Conoce las seis amenazas que dominan el cibercrimen en 2025: los infostealers se tomaron nuestra privacidad

Pocos lo saben, pero “la evolución y proliferación de los infostealers reflejan el panorama global de amenazas, cada vez más sofisticado y con alta capacidad de adaptación. Su operación bajo modelos como Malware-as-a-Service (MaaS) los convierte en un riesgo constante para usuarios y empresas, riesgo que se amplifica cuando son utilizados como vectores iniciales en ataques cibernéticos más complejos como ransomware o espionaje corporativo”, afirma Martina López, investigadora de seguridad informática de ESET Latinoamérica.

En este contexto, los infostealers han consolidado su presencia como una de las amenazas más persistentes y lucrativas en la región, con un crecimiento notable en volumen y diversidad durante la primera mitad de 2025, según el análisis presentado por ESET.

El informe de ESET identifica a seis familias sobresalientes de infostealers en Latinoamérica en 2025: LummaStealer, Amadey, Rozena, Guildma, Formbook y Xloader.

Estos programas maliciosos, diseñados para robar información sensible como credenciales y datos financieros, han mostrado una actividad especialmente intensa en Brasil, México y Argentina.

Los infostealers actúan de forma sigilosa, infiltrándose en sistemas o redes corporativas para capturar datos útiles que luego pueden ser utilizados para comprometer cuentas, escalar privilegios, facilitar otros ciberataques o comercializarse en mercados clandestinos. La información robada se empaqueta y se envía a los servidores de los atacantes o a cuentas de mensajería instantánea con alto nivel de anonimato, como Discord o Telegram.

LummaStealer encabeza la lista como el infostealer más detectado por los sistemas de ESET, con más de 4.000 detecciones únicas en 2025 en la región. Surgido alrededor de 2022, este malware evolucionó rápidamente bajo el modelo de Malware-As-A-Service, lo que permite que distintos atacantes lo adquieran y utilicen con métodos de acceso inicial muy variados.

Su distribución se realiza a través de falsos instaladores de aplicaciones en sitios fraudulentos, malvertising, redes sociales y correos electrónicos infectados. En campañas más sofisticadas, también se ha empleado como carga final en equipos corporativos mediante loaders personalizados. Durante mayo de 2025, ESET participó en una operación global para interrumpir la actividad de este malware, procesando numerosas muestras para extraer información sobre los servidores involucrados.

La arquitectura modular de LummaStealer resulta especialmente atractiva para los cibercriminales. Su núcleo base incluye funciones esenciales como persistencia y comunicación con el servidor de comando y control (C&C), mientras que los módulos adicionales —como keylogger, exfiltración vía FTP y ejecución de comandos remotos— pueden descargarse y activarse según las necesidades del atacante. Estos módulos pueden modificarse sin necesidad de recompilar todo el malware, lo que facilita su adaptación y persistencia.

Amadey, activo desde al menos 2018, mantiene su relevancia en 2025 gracias a su doble función: opera tanto como infostealer básico como loader de otras amenazas más destructivas. Con casi 2.500 detecciones únicas en la región, Amadey se posiciona como un eslabón clave en cadenas de infección multi-etapa, sirviendo como puerta de entrada para ransomware o troyanos bancarios.

Su ligereza y bajo nivel de detección le permiten abrir el camino para ataques más complejos sin levantar sospechas. La distribución de Amadey suele estar vinculada al malspam, con correos electrónicos que simulan facturas, multas o avisos bancarios para inducir a la descarga de archivos maliciosos o el acceso a enlaces infectados. También puede aparecer como carga secundaria, descargado por otros troyanos que ya han comprometido el sistema.

Rozena, presente desde al menos 2015, combina funciones de infostealer y backdoor, destacando por su versatilidad y uso en campañas dirigidas a objetivos específicos. Su distribución se realiza principalmente mediante archivos aparentemente benignos obtenidos a través de phishing, como documentos de Office con macros o exploits, o ejecutables falsos.

Entre sus capacidades se encuentra el robo de credenciales y datos del sistema, así como la posibilidad de establecer shells inversas mediante PowerShell, permitiendo el control remoto del sistema comprometido. Un aspecto relevante de Rozena es su comportamiento file-less, ya que el código malicioso puede ejecutarse directamente en memoria, lo que reduce la huella en el sistema y dificulta su detección.

Guildma forma parte del ecosistema de troyanos bancarios originados en Brasil y ha evolucionado de manera constante en capacidades y técnicas de distribución. Aunque Brasil sigue siendo su principal territorio de acción, en los últimos años se han registrado campañas dirigidas a usuarios en casi todos los países latinoamericanos. Guildma captura credenciales, monitoriza el teclado, toma capturas de pantalla e interfiere con sesiones bancarias en tiempo real, simulando clics y manipulando formularios para adaptarse a las interfaces de entidades bancarias locales.

Su distribución se basa en campañas masivas de correo electrónico con señuelos como multas o facturas, que incluyen archivos adjuntos maliciosos o enlaces a descargas de la amenaza.

Formbook y Xloader también han sido detectados en campañas dirigidas tanto a usuarios particulares como a organizaciones, frecuentemente mediante malspam con archivos adjuntos ofuscados o enlaces a descargas directas.

Formbook, activo desde 2016, se distribuye como malware comercial en foros clandestinos bajo el modelo de malware-as-a-service. Su ligereza, accesibilidad y eficacia lo han hecho popular entre atacantes que participan en la compraventa de amenazas. Su principal objetivo es el robo de credenciales a través de formularios web, capturas de teclado y exfiltración de datos desde navegadores y clientes de correo electrónico, además de la capacidad de realizar capturas de pantalla y recolectar detalles del sistema comprometido.

La evolución de Formbook se materializa en Xloader, una versión actualizada que amplía funcionalidades y modifica la estrategia de distribución. Mientras Formbook se dirigía a sistemas Windows, Xloader incorpora variantes capaces de atacar sistemas macOS, ampliando así el espectro de objetivos.

Xloader también introduce mejoras en persistencia y técnicas anti-defensas, y se comercializa como un sucesor más robusto, con énfasis en campañas distribuidas mediante correos maliciosos, documentos infectados y sitios fraudulentos.