Te pueden haber robado las cookies y esto pone en riesgo tu privacidad digital, según una investigación de NordVPN

¿Qué clase de cookies existen? Un breve repaso

Hay diferentes tipos de cookies y la mayoría están a la vista, aparecen en las ventanas emergentes de las páginas web que visitas. Las cookies web, o simplemente cookies, se han convertido en una parte tan fundamental de nuestra rutina, aunque sabemos muy poco sobre ellas y las consecuencias de "Aceptar todo".

Las cookies son pequeños archivos de texto que los sitios web que visita almacenan en tu dispositivo. Contienen información sobre tu historial de búsquedas, tus preferencias y ayudan a las plataformas a recordar detalles entre sesiones. Las cookies hacen que la experiencia de navegación sea más cómoda y personalizada. Por ejemplo, pueden mantenerte conectado o recordar lo que hay en tu carrito para cuando vuelvas más tarde. Sin embargo, las cookies también pueden rastrear tu actividad con fines publicitarios, razón por la que algunas personas se preocupan por su privacidad.

A grandes rasgos, estas son las cookies que verás en la red:

• Cookies de origen. Están gestionadas por las plataformas web que visitas. Sirven para recordar tu nombre de usuario, preferencias o configuraciones. No son invasivas, pero pueden ser peligrosas si almacenan datos sensibles como nombres de usuario para iniciar sesión o contraseñas. Por supuesto, si alguien roba esta información, podría tener acceso a tus cuentas personales. El robo de identidad es un problema muy serio y de actualidad.

• Cookies de terceros. Son capaces de recolectar información muy valiosa en publicidad y estrategias comerciales, por eso las cookies de terceros deben manejarse con cautela.
• Supercookies. Su tecnología es superior a las demás y no siempre es sencillo detectarlas. Se camuflan en Flash, HTML5 o emplean un software como ETags o HSTS. La eliminación no es el final, ya que pueden aparecer de nuevo.
• Cookies zombis. Llevan este nombre en honor a su capacidad de renacer después de terminar con ellas. Esto es posible porque crean numerosas copias y el usuario medio no es capaz de eliminarlas todas, así que siempre quedan restos.

La investigación revela el lado más problemático de las cookies

La mayoría de las cookies son inofensivas. No obstante, en las manos equivocadas, incluso las migas de código revelan mucha información confidencial. Aceptar las cookies web a ciegas es un error que puede salir caro. 

Nuestra investigación más reciente revela hasta qué punto es arriesgado. Como continuación de la investigación del año pasado sobre las cookies web, hemos vuelto a colaborar con investigadores de NordStellar, una plataforma de gestión de amenazas, que han analizado otro conjunto de más de 93.700 millones de cookies puestas a la venta en foros de la web oscura y chats de Telegram. Los investigadores analizaron de dónde procedían, qué contenían, si estaban activas y cómo las utilizaban los ciberdelincuentes.

Es importante señalar que ni NordVPN ni NordStellar compraron las cookies robadas ni accedieron a su contenido. El papel de los investigadores se limitó a identificar los datos que estaban disponibles en los listados de venta de cookies, lo que garantiza que mantuvimos la privacidad y la seguridad de los usuarios de internet durante la redacción de este informe.

¿Cómo se roban las cookies en internet?

Los hackers se valen de malware para robar las cookies de usuarios que no saben lo que está pasando. En nuestro estudio, los investigadores descubrieron que casi todos los datos terminaron en la dark web después de lanzar troyanos y ataques keyloggers. Estas categorías de malware están diseñadas específicamente para recopilar datos de inicio de sesión, cookies, contraseñas guardadas del navegador y monederos de criptomonedas. Estas son algunas de las herramientas más comunes detrás de las cookies web robadas en nuestra investigación:

• Redline es uno de los keyloggers y ladrones de información más utilizados, que se anuncia como malware como servicio. Redline Stealer es responsable de la mayor parte de las cookies robadas en nuestro conjunto de datos: casi 42.000 millones de cookies. Sin embargo, solo el 6,2% seguían activas, lo que significa que la vida útil de los datos robados es relativamente corta.
• Vidar también es un malware como servicio con configuraciones específicas diseñadas para atacar tipos concretos de datos. Recopiló alrededor de 10.500 millones de cookies, de las cuales el 7,2% seguían siendo válidas.
• LummaC2 es un ladrón ofrecido como servicio a los ciberdelincuentes. Es más reciente pero su uso está creciendo rápidamente. Fue responsable de más de 8.800 millones de cookies robadas, con un 6,5% aún activo.
• CryptBot es un infostealer dirigido principalmente a sistemas operativos Windows. Aunque solo contabilizó 1.400 millones de cookies, el 83,4% de ellas seguían activas, lo que convierte a CryptBot en el malware más eficaz de nuestra lista.

Estas herramientas de malware son fáciles de usar y están ampliamente disponibles, lo que las hace accesibles a casi todo el mundo. A menudo se ocultan en software pirata o en descargas aparentemente inofensivas. Una vez instalados, escanean el almacenamiento de cookies del navegador y envían todo a un servidor de comando y control. Desde allí, los datos pueden aparecer en la dark web, a veces en cuestión de minutos.

¿Qué contienen las cookies?

Mucha información privada. Cuando los ciberdelincuentes venden cookies robadas, suelen etiquetarlas con keywords para mostrar qué tipo de datos están obteniendo. Algunas de las palabras clave más comunes fueron "ID" (18.000 millones), seguida de "sesión" (1.200 millones). Un número significativo de cookies robadas estaban etiquetadas con las palabras clave "auth" (272,9 millones) y "login" (61,2 millones). Estas etiquetas sugieren que las cookies están vinculadas a cuentas de usuario específicas, lo que significa que podrían reutilizarse para secuestrar sesiones en vivo sin contraseña. Es especialmente preocupante, teniendo en cuenta que de los 93.700 millones de cookies robadas analizadas, 15.600 millones seguían activas.

Pero no solo está en juego el acceso a la cuenta. Algunas de estas cookies también contienen información personal, como el nombre, la dirección de correo electrónico, el país y la ciudad del usuario, así como su género, fecha de nacimiento o incluso su dirección postal. Estos detalles son igual de peligrosos porque podrían permitir a los actores de amenazas construir ataques personalizados de ingeniería social y, en el peor de los casos, robar la identidad de los usuarios. Y cuando datos como la ubicación o la fecha de cumpleaños salen a la luz, no se trata solo de un riesgo para la privacidad, sino también de una amenaza para la seguridad personal.

¿De dónde proceden las cookies?

Los investigadores también examinaron más detenidamente la procedencia de las cookies robadas analizando tres factores principales: la plataforma desde la que se obtuvieron, el país de origen y el sistema operativo.

Plataformas

En cuanto a las plataformas, como era de esperar, dominan los grandes nombres. Las cookies asociadas a los servicios de Google constituyeron la mayor parte del conjunto de datos: más de 4.500 millones de cookies vinculadas a Gmail, Google Drive y otros servicios de Google. YouTube y Microsoft representaron cada uno más de 1.000 millones de cookies.

Las plataformas más populares son objetivos apetecibles porque se puede obtener más información de ellas. Además, las cuentas de Google y Microsoft se utilizan a menudo para la autenticación multifactor. Robar una cookie de sesión de Google o Microsoft podría dar a los ciberdelincuentes acceso al correo electrónico, archivos, calendarios e incluso cuentas vinculadas, sin necesidad de adivinar contraseñas o activar la autenticación de dos factores..

Países

Las cookies pueden ser robadas en todo el mundo, y las cifras lo demuestran. Aunque muchas de las cookies robadas no incluían datos sobre el país del usuario, las que sí lo hacían estaban relacionadas con al menos 253 países y territorios diferentes. Algunos listados de cookies estaban marcados como "desconocidos", por lo que el número real puede ser aún mayor.

Brasil, India, Indonesia y Estados Unidos figuran entre los países más afectados. En Europa, España encabezó la lista con 1.750 millones de cookies robadas, mientras que el Reino Unido, a pesar de contar sólo con unos 800 millones de cookies, tuvo un alto índice de cookies activas, el 8,3%.

Dispositivos

La mayoría de las cookies procedían de dispositivos Windows, lo que no es sorprendente, ya que la mayoría del malware está dirigido a Windows. Sin embargo, más de 13.200 millones de cookies procedían de otros sistemas operativos, o se desconoce su origen. Así pues, aunque los usuarios de Windows siguen siendo los principales objetivos, los usuarios de otros sistemas no deben sentirse completamente seguros: los ataques a otras plataformas ocurren.

¿Qué pueden hacer los hackers con tus cookies?

El robo de cookies pone en riesgo tu privacidad digital. La gestión sin autorización de datos privados puede terminar en perfiles falsos que se utilizan en fraudes fiscales, entre otros delitos. 

En mayo del 2025, la prensa española publicó una noticia muy llamativa, Mar, una joven de Castelldefels, denunció la suplantación de su identidad. Perdió su DNI en Barcelona y lo reportó en la policía, pero el verdadero problema vino meses después, cuando descubrió que su estado civil actual era “casada”, sin saberlo, y que tenía una multa de la Administración por falsificar este certificado.

En las reservas de vuelos, algunas compras y otras gestiones digitales, todos hemos introducido los dígitos de nuestro DNI. Las cookies guardan parte de esta información y, después de conocer el caso de Mar, has podido comprobar que los hackers usarán esta información de diferentes maneras, aunque el resultado es siempre el mismo: un quebradero de cabeza para la víctima.

Para ser más concretos, estas son algunas situaciones en las que te podrías ver si te roban las cookies:

• Perder el acceso a tus redes sociales, correo electrónico o cuentas de compra online.
• Hacerse pasar por ti gracias al acceso a perfiles guardados en el buscador y contraseñas que se completan automáticamente.
• Eliminar el requisito de la doble autenticación porque un dispositivo es catalogado como "de confianza".
• Lanzar ataques dirigidos de phishing utilizando tu información personal.
• Acceder a tus datos financieros o de clientes, y a otra información sensible.
• Ayudar a enviar ataques de ransomware robando credenciales de inicio de sesión o accediendo a permisos del sistema de nivel superior.

¿Cómo puedes proteger tus cookies?

Sigue estos consejos para proteger mejor tus cookies y evitar los problemas.

• Antes de hacer clic en “Aceptar todas las cookies”, reflexiona. Tal vez no necesites marcar esta casilla para realizar la actividad que tenías pensada.
• Usa herramientas de ciberseguridad. La función Protección contra amenazas Pro™ de NordVPN es capaz de bloquear rastreadores, ponerle freno a los anuncios molestos y avisarte si encuentra malware durante una descarga.
• Elimina las cookies con regularidad. No dejes trastos, limpia tus historiales de búsquedas.
• Activa una VPN. Protege tus dispositivos online con una VPN de confianza. No tendrás que sacrificar la velocidad de tu conexión, ya que esta capa extra de seguridad es muy eficiente.