Estos malware están diseñados para robar datos sensibles de las víctimas sin que estas se den cuenta, operando de forma silenciosa y subrepticia.
Los infostealers representan una de las amenazas más insidiosas en el panorama de la seguridad informática actual. Estos programas maliciosos están diseñados para robar datos sensibles de las víctimas sin que estas se den cuenta, operando de forma silenciosa y subrepticia.
Su historia está estrechamente ligada a la evolución del malware en general, que ha visto un progresivo refinamiento de las técnicas de ataque y un aumento de la sofisticación de las herramientas utilizadas por los ciberdelincuentes. Su evolución ha sido fuertemente influenciada por el aumento de la digitalización y la proliferación de los servicios online.
Con la expansión del uso de internet y las transacciones digitales, los ciberdelincuentes han encontrado nuevas oportunidades para aprovechar las vulnerabilidades (y a veces la ingenuidad) de los usuarios. Los infostealers se pueden instalar a través de ataques de phishing, descargas de software infectado o visitando sitios web comprometidos. Una vez infiltrados en el sistema de la víctima, estos malware operan de forma furtiva, a menudo sin dejar rastros evidentes de su presencia y, a veces, borrando completamente las huellas de su paso.
Infostealers y DarkWeb
Un aspecto crucial del fenómeno de los infostealers es el ecosistema clandestino que los sustenta. Los mercados negros en la deep/dark web ofrecen plataformas para la venta e intercambio de datos robados. Muchos foros y grupos clandestinos son conocidos por la venta de registros de datos obtenidos por infostealers, con millones de credenciales disponibles para la compra.
Basta pensar que solo la recopilación de registros de diciembre de 2024 para la familia Lumma (un infostealer bastante difundido) pesa aproximadamente 45 GB en formato comprimido (.rar).
Estos mercados no solo facilitan la distribución de la información robada, sino que también ofrecen servicios de suscripción para el acceso a servidores de comando y control (C2) gestionados por los creadores/operadores de estas amenazas.
Esta red de apoyo también permite a los ciberdelincuentes especializarse aún más en sus operaciones. Algunos grupos ofrecen infostealers como servicio, permitiendo incluso a los menos experimentados acceder a herramientas avanzadas sin tener que desarrollar su propio malware.
Cabe especificar que el ecosistema de los infostealers comprende varias figuras criminales que, a diferentes niveles, interactúan con él; algunos actores de amenaza más estructurados, por ejemplo, construyen sus propios infostealers para usarlos en privado junto con otras herramientas o en campañas de difusión genéricas.
Un ejemplo reciente es una nueva variante de infostealer, que he analizado personalmente, asociada probablemente con el grupo Sality (por el nombre de la botnet que el grupo mantiene). Utiliza los archivos del sistema pagefile.sys e hiberfil.sys para recopilar información y datos sensibles en el contexto del sistema víctima y se ha observado que es difundida por agentes de la botnet Sality. Esto representa un excelente ejemplo de infostealer desarrollado en privado, no destinado a la venta como “servicio” y utilizado junto con otros agentes de malware propietarios. Otros actores desarrollan infostealers para venderlos en modo M-a-a-S (Malware-as-a-Service), mientras que otros se especializan en campañas de phishing dirigidas a comprometer la mayor cantidad posible de dispositivos. Finalmente, están los “usuarios” finales que explotan los datos robados.
Estas tres categorías de criminales operan generalmente de forma autónoma, sin formar un grupo único, pero manteniendo estrechas relaciones comerciales entre sí. Los operadores que realizan los ataques generalmente nunca utilizan los datos robados; por el contrario, ponen a la venta vastas bases de datos de información recopilada en foros clandestinos, donde otros criminales pueden comprarlas y buscar datos específicos.
Los compradores a menudo se concentran en la extracción de cuentas de juegos, datos de tarjetas de crédito, mientras que otros en cuentas de acceso a sistemas empresariales. Estos últimos han adquirido, en los últimos años, mucha relevancia, ya que representan un método furtivo y muy eficaz para infiltrarse en una organización, adquirir datos sensibles o liberar ransomware con el fin de pedir rescates.
Los Infostealers modernos
Los infostealers son programas maliciosos que se instalan generalmente de forma oportunista en cualquier dispositivo accesible por actores malintencionados. Su objetivo final, como se mencionó anteriormente, es sustraer información sensible de varios tipos. Su principal objetivo es la recopilación de credenciales de acceso, credenciales de carteras de criptomonedas, datos de tarjetas de crédito y cookies de sesión del navegador.
