Microsoft desmantela un ciberataque global: 340.000 computadoras fueron infectadas

Este fue un hecho que tuvo un impacto entre el 16 de marzo y el 16 de mayo de 2025, por lo que ya está resuelto, ya que se trataba de un ataque de alto alcance y que estaba detrás de datos personales de los afectados.

Lumma, conocido como el infostealer más grande del mundo, operaba como una plataforma de Malware-as-a-Service (MaaS). Desde su aparición en 2022, Lumma fue comercializado y vendido en foros clandestinos, permitiendo a los ciberdelincuentes robar información sensible a gran escala.

Su funcionamiento está enfocado en ser el instrumento para la recolección de credenciales robadas, datos financieros y personales, convirtiéndose en un centro para el robo de identidad y fraudes a nivel global.

La capacidad para operar de manera eficiente y discreta hizo que Lumma fuera una herramienta preferida entre los cibercriminales, quienes accedían a datos financieros y personales para su explotación y venta en el mercado negro.

La facilidad de distribución y su capacidad para evadir detección lo convirtieron en un recurso invaluable para delincuentes, incluyendo actores de ransomware notoriamente conocidos como Octo Tempest.

Microsoft, mediante su Unidad de Crímenes Digitales (DCU), presentó una acción legal el 13 de mayo en el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de Georgia. Con una orden judicial en mano, procedieron a desmantelar la infraestructura técnica subyacente del malware.

La colaboración con Europol y otros socios internacionales fue fundamental para coordinar acciones y compartir inteligencia, permitiendo cortar las comunicaciones entre la herramienta maliciosa y sus víctimas.

La intervención también implicó la redirección de más de 1.300 dominios a espacios controlados por Microsoft, lo que facilitó el monitoreo y seguimientos de las actividades cibercriminales, proporcionando inteligencia vital para futuras protecciones.

El mapa de calor de la propagación del malware mostró claramente que las áreas en rojo, indicando alta actividad de Lumma, estaban centradas en ciertas regiones.

A través de campañas de phishing enmascarándose como conocidas entidades como Booking.com, los operadores de Lumma pudieron engañar a innumerables víctimas para que revelaran información sensible.

Un caso notable ocurrió en marzo de 2025, cuando Microsoft identificó una campaña de phishing que simulaba comunicaciones de Booking.com, explotando credenciales a través de una serie de mails falsos y verificaciones CAPTCHA fraudulentas.

Estos esfuerzos permitieron a los criminales la realización de fraudes y robos financieros a gran escala, comprometiendo sectores clave desde la manufactura hasta la educación.

En el centro del desarrollo de Lumma se encontraría un individuo conocido como “Shamel”, un presunto programador ruso. Shamel utilizó diversas plataformas de mensajería para comercializar varias versiones del malware, ofreciendo niveles de servicio diferenciados según las necesidades de los criminales.

Estos servicios permitían ajustes personalizados del malware, así como herramientas para eludir defensas y analizar tráfico.

El modelo de negocios desarrollado alrededor de Lumma subraya la evolución del cibercrimen, que ahora adopta prácticas empresariales establecidas para maximizar sus ingresos ilícitos. Shamel, con cerca de 400 clientes activos, según una entrevista de noviembre de 2023, simbolizó esta industrialización del cibercrimen dando a Lumma no solo un apodo sino también un logo de marca.

Este no es el primer caso de cooperación de Microsoft junto a entidades internacionales, como Europol, el pasado ha trabajado con compañías tecnológicas como ESET, Cloudflare, y Lumen, para generar una respuesta rápida a la eliminación de ciberdelitos a nivel global, creando sistemas defensivos más fuertes y encontrar otras estrategias.

“Sabemos que los ciberdelincuentes son persistentes y creativos. Nosotros también debemos evolucionar para identificar nuevas formas de interrumpir las actividades maliciosas”, informó en comunicado la empresa.