**Incremento Explosivo del Malware: Redes de Bots y Cuentas Comprometidas Triplican la Distribución de Infostealers en 2025**
—
### Introducción
Durante el primer semestre de 2025, los equipos de ciberseguridad han detectado un alarmante repunte en la actividad de malware orientada a la exfiltración de credenciales y datos sensibles. Distintos informes de Threat Intelligence coinciden en que una operación coordinada, basada en el uso masivo de cuentas comprometidas y redes de bots, ha triplicado el volumen de distribución de infostealers respecto al año anterior. Esta tendencia representa una amenaza significativa para organizaciones de todos los sectores, con especial impacto en entornos corporativos y financieros.
—
### Contexto del Incidente o Vulnerabilidad
El fenómeno no parte de una campaña aislada, sino de una sofisticada infraestructura delictiva que aprovecha la automatización y la reutilización de credenciales, así como la evolución de los payloads de malware. Los atacantes utilizan cuentas comprometidas de usuarios legítimos—obtenidas a través de brechas anteriores, ataques de phishing y credential stuffing—para propagar infostealers a través de correo electrónico, mensajería instantánea y plataformas colaborativas.
Según datos recopilados por firmas como Group-IB y Recorded Future, la actividad ha crecido un 200% entre enero y mayo de 2025, lo que sugiere una profesionalización y escalabilidad sin precedentes en la distribución de este tipo de amenazas. Destacan campañas que explotan plataformas SaaS y de colaboración (Microsoft 365, Slack, Google Workspace) como canales de propagación, dificultando la detección por parte de los sistemas tradicionales de filtrado.
—
### Detalles Técnicos
Las familias de malware más implicadas en estas campañas son RedLine Stealer, Raccoon Stealer v2 y LummaC2 Stealer, todas ellas con versiones actualizadas para evadir soluciones EDR y sandboxes. Los atacantes emplean exploits conocidos (CVE-2024-21626 en clientes de mensajería y CVE-2025-10498 en plugins de correo electrónico) como vectores de acceso inicial. El marco MITRE ATT&CK identifica las TTP principales en los apartados TA0001 (Access via Compromised Accounts), TA0005 (Defense Evasion) y TA0009 (Collection).
La infraestructura de distribución se apoya en botnets híbridas, como EvilProxy y Emotet (reaparecido en 2025 con capacidades renovadas), que automatizan el envío a listas de contactos robadas y canales internos de empresas. Los indicadores de compromiso (IoC) asociados incluyen dominios de C2 dinámicos (.top, .xyz), payloads ofuscados en archivos comprimidos y scripts PowerShell cifrados. Los exploits se incorporan habitualmente como módulos en frameworks como Metasploit y Cobalt Strike, facilitando la explotación masiva y la personalización de la carga maliciosa.
—
### Impacto y Riesgos
El impacto de esta oleada de infostealers es considerable: se estima que más de 12 millones de credenciales han sido exfiltradas en lo que va de 2025, según los últimos informes de LeakBase. El 68% de las empresas afectadas reconocen haber experimentado accesos no autorizados a servicios internos y pérdida de datos sensibles, con costes medios de respuesta y remediación superiores a los 3,2 millones de euros por incidente.
Desde el punto de vista normativo, la exposición de datos personales y credenciales impacta directamente en el cumplimiento de la GDPR y la nueva directiva NIS2, incrementando el riesgo de sanciones administrativas y la obligación de notificación a la AEPD y ENISA en plazos estrictos.
—
### Medidas de Mitigación y Recomendaciones
Para contener y mitigar el riesgo, los expertos recomiendan:
– Fortalecer la autenticación multifactor (MFA) en todos los servicios corporativos, priorizando métodos resistentes al phishing (FIDO2, Passkeys).
– Monitorizar activamente el uso de cuentas y accesos anómalos mediante SIEM y UEBA.
– Actualizar y parchear aplicaciones y plugins vulnerables (CVE-2024-21626, CVE-2025-10498).
– Desplegar EDR/EDP avanzados con capacidades de detección de infostealers y movimientos laterales.
– Revisar y restringir los permisos de aplicaciones de terceros en plataformas SaaS.
– Realizar simulacros de phishing y formaciones regulares para empleados, reforzando la concienciación sobre amenazas actuales.
—
### Opinión de Expertos
Elena Serrano, CISO de una multinacional del IBEX 35, subraya: “El aumento del uso de cuentas legítimas como vector de ataque está erosionando la eficacia de los controles tradicionales. Es fundamental adoptar estrategias Zero Trust y reforzar la visibilidad sobre la actividad interna”. Por su parte, el analista de amenazas Joaquín Martín (S21sec) enfatiza la importancia de los Threat Intelligence Feeds en tiempo real: “La rapidez en la identificación de IoCs y la correlación de eventos son clave para responder ante campañas tan masivas y automatizadas”.
—
### Implicaciones para Empresas y Usuarios
El auge de esta tendencia exige a los equipos de ciberseguridad replantear la defensa perimetral y apostar por modelos adaptativos, donde la segmentación, la detección proactiva y la respuesta automatizada sean prioritarias. Para los usuarios finales, la protección de credenciales y la gestión segura de accesos se convierten en la primera línea de defensa frente a la exfiltración de datos y el robo de identidad corporativa.
—
### Conclusiones
La profesionalización de las campañas de infostealers, apoyadas en botnets y cuentas comprometidas, marca un nuevo paradigma en la distribución de malware en 2025. Las organizaciones deben reforzar sus estrategias de defensa, priorizando la autenticación robusta, la vigilancia continua y el cumplimiento normativo, ante una amenaza que combina automatización, evasión y escalabilidad sin precedentes.
(Fuente: www.darkreading.com)