Estas cookies se pueden explotar para tomar el control de una sesión de usuario en un servicio online. En la práctica, si la víctima está autenticada en una cuenta en el navegador, un atacante puede copiar las cookies en otro ordenador y acceder a la cuenta sin siquiera conocer las credenciales de la víctima. Algunos modelos avanzados utilizan el reconocimiento óptico de caracteres para extraer textos de archivos de imagen JPG (como fotos de contraseñas y datos financieros). Todos los datos recopilados se envían a un servidor de comando y control (C2), donde se conservan a la espera de ser revendidos en la deep/dark web.
En los últimos años, se han registrado progresos técnicos significativos en el campo de los infostealers, incluyendo nuevos métodos para extraer datos del almacenamiento protegido de los navegadores, arquitecturas modulares para recopilar nuevos tipos de información de ordenadores ya comprometidos y la evolución hacia un modelo de servicio para la distribución de este tipo de malware. El mercado del cibercrimen exige infostealers altamente versátiles, capaces de robar datos de numerosos navegadores, carteras de criptomonedas y aplicaciones populares.
Entre los canales más comunes para la distribución de los infostealers se encuentran el spam y el phishing, la publicidad maliciosa y el SEO Poisoning. Además de campañas que utilizan infostealers con software pirateado o trucos para juegos, este tipo de malware también se puede instalar en forma de actualizaciones para navegadores o antivirus, así como aplicaciones de videoconferencia.
Cómo protegerse
Protegerse de los infostealers requiere un enfoque integrado que combine medidas preventivas y reactivas, esenciales para reducir el riesgo de compromiso de datos. Dado que estos malware operan de forma subrepticia, a menudo sin que el usuario se dé cuenta, es fundamental adoptar una estrategia de seguridad multinivel.
Una de las primeras medidas que se deben adoptar es el uso de contraseñas robustas y la implementación de la autenticación de dos factores (2FA). Estas herramientas añaden un nivel de seguridad adicional, haciendo más difícil que los atacantes obtengan accesos no autorizados. Es importante evitar almacenar contraseñas y credenciales en el navegador; en su lugar, se recomienda utilizar un gestor de contraseñas para conservar y gestionar de forma segura la información sensible.
Otro aspecto crucial es mantener siempre actualizados los programas antivirus y las aplicaciones instaladas. Asegurarse de que el sistema operativo y los navegadores estén constantemente actualizados ayuda a cerrar cualquier vulnerabilidad que pueda ser aprovechada por los infostealers. En el ámbito empresarial, también es aconsejable recurrir a socios tecnológicos específicos en el ámbito de la ciberinteligencia, capaces de garantizar buenos tiempos de notificación y reacción en caso de exfiltración de datos, además de una excelente visibilidad en diferentes familias de botnets e infostealers.
La formación de los usuarios juega un papel esencial en la prevención de los ataques. Educar al personal para reconocer correos electrónicos de phishing, enlaces sospechosos y archivos adjuntos dañinos es fundamental para evitar que caigan en trampas peligrosas (a menudo también muy bien diseñadas).
Conclusiones
En una época en la que la digitalización impregna todos los aspectos de nuestra vida cotidiana, la seguridad de la información se ha convertido en una prioridad esencial. Los infostealers representan una amenaza real y en continua evolución, capaces de comprometer datos sensibles y poner en riesgo la privacidad de los usuarios. Su difusión está alimentada por un ecosistema clandestino bien organizado, donde actores malintencionados colaboran e intercambian recursos para maximizar los beneficios.
Para abordar eficazmente esta amenaza, es fundamental adoptar un enfoque proactivo de la seguridad. Esto implica no solo la implementación de medidas técnicas, como el uso de contraseñas robustas y software antivirus actualizado, sino también la formación continua de los usuarios para reconocer y prevenir ataques de phishing y otras técnicas de ingeniería social.
Además, las organizaciones deben invertir en soluciones de monitorización avanzadas para detectar oportunamente actividades sospechosas y responder adecuadamente a posibles violaciones.
Finalmente, la conciencia de los riesgos asociados a los infostealers y la adopción de comportamientos responsables online pueden marcar la diferencia en la protección de los datos personales y empresariales.
