Evolución del malware infostealers y el robo de credenciales en Latinoamérica

A lo largo de mis siete años de trayectoria profesional como especialista en tecnología y seguridad informática, he monitorizado de cerca las tácticas utilizadas por los ciberdelincuentes para vulnerar infraestructuras corporativas y dispositivos personales. Uno de los vectores de ataque más persistentes y efectivos es el uso de software malicioso diseñado específicamente para la extracción de datos. Los recientes reportes de amenazas globales elaborados por ESET muestran un panorama fascinante y alarmante sobre el comportamiento de estas herramientas digitales durante el último año.

Los datos recopilados revelan que el ecosistema del robo de información está atravesando una metamorfosis profunda. Si bien las detecciones globales de estas amenazas experimentaron una disminución del 18 % durante el segundo semestre de 2025, esto no significa que el peligro haya desaparecido. Por el contrario, los ataques han abandonado las tácticas masivas y ruidosas para volverse sumamente sofisticados, silenciosos y precisos, impulsados en gran medida por la integración de la inteligencia artificial y nuevos modelos de distribución comercial en la web oscura.

El nuevo ecosistema de la sustracción de datos

Los infostealers, o ladrones de información, son programas maliciosos creados con el único propósito de extraer de forma encubierta credenciales de acceso, datos financieros, billeteras de criptomonedas e información de autocompletado almacenada en los navegadores web.

Históricamente, ciertas familias de este código malicioso dominaban el mercado clandestino. Sin embargo, tras el abandono del desarrollo del popular Agent Tesla por parte de sus creadores originales, el vacío fue rápidamente ocupado por alternativas más avanzadas. Hoy en día, familias como Formbook y SnakeStealer han tomado el protagonismo absoluto.

David González, investigador de seguridad de ESET Latinoamérica, señala que estas herramientas siguen siendo las favoritas de los atacantes porque permiten exfiltrar volúmenes masivos de datos corporativos y personales sin levantar sospechas. La disminución en el volumen total de detecciones responde a que las campañas ahora están mejor dirigidas, optimizando la tasa de éxito mediante tecnologías modernas y evitando los sistemas de seguridad tradicionales.

Familias de software malicioso con mayor impacto en la región

El seguimiento telemétrico de la actividad cibernética permite identificar claramente cuáles son las herramientas predilectas de los atacantes para vulnerar a los usuarios en nuestra región.

Formbook y su dominio global

Al cierre del año 2025, Formbook se consolidó como la amenaza más detectada a nivel mundial, acaparando el 17,3 % del total de las detecciones. Su método de propagación se basa casi exclusivamente en sofisticadas campañas de phishing corporativo, robando pulsaciones de teclado y credenciales del portapapeles.

Lumma Stealer y los ataques dirigidos

Esta variante ha ganado una tracción preocupante al protagonizar campañas masivas dirigidas de manera muy específica. Su objetivo principal es la extracción silenciosa de credenciales y cookies de sesión almacenadas en los navegadores web, permitiendo a los atacantes eludir los sistemas de autenticación de doble factor.

La persistencia de Agent Tesla

A pesar de la evidente desaceleración en sus actualizaciones de código, Agent Tesla se niega a desaparecer del mapa de amenazas. Continúa siendo una herramienta ampliamente distribuida gracias al uso de descargadores de malware especializados como CloudEyE, también conocido en la industria como GuLoader.

Amenazas bancarias móviles con NGate y Spy.Banker

El ecosistema financiero móvil es un blanco altamente lucrativo. NGate (PhantomCard) es una amenaza de spyware móvil orientada al secuestro de datos de tarjetas de crédito. Por su parte, la variante Spy.Banker, basada en código JavaScript, afecta a usuarios de servicios bancarios tradicionales y mantiene una tasa de detección global cercana al 9,5 %.

Latinoamérica como objetivo prioritario para los cibercriminales

El crecimiento de la digitalización económica en América Latina ha convertido a la región en un terreno fértil y sumamente atractivo para los grupos criminales. Las métricas de seguridad demuestran que las campañas maliciosas están siendo localizadas y adaptadas culturalmente para engañar a los usuarios hispanohablantes.

En México, las alertas se dispararon el 8 de julio de 2025 cuando se registró un pico inusual que concentró el 70 % de las detecciones globales de Lumma Stealer. Este incidente fue el resultado de una campaña masiva de correo no deseado que utilizaba señuelos redactados en un español impecable. Por otro lado, Brasil se ha convertido en el epicentro de los fraudes mediante tecnología NFC, utilizando malware móvil que suplanta de manera idéntica a las aplicaciones oficiales de bancos y grandes plataformas de comercio electrónico.

El resto de la región no se queda atrás. En Perú se detectó un volumen alarmante de ataques fundamentados en técnicas de ingeniería social avanzada. Chile reportó una fuerte presencia de NGate en sus redes móviles. Mientras tanto, Colombia y Argentina mantienen una presencia constante en los mapas de calor de ciberseguridad, demostrando que los atacantes consideran a estos países como fuentes viables para la extracción de activos digitales.

Principales vectores de infección y distribución

Comprender cómo ingresan estas amenazas a nuestros dispositivos es el primer paso para establecer defensas efectivas. Los atacantes utilizan vías de entrada que explotan la psicología humana y las vulnerabilidades técnicas.

La técnica del phishing localizado sigue siendo el vector principal. Los correos electrónicos incluyen archivos adjuntos maliciosos que simulan ser facturas urgentes, comprobantes de pago o notificaciones de paquetería. Otra técnica en auge es el ClickFix, un método de engaño que muestra falsos errores del sistema operativo o del navegador en páginas web comprometidas. El sistema invita al usuario a ejecutar un código o descargar una actualización de software para solucionar el problema, momento en el cual se inyecta el código malicioso.

Asimismo, los descargadores de malware o «droppers» experimentaron un crecimiento sostenido, funcionando como un puente indetectable que descarga la amenaza principal una vez que el usuario muerde el anzuelo. La suplantación de tiendas oficiales, imitando la interfaz de Google Play Store para distribuir aplicaciones bancarias falsas, completa el arsenal táctico de los delincuentes.

Proyecciones de ciberseguridad para enfrentar el futuro

El panorama técnico del último año nos deja una lección clara: los atacantes operan ahora bajo un modelo de negocio estructurado conocido como Malware-as-a-Service (MaaS). Esto permite que personas sin grandes conocimientos de programación adquieran potentes ladrones de información por una suscripción mensual.

Para enfrentar los desafíos de seguridad en 2026, la industria tecnológica y los usuarios finales deben priorizar la protección de sus credenciales mediante gestores de contraseñas cifrados y llaves de seguridad físicas. Fortalecer la seguridad en entornos móviles, desconfiar de los mensajes urgentes y monitorear el uso de tecnologías de pago por proximidad como el NFC serán medidas indispensables para proteger nuestra identidad digital frente a amenazas cada vez más invisibles e inteligentes.