¿Qué hacen y cómo funcionan los infostealers?
Los infostealers son un tipo de malware creado para infectar ordenadores y robar datos almacenados localmente, como nombres de usuario y contraseñas guardadas, entradas autocompletadas, información financiera y otros detalles clave de identificación personal.
Una táctica común es convencer a la víctima para que abra un archivo o instale una trampa. Los atacantes suelen hacer esto a través de phishing, publicidad maliciosa (malvertising) o ingeniería social con mentiras.
Una vez que el malware es ejecutado, recolecta datos de los puntos de almacenamiento más comunes (navegadores, correos electrónicos y gestores de contraseñas), luego guarda la información robada en un archivo de registro y la envía a un servidor controlado por el atacante. Muchas operaciones utilizan un panel back-end que recibe estos registros, los organiza y facilita su búsqueda.
Tras el robo de información, los cibercriminales venden los registros para ganar dinero, los intercambian en comunidades privadas o los pasan a sus compañeros, que luego utilizan los datos robados para los próximos ataques, como el secuestro de cuentas y el fraude.
Cómo llegan a un dispositivo los infostealers
Los infostealers suelen infectar un dispositivo cuando se engaña a un usuario para que ejecute o abra un archivo peligroso. Los atacantes usan la ingeniería social y los canales de distribución para intentar que el malware parezca legítimo, útil o urgente. Las formas más comunes incluyen:
Software crackeado, trucos, mods y herramientas «gratuitas»
Este tipo de malware puede distribuirse a través de software crackeado, trucos o mods en juegos, y descargas no oficiales, donde el infostealer se esconde en programas legítimos. Estos archivos se comparten en páginas de torrents, plataformas de alojamiento de archivos (file-hosting), foros y en descripciones de vídeos, donde los usuarios tienden a desactivar las advertencias o ignorar las alertas de seguridad. Una vez ejecutado, el malware empieza a trabajar junto al software promocionado y recolecta datos que están guardados en el sistema.
Páginas de descarga falsas, publicidad maliciosa y trampas de búsquedas patrocinadas
Los infostealers también se propagan a través de anuncios fraudulentos, resultados de búsqueda patrocinados y páginas de descarga falsas que imitan dominios reales. Estos sitios aparecen cuando los usuarios buscan herramientas populares, actualizaciones o parches y creen que son legítimos. Un solo clic en un botón de descarga falso puede cambiar el verdadero software por un malware.
Extensiones peligrosas en el navegador
Otra forma para que los infostealers lleguen a tu ordenador es mediante extensiones de navegador que se hacen pasar por herramientas legítimas, como bloqueadores de anuncios, complementos de productividad o rastreadores de precios. Cuando se añaden, estas extensiones operan dentro del entorno del navegador, con acceso directo a contraseñas almacenadas, cookies y sesiones activas. Como se hace pasar por una extensión legítima, puede permanecer “escondida” mucho después de haber tomado los datos por los que vino.
Links y archivos compartidos a través de chats y la nube
También pueden llegar a un dispositivo a través de enlaces y archivos compartidos en chats grupales, servidores y mensajes directos, así como links de almacenamiento en la nube publicados en foros o redes sociales. Los atacantes comparten «herramientas gratuitas», «contenido premium» o «arreglos», luego usan el alojamiento de archivos o las carpetas compartidas para entregar archivos comprimidos e infectados. Cuando una víctima lo abre, el infostealer se ejecuta y recolecta los datos almacenados localmente.
Redes de loaders y campañas de pago por instalación
A veces, los infostealers son enviados a dispositivos por un loader, un tipo de malware que ya se está ejecutando en un dispositivo y que existe únicamente para descargar y ejecutar otros archivos peligrosos. Los loaders normalmente se instalan de la misma manera que los infostealers (descargas engañosas, archivos adjuntos de phishing o enlaces infectados), pero simplemente permanecen en los dispositivos para que los atacantes puedan desplegar nuevas cargas útiles más tarde.
Los criminales pagan a estas redes de loaders para que envíen por país o volumen infostealers a ordenadores infectados. Este modelo elimina la necesidad de engañar al mismo usuario dos veces y convierte la entrega de malware en un servicio automatizado.
Perfiles de víctimas que más atacan los infostealers
Los usuarios más afectados por los infostealers suelen ser aquellos cuyos dispositivos contienen una combinación de contraseñas guardadas, inicios de sesión sincronizados y pestañas abiertas con sesiones activas. Los mismos tipos de usuarios aparecen y se repiten en varios casos, perfiles definidos por el comportamiento en línea y las herramientas que utilizan. Explicamos los tipos más comunes de víctimas, mostrando cómo un comportamiento aparentemente normal puede convertirse en un objetivo que llama la atención.
