Más de un millón de cuentas bancarias comprometidas por infostealers en lo que va de 2025

Introducción

El panorama de amenazas financieras ha experimentado un cambio significativo durante los últimos años, desplazándose progresivamente desde el malware bancario tradicional hacia sofisticadas familias de infostealers. Según el último informe de Kaspersky, durante el primer semestre de 2025 se han comprometido más de un millón de cuentas bancarias en todo el mundo como resultado del robo masivo de credenciales y la reutilización de datos. Este fenómeno refleja una evolución en las tácticas de los ciberdelincuentes, que ahora priorizan la recolección silenciosa de información sensible frente a ataques directos a plataformas bancarias.

Contexto del Incidente o Vulnerabilidad

Hasta hace pocos años, la mayoría de los incidentes de seguridad financiera estaban protagonizados por troyanos bancarios clásicos (como Dridex, Trickbot o Emotet), que infectaban estaciones de trabajo de usuarios para interceptar transacciones o manipular datos bancarios en tiempo real. Sin embargo, la mejora de las medidas defensivas de las entidades financieras, la adopción de autenticación multifactor y la creciente monitorización por parte de los equipos SOC han obligado a los actores maliciosos a diversificar su enfoque. Actualmente, la tendencia dominante es el uso de infostealers: programas maliciosos especializados en la exfiltración de credenciales, cookies de sesión, datos de autocompletado y wallets de criptomonedas.

Según datos de Kaspersky, sólo en los primeros seis meses de 2025 se han detectado más de 1,2 millones de cuentas bancarias comprometidas a través de campañas de infostealers, con una notable concentración en Europa y Latinoamérica. Esta cifra supone un incremento del 35% respecto al mismo periodo del año anterior. Las campañas analizadas evidencian un uso intensivo de técnicas de spear phishing, distribución de dropper loaders y aprovechamiento de vulnerabilidades en navegadores y extensiones.

Detalles Técnicos

Entre los infostealers más activos se encuentran RedLine, Raccoon Stealer (v2), Vidar y Lumma Stealer, todos ellos ampliamente comercializados en foros clandestinos y canales de Telegram. Estos malware suelen distribuirse mediante adjuntos maliciosos en correos electrónicos, enlaces de descarga en sitios comprometidos o incluso mediante campañas de malvertising.

Los principales vectores de ataque identificados corresponden a:

– Phishing dirigido (T1566.001 – MITRE ATT&CK): envío de correos personalizados con archivos adjuntos comprimidos o documentos ofimáticos con macros maliciosas.
– Descarga de payloads secundarios desde servidores C2, a menudo ocultos en servicios legítimos como Discord CDN o servicios de almacenamiento en la nube.
– Abuso de vulnerabilidades en navegadores (CVE-2024-5211, CVE-2024-6133) que permiten la ejecución de código arbitrario y la extracción de bases de datos de credenciales.

Las TTPs identificadas incluyen la ejecución de scripts PowerShell ofuscados, la utilización de técnicas fileless, y la exfiltración de información a través de canales cifrados (TLS 1.3). Los Indicadores de Compromiso (IoC) más frecuentes son hashes SHA256 de los ejecutables de los infostealers, direcciones IP de servidores C2 y patrones de tráfico HTTP anómalos.

Impacto y Riesgos

El impacto de estas campañas es significativo tanto para usuarios particulares como para organizaciones. Según estimaciones de Kaspersky, el valor total de los accesos bancarios comprometidos y comercializados en mercados como Genesis o Russian Market supera los 150 millones de euros en los primeros meses de 2025. Además, la venta de logs de infostealers incrementa el riesgo de ataques secundarios como el fraude financiero, el secuestro de cuentas (ATO), y la escalada de privilegios en entornos corporativos.

Las empresas que permiten la reutilización de contraseñas entre cuentas personales y corporativas están especialmente expuestas a ataques de credential stuffing y movimientos laterales.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de infostealers, los expertos recomiendan:

– Implementar autenticación multifactor (MFA) robusta en todos los accesos sensibles.
– Monitorizar activamente los endpoints mediante soluciones EDR capaces de detectar comportamientos anómalos y ataques fileless.
– Emplear gestores de contraseñas corporativos que eviten la reutilización y promuevan contraseñas fuertes.
– Actualizar navegadores, sistemas operativos y extensiones a las últimas versiones para reducir la superficie de ataque.
– Realizar campañas internas de concienciación y simulacros de phishing dirigidos a empleados.
– Monitorizar fugas de credenciales en dark web y establecer procedimientos de respuesta ante incidentes.

Opinión de Expertos

Javier Sanz, CISO de una entidad financiera española, señala: “La evolución hacia infostealers era esperable ante el endurecimiento de los controles en la banca online. La clave ahora está en la detección temprana y en reducir el valor de las credenciales mediante MFA y políticas de mínimo privilegio”.

Por su parte, Susana López, analista de amenazas de una consultora internacional, subraya: “El mercado de logs y credenciales robadas crece cada mes y alimenta otras cadenas de ataques, como el ransomware o el fraude BEC. La colaboración entre empresas y la compartición de IoCs es fundamental”.

Implicaciones para Empresas y Usuarios

El aumento de cuentas bancarias comprometidas tiene implicaciones directas para la gestión del riesgo operativo y la conformidad con normativas como el GDPR y la nueva Directiva NIS2. Las organizaciones deben reforzar sus estrategias de ciberhigiene, actualizar sus planes de respuesta a incidentes y revisar periódicamente los controles de acceso y autenticación.

Para los usuarios, el uso de contraseñas únicas y la activación de MFA son medidas imprescindibles para evitar el robo de identidad y el fraude económico.

Conclusiones

El auge de los infostealers marca una nueva etapa en la ciberdelincuencia financiera, donde el robo masivo de credenciales desplaza a los ataques directos a sistemas bancarios. La detección proactiva, la formación continua y la adopción de tecnologías de autenticación avanzada son esenciales para contener este tipo de amenazas en 2025 y los años venideros.

(Fuente: www.cybersecuritynews.es)