Base de conocimientos

Todo lo que necesitas saber sobre infostealers: que son, como operan, que datos roban y como protegerte.

Familias catalogadas
Activas en 2025-2026
$125-1000
Precio mensual MaaS
+50M
Credenciales robadas/ano

Que es un infostealer?

Un infostealer (ladron de informacion) es un tipo de malware disenado especificamente para extraer datos sensibles de los dispositivos infectados. A diferencia de otros tipos de malware como el ransomware (que cifra archivos) o los RATs (que buscan control remoto), los infostealers estan optimizados para una unica mision: robar la mayor cantidad de informacion valiosa en el menor tiempo posible.

Operan de forma silenciosa y rapida. La mayoria completan su trabajo en menos de 30 segundos: recopilan credenciales, cookies de sesion, datos de autocompletado, wallets de criptomonedas y archivos de configuracion. Luego, envian todo a un servidor de comando y control (C2) y, en muchos casos, se autoeliminan para no dejar rastro.

El ecosistema de infostealers ha crecido exponencialmente desde 2020. Hoy en dia, la mayoria operan bajo un modelo de Malware-as-a-Service (MaaS): los desarrolladores venden suscripciones mensuales que incluyen el malware, un panel de administracion, soporte tecnico e incluso actualizaciones regulares. Esto ha democratizado el cibercrimen, permitiendo que actores sin conocimientos tecnicos avanzados puedan lanzar campanas de robo de datos.

Que datos roban

  • Credenciales de navegador — contrasenas almacenadas en Chrome, Firefox, Edge, Opera, Brave y otros navegadores basados en Chromium
  • Cookies de sesion — permiten secuestrar sesiones activas sin necesidad de contrasena (session hijacking)
  • Wallets de criptomonedas — claves privadas de MetaMask, Phantom, Exodus, Electrum y decenas mas
  • Tokens de Discord, Telegram, Steam — acceso directo a cuentas sin 2FA
  • Datos de autocompletado — tarjetas de credito, direcciones, telefonos
  • Archivos sensibles — documentos .txt, .doc, .pdf del escritorio y carpetas clave
  • Informacion del sistema — IP, hardware, software instalado, capturas de pantalla
  • Clientes FTP/VPN — credenciales de FileZilla, WinSCP, OpenVPN, NordVPN

🚀 Como se distribuyen

  • Malvertising — anuncios maliciosos en Google Ads que imitan software legitimo (OBS, Slack, Notion, etc.)
  • Software crackeado — cracks, keygens y activadores en sitios de descarga pirata
  • Fake CAPTCHAs — paginas que piden "verificar que no eres un robot" y ejecutan PowerShell via clipboard
  • Phishing por email — adjuntos maliciosos (.exe disfrazado de .pdf, macros en documentos Office)
  • SEO Poisoning — sitios web posicionados artificialmente en buscadores para terminos populares
  • YouTube / redes sociales — enlaces en descripciones de videos de "cracks" o "cheats" para videojuegos
  • Mensajeria directa — enlaces enviados por cuentas comprometidas en Discord, Telegram, etc.
  • Loaders y droppers — otros malware que descargan el stealer como segunda etapa

💰 Modelo de negocio MaaS

La mayoria de infostealers modernos operan como un servicio de suscripcion:

  • Suscripcion mensual — desde $125 hasta $1.000/mes segun las capacidades
  • Panel de control web — interfaz para gestionar victimas, descargar logs y configurar el builder
  • Builder personalizable — permite configurar que datos recopilar, ofuscacion y metodo de exfiltracion
  • Soporte tecnico — canales de Telegram con soporte, actualizaciones y comunidad
  • Actualizaciones regulares — bypass de nuevas protecciones de navegadores y antivirus
  • Mercado de logs — las credenciales robadas se venden en mercados como Russian Market, Genesis Market o 2easy

🛡 Como protegerte

  • No almacenes contrasenas en el navegador — usa un gestor de contrasenas dedicado (1Password, Bitwarden, KeePass)
  • Activa MFA/2FA resistente a phishing — llaves FIDO2/WebAuthn son la mejor opcion
  • No descargues software pirata — es el vector de infeccion mas comun
  • Desconfia de CAPTCHAs sospechosos — ningun CAPTCHA legitimo te pide ejecutar comandos
  • Manten el SO y antivirus actualizados — muchos stealers explotan vulnerabilidades conocidas
  • Revisa extensiones del navegador — elimina las que no uses, verifica permisos
  • Monitoriza tus credenciales — servicios como Have I Been Pwned o Hudson Rock alertan si tus datos aparecen en leaks
  • Segmenta con perfiles de navegador — separa el navegador de trabajo del personal

Consejo clave: Si sospechas que has sido infectado, cambia inmediatamente las contrasenas de tus cuentas criticas, revoca sesiones activas y revisa movimientos en tus wallets crypto.

Ciclo de vida de un ataque con infostealer

1

Distribucion

La victima descarga un archivo malicioso via malvertising, phishing o software pirata

2

Ejecucion

El stealer se ejecuta en memoria, evade el antivirus y comienza la recoleccion

3

Recoleccion

En segundos, extrae credenciales, cookies, wallets, tokens y archivos del sistema

4

Exfiltracion

Los datos se envian al C2 del atacante, empaquetados como un "log"

5

Monetizacion

Los logs se venden en mercados underground o se explotan directamente

Que es un "log" y como se monetiza

Cuando un infostealer infecta un dispositivo, toda la informacion robada se empaqueta en lo que se conoce como un "log". Un log tipico contiene:

Estos logs se venden en mercados especializados como Russian Market, Genesis Market (desmantelado en 2023) o 2easy. El precio varia segun la calidad:

Un solo log con acceso a una VPN corporativa ha sido el punto de entrada de multiples ataques de ransomware a gran escala, incluyendo incidentes como el de Uber (2022) y EA Games (2021).

Tecnicas MITRE ATT&CK comunes

Los infostealers suelen mapear a las siguientes tecnicas del framework MITRE ATT&CK:

Catalogo de familias

Explora nuestro catalogo detallado de familias de infostealers. Informes completos con capacidades, distribucion, precios y tecnicas MITRE ATT&CK.

Ver familias → Timeline historica →
Stealers

No te pierdas nada

Recibiras un correo semanal, sin humo, sin intentar venderte una aspiradora...