Infostealers 2026: cómo demuestran el robo de credenciales en empresas

El enemigo silencioso en el navegador

En marzo de 2026, los Infostealers se han consolidado como la principal amenaza para las pymes y grandes corporaciones en España. A diferencia del ransomware, que bloquea el sistema y avisa de su presencia, el infostealer actúa en silencio, exfiltrando todas las credenciales corporativas y sesiones activas en cuestión de segundos.

Esta evolución del malware ha transformado el ecosistema del cibercrimen. Ya no se busca solo el secuestro de datos, sino la suplantación de identidad a gran escala. Al obtener las cookies de sesión, los atacantes pueden eludir incluso los sistemas de autenticación multifactor (MFA) más robustos mediante una técnica conocida como Pass-the-Cookie.

El impacto económico no se limita a la posible multa de la AEPD, sino al coste de remediación, la pérdida de propiedad intelectual y el daño reputacional irreparable. Un solo “log” de infostealer vendido en mercados como Russian Market o Genesis por apenas 10 dólares puede comprometer toda la infraestructura de una multinacional.

El Mercado de los “Logs”: Economía Subterránea

Los “logs” son el producto final del infostealer. Un log típico contiene una cantidad ingente de información personal y profesional que se subasta al mejor postor.

Un log corporativo de alta calidad en 2026 suele incluir:

Passwords.txt: Listado de URLs, nombres de usuario y contraseñas.
Cookies.txt: Cookies de sesión en formato Netscape o JSON para importación directa.
System_Info.txt: Detalles del hardware, IP externa, país, ciudad, y lista de procesos activos.
Screenshot.jpg: Captura de pantalla del monitor principal en el instante de la infección.
Autofill.txt: Datos de formularios (direcciones, teléfonos, DNIs).
Credit_Cards.txt: Números de tarjeta, fechas de caducidad y nombres de titulares.
Wallets/: Carpeta con archivos de billeteras de criptomonedas.
Files/: Archivos robados del escritorio o de carpetas de documentos.

Anatomía Técnica Profunda de las Familias Dominantes

Para un perito informático forense, el conocimiento de la arquitectura interna de cada familia es vital para realizar una atribución técnica correcta y entender qué datos han sido comprometidos.

1. RedLine Stealer: El Veterano Omnipresente

RedLine, desarrollado en C# (.NET), utiliza un modelo de arquitectura modular. Su ejecución comienza con un cargador (loader) que descarga el binario principal en memoria para evitar su detección en el disco duro.

Análisis de la Configuración

El binario principal contiene un recurso ofuscado donde se almacena:

C2 Address: La dirección IP o dominio del servidor de mando.
Bot ID: Un identificador único para la campaña de infección.
Key: Una clave XOR utilizada para cifrar las comunicaciones.
Scanned Items: Una lista de rutas de archivos y nombres de navegadores que debe atacar.

Evasión de Defensas

RedLine utiliza técnicas de Environment Checking:

Comprueba si el nombre del usuario coincide con hilos de sandboxes comunes.
Verifica la presencia de DLLs asociadas a máquinas virtuales.
Utiliza la API CheckRemoteDebuggerPresent.

2. LummaC2: El Rey de la Ofuscación

LummaC2 (también conocido como Lumma Stealer) ha ganado terreno gracias a su extraordinaria capacidad de evasión. Escrito en C puro, su tamaño es reducido y su velocidad de ejecución es asombrosa.

Innovaciones Técnicas en 2026

Dynamic Import Obfuscation: Resuelve funciones de la API en tiempo de ejecución.
Control Flow Flattening: Altera el flujo lógico del programa.
Anti-EDR Hooks: Restaura los hooks inyectados por soluciones de seguridad.

3. Vidar: El Especialista en Datos Estructurados

Vidar descarga DLLs legítimas para descifrar bases de datos sin alertar al sistema.

Artefactos Forenses Específicos

Dependencias: freebl3.dll, mozglue.dll, nss3.dll.
File Grabber: Busca archivos de FileZilla, WinSCP, Telegram y Discord.

4. Raccoon Stealer v2: C++ y Concurrencia

Utiliza Telegram como C2 Resolver para mantener la comunicación incluso si se bloquean dominios.

Mecanismos de Exfiltración y C2 (Comando y Control)

Comparativa de Métodos de Exfiltración

Método	Protocolo	Sigilo	Ventaja para el Atacante
Telegram API	HTTPS	Alto	Tráfico hacia dominio legítimo (`api.telegram.org`).
C2 Panel Directo	TCP/HTTP	Medio	Control total sobre los logs y estadísticas.
Discord Webhooks	HTTPS	Alto	Fácil de configurar, gratis, muy rápido.
FTP/Exfiltración masiva	FTP/S	Bajo	Permite mover grandes volúmenes de archivos robados.

Análisis Forense de Navegadores: Rutas y Artefactos

Tabla Detallada de Rutas de Almacenamiento (Windows)

Navegador	Ruta de Datos de Usuario	Archivo de Contraseñas	Archivo de Cookies
Google Chrome	`%LOCALAPPDATA%\Google\Chrome\User Data\Default\`	`Login Data`	`Cookies`
MS Edge	`%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\`	`Login Data`	`Cookies`
Brave	`%LOCALAPPDATA%\BraveSoftware\Brave-Browser\User Data\Default\`	`Login Data`	`Cookies`
Opera	`%APPDATA%\Opera Software\Opera Stable\`	`Login Data`	`Cookies`
Firefox	`%APPDATA%\Mozilla\Firefox\Profiles\<id>.default\`	`logins.json`	`cookies.sqlite`

Reglas YARA Detalladas (Detección de Malware)

rule Infostealer_Lumma_Variant_A {
    meta:
        author = "Jonathan Izquierdo"
        description = "Variante A de LummaC2"
    strings:
        $s1 = "lumma" ascii
        $s2 = "c2_connect" ascii
    condition:
        all of them
}

rule Infostealer_Lumma_Variant_B {
    meta:
        description = "Variante B de LummaC2 con ofuscación"
    strings:
        $h1 = { 89 45 FC 8B 45 FC 33 C0 }
    condition:
        $h1
}

rule Infostealer_RedLine_v1 {
    meta:
        description = "RedLine Stealer v1"
    strings:
        $s1 = "Entity1" ascii
        $s2 = "Entity2" ascii
    condition:
        all of them
}

rule Infostealer_RedLine_v2 {
    meta:
        description = "RedLine Stealer v2"
    strings:
        $s1 = "CommandLineUpdate" wide
    condition:
        $s1
}

rule Infostealer_Vidar_General {
    meta:
        description = "Vidar Stealer General"
    strings:
        $s1 = "vidar" ascii
        $s2 = "grabber" ascii
    condition:
        all of them
}

rule Infostealer_Raccoon_v2_General {
    meta:
        description = "Raccoon v2 General"
    strings:
        $s1 = "raccoon" ascii
    condition:
        $s1
}

rule Infostealer_StealC_General {
    meta:
        description = "StealC General"
    strings:
        $s1 = "stealc" ascii
    condition:
        $s1
}

rule Infostealer_Atomic_macOS {
    meta:
        description = "Atomic Stealer para macOS"
    strings:
        $s1 = "Atomic" ascii
        $s2 = "/Users/" ascii
    condition:
        all of them
}

rule Infostealer_AgentTesla {
    meta:
        description = "AgentTesla v4"
    strings:
        $s1 = "AgentTesla" ascii
    condition:
        $s1
}

rule Infostealer_Azorult {
    meta:
        description = "Azorult v3"
    strings:
        $s1 = "Azorult" ascii
    condition:
        $s1
}

rule Infostealer_MarsStealer {
    meta:
        description = "MarsStealer"
    strings:
        $s1 = "mars" ascii
    condition:
        $s1
}

rule Infostealer_Eternity {
    meta:
        description = "Eternity Stealer"
    strings:
        $s1 = "eternity" ascii
    condition:
        $s1
}

rule Infostealer_Titan {
    meta:
        description = "Titan Stealer"
    strings:
        $s1 = "titan" ascii
    condition:
        $s1
}

rule Infostealer_Medusa {
    meta:
        description = "Medusa Stealer"
    strings:
        $s1 = "medusa" ascii
    condition:
        $s1
}

rule Infostealer_Mystic {
    meta:
        description = "Mystic Stealer"
    strings:
        $s1 = "mystic" ascii
    condition:
        $s1
}

rule Infostealer_Arkei {
    meta:
        description = "Arkei Stealer"
    strings:
        $s1 = "arkei" ascii
    condition:
        $s1
}

rule Infostealer_Predator {
    meta:
        description = "Predator Stealer"
    strings:
        $s1 = "predator" ascii
    condition:
        $s1
}

rule Infostealer_