superficie.
Qué hacen los atacantes con las credenciales robadas
El ciclo económico comienza con la reventa. Los paquetes de credenciales circulan en foros clandestinos, canales privados y mercados donde se valoran especialmente las cuentas vinculadas a servicios financieros, correo corporativo, plataformas cloud, redes sociales y herramientas de colaboración. Cuanto más sensible es el acceso, mayor es el precio, porque más usos posteriores admite.
Una cuenta de correo vale mucho más de lo que parece. Desde ahí se pueden restablecer contraseñas de otros servicios, lanzar fraudes a contactos, interceptar conversaciones, pedir pagos urgentes o buscar facturas y datos operativos. En una empresa, una bandeja de entrada comprometida puede abrir la puerta a ingeniería social avanzada, fraude del CEO y acceso a repositorios que almacenan información confidencial.
Las credenciales también alimentan campañas de relleno de credenciales, acceso inicial para ransomware y fraude con identidades digitales. En algunos casos, el atacante utiliza el perfil de la víctima para enviar mensajes a su entorno, sembrar confianza o prolongar el acceso. La cuenta robada deja de ser un fin y se convierte en un trampolín.
La cadena que conecta infostealers y ransomware
La relación entre robo de credenciales y ransomware está ya bien asentada. Muchas intrusiones empiezan con un infostealer, pasan luego por un broker de acceso inicial y terminan en manos de un grupo distinto que cifra sistemas o extorsiona a la organización. No siempre hay un único actor. De hecho, la separación entre quien roba y quien extorsiona es parte de la eficiencia criminal.
Eso cambia la forma de responder a un incidente. Un hallazgo de infostealer no debería tratarse como una simple limpieza de endpoint. Es una señal de posible compromiso ampliado, porque las credenciales extraídas pueden seguir circulando aunque el dispositivo original ya esté aislado. La respuesta correcta incluye revocar sesiones, rotar claves, revisar accesos y buscar movimientos laterales durante el periodo de exposición.
El riesgo aumenta cuando el equipo afectado pertenece a un usuario con privilegios, acceso a sistemas de producción, herramientas de desarrollo o credenciales administrativas. En esos casos, el malware no solo roba acceso; puede comprar tiempo para una ofensiva mayor. El primer golpe es el más barato, pero no siempre el último.
Qué señales dejan y cómo reconocer una infección
El problema de estas amenazas es su discreción. Aun así, dejan rastros útiles. Inicios de sesión desde ubicaciones inusuales, huellas de dispositivos desconocidas, sesiones simultáneas en regiones distintas, actividad sospechosa en el navegador y conexiones salientes hacia servicios poco habituales en un puesto de trabajo pueden apuntar a un robo de credenciales. En paralelo, la telemetría de seguridad puede mostrar accesos anómalos a bases de datos de navegador o almacenes de cookies.
El navegador es el gran campo de batalla. Cuando un proceso que no debería tocar credenciales accede a ellas, el indicador es valioso. También lo son los arranques extraños con parámetros de depuración remota, los procesos en modo headless, la creación repentina de archivos comprimidos y las salidas cifradas hacia dominios que no encajan con la actividad normal del usuario.
En organizaciones maduras, la vigilancia sobre filtraciones externas y mercados clandestinos ayuda a detectar el problema antes de que se convierta en crisis. Ver una credencial corporativa en un log vendido fuera de la empresa es una alarma temprana, no una curiosidad. Para entonces, lo importante ya no es solo qué cayó, sino qué puede seguir cayendo a partir de ahí.
Por qué cuesta tanto frenarlos con defensas tradicionales
La firma ya no alcanza por sí sola. Muchas variantes están ofuscadas, cambian con rapidez y ejecutan sus funciones clave solo en el momento oportuno. Ese comportamiento reduce la utilidad de la detección estática y obliga a mirar la conducta: qué proceso abrió a cuál, qué archivo se tocó, hacia dónde salió el tráfico y si el patrón coincide con un robo de identidad.
También pesa el uso de servicios legítimos como canal de exfiltración. Bloquearlos a ciegas no es práctico, porque forman parte de la vida diaria de empresas y usuarios. Por eso, la defensa moderna tiene que apoyarse en correlación, telemetría de identidad, control de navegadores, protección del endpoint y detección de comportamiento, no en una sola capa aislada.
Otro obstáculo es la velocidad. El malware entra, roba y sale antes de que el usuario advierta algo extraño. Cuando el equipo de seguridad recibe el indicio, a menudo ya está gestionando efectos secundarios: sesiones secuestradas, credenciales reutilizadas, correos enviados desde cuentas legítimas y actividad postcompromiso que puede extenderse durante días o semanas.
Qué medidas cambian realmente el tablero
La primera barrera está en la higiene de acceso. Las contraseñas únicas y robustas siguen siendo básicas, pero deben acompañarse de gestores seguros, autenticación resistente al phishing y una política de revocación rápida de sesiones. En paralelo, conviene limitar el almacenamiento de claves en el navegador, sobre todo en equipos con acceso a sistemas críticos o cuentas de alto valor.
En empresas, la separación entre equipos personales y corporativos importa más de lo que suele reconocerse. Los portátiles de contratistas, desarrolladores y usuarios con acceso a datos sensibles necesitan el mismo nivel de control que un servidor expuesto, porque en la práctica funcionan como una extensión de la superficie de ataque. Un navegador abierto en casa puede tener más alcance del que aparenta.
También ayuda restringir la ejecución de programas desde directorios de riesgo, exigir software firmado, revisar extensiones del navegador y monitorizar la aparición de tokens, cookies y credenciales expuestas en servicios externos. Ninguna de estas acciones por sí sola resuelve el problema, pero juntas reducen el margen de maniobra del atacante y acortan el tiempo entre la intrusión y la contención.
Lo que revela esta amenaza sobre la seguridad digital actual
La lección más incómoda de los infostealers es que la seguridad ya no gira solo en torno al perímetro. Gira en torno a la identidad, la sesión y el navegador, que se han convertido en el nuevo centro de gravedad. Allí conviven contraseñas, cookies, preferencias, llaves de trabajo y acceso a servicios que antes estaban detrás de muros más visibles.
Por eso el impacto de esta familia de malware trasciende al equipo infectado. Afecta a bancos, comercios electrónicos, plataformas SaaS, medios de comunicación, administraciones y cualquier organización que dependa de cuentas en la nube. Lo que empieza como una infección discreta puede acabar como una cadena de compromisos, una ola de fraudes o una extorsión mayor comprada en otra esquina del mercado clandestino.
En un ecosistema donde el acceso se compra, se revende y se reutiliza con enorme rapidez, el valor de cada credencial depende menos de su complejidad y más del contexto en que vive. Ese es el verdadero negocio del infostealer: convertir hábitos cotidianos, como guardar una contraseña o mantener una sesión abierta, en mercancía para el crimen digital.
Alessandro Elia
Fuente de esta noticia: https://donporque.com/que-es-infostealer/
También estamos en Telegram como @prensamercosur, únete aquí: Telegram Prensa Mercosur
Recibe información al instante en tu celular. Únete al Canal del Diario Prensa Mercosur en WhatsApp a través del siguiente link: https://whatsapp.com/channel/0029VaNRx00ATRSnVrqEHu1
También estamos en Telegram como @prensamercosur, únete aquí: https://t.me/prensamercosur
Recibe información al instante en tu celular. Únete al Canal del Diario Prensa Mercosur en WhatsApp a través del siguiente link: https://www.whatsapp.com/channel/0029VaNRx00ATRSnVrqEHu1W
ACERCA DEL CORRESPONSAL
REDACCIóN CENTRAL
Prensa Mercosur es un diario online de iniciativa privada que fue fundado en 2001, donde nuestro principal objetivos es trabajar y apoyar a órganos públicos y privados.
- ★Adidas convierte el fútbol de barrio en épica global con ‘Backyard Legends’
- ★Toyota #7 recupera la corona y gana las 24 Horas de Le Mans; López es 4° en LMGT3
- ★Tras su visita al Bernabéu, el Papa León XIV es nombrado socio de honor del Real Madrid
- ★COCA-COLA INAUGURA SU FAN ZONE Copa Mundial de la FIFA 26™ Acceso gratuito para los aficionados
- ★La Cueva de Oztuyehualco enfrenta una nueva amenaza: dónde firmar para proteger a los murciélagos