El «siempre conectado»
El perfil que está «siempre conectado» describe principalmente a usuarios de Windows que no cierran ni salen de sus cuentas y pasan mucho tiempo en redes sociales (como Facebook, Instagram y X), plataformas de streaming y contenido de pago, sitios de compras online y servicios de finanzas personales. Estos usuarios tienden a guardar contraseñas y mantener sesiones activas porque usan sus cuentas a diario y rara vez se desconectan. Desde el punto de vista de un atacante, es un usuario ideal.
El «gamer»
El «gamer» incluye a usuarios que pasan tiempo en plataformas de juegos y suelen descargar programas, mods, trucos y complementos de terceros para personalizar la experiencia. Este grupo ejecuta más archivos de terceros que la mayoría de usuarios, lo que aumenta las probabilidades de caer en una trampa y crear un punto de entrada fácil para los atacantes.
Los infostealers infectan los dispositivos de los gamers con juegos crackeados, mods no oficiales o herramientas de rendimiento «gratuitas» cargadas con malware. Las cuentas de juegos suelen almacenar detalles de pago y compras digitales, y lo más común es que sus sesiones de navegador permanezcan activas, lo que ayuda a explicar por qué los cibercriminales prefieren a este grupo.
El «profesional de IT»
Aunque puede parecer irónico, el «profesional de IT» es uno de los grandes objetivos para los cibercriminales. Los infostealers atacan a este perfil porque sus dispositivos (principalmente ordenadores usados para ingeniería o administración de IT) guardan credenciales de alto valor y acceso de administrador en un solo lugar.
A menudo almacenan cuentas de administrador, tokens API y credenciales de acceso remoto junto a los datos de navegación cotidianos. Si un infostealer aterriza en un dispositivo como este, los datos robados del navegador pueden convertirse en la primera llave para acceder a herramientas e infraestructura internas.
Por qué el robo de cookies puede vencer a las contraseñas y la autenticación multifactor
A medida que la seguridad para entrar a las cuentas ha mejorado, las tácticas de los infostealers han cambiado. Los cibercriminales prefieren hoy en día las cookies de autenticación y los tokens de sesión que las contraseñas. Este cambio refleja cómo la gente ahora accede a sus cuentas. Hay más usuarios que dependen de gestores de contraseñas y la autenticación multifactor (MFA), por lo que los atacantes van tras datos que pueden eludir estas defensas.
Las cookies y los tokens se emiten después de un inicio de sesión exitoso, lo que significa que a veces pueden permitir que un atacante entre a una cuenta sin activar otra solicitud. Lo que agranda el riesgo es cuánto tiempo permanece abierta y activa una sesión. Un token robado puede reutilizarse hasta que la sesión expire o el servicio lo rechace, dando a los cibercriminales una ventana para moverse a través de servicios con sesiones iniciadas.
En mercados underground, los datos de sesión robados ahora se tratan como una mercancía aparte. Su precio está dictado por qué tan «reciente» es el registro. El salto de robo de contraseñas al robo de cookies de sesión y tokens es un buen ejemplo de cómo los atacantes responden y se adaptan a defensas más sólidas.
Cómo reducir el riesgo de que tu dispositivo tenga un infostealer
Para reducir el riesgo de que tu dispositivo sea infectado con un infostealer, limita el acceso a las cuentas y, por ende, restringe hasta dónde puede llegar un atacante si un infostealer compromete tu dispositivo. La idea es reducir qué tanto puede propagarse al disminuir el acceso a muchas sesiones que desbloquean otras cuentas o servicios. Los siguientes pasos explican cómo puedes hacer esto sin reconstruir tu rutina en internet.
- Protege primero tus cuentas más importantes: en primer lugar, protege tu correo electrónico y tu cuenta principal, luego repite las mismas prácticas con los servicios bancarios, de compras y de trabajo. Usa autenticación multifactor y passkeys donde sean compatibles y trata de no dejar esas cuentas principales protegidas únicamente por contraseñas.
- Haz que tu navegador recuerde menos: revisa con regularidad las contraseñas que tu navegador o gestor de contraseñas está almacenando. Elimina las que ya no uses y cierra las sesiones que parecen desconocidas o no recuerdas. Mantén tu sistema operativo y navegador actualizados, las versiones más antiguas son más fáciles de explotar y más difíciles de recuperar después de un ataque de infostealer.
- Trata las descargas y herramientas «gratuitas» con precaución: no descargues programas no oficiales o software crackeado. Si una herramienta te pide que desactives protecciones o evites alertas de seguridad para instalarla, trátala como una señal de advertencia y aléjate.
- Vigila las señales de secuestro y cambia rápidamente el acceso: trata las alertas de inicio de sesión inesperadas, correos de restablecimiento de contraseña que no solicitaste y nuevos inicios de sesión de dispositivo como señales de secuestro de cuenta. Cambia las contraseñas usando otro dispositivo (no el que sospechas que fue infectado), cierra sesiones donde el servicio lo permita y revisa la configuración de recuperación de cuenta para que los atacantes no puedan volver a entrar a través de correo electrónico o códigos de respaldo.
Mayor privacidad y seguridad online
Protege tus datos personales con una VPN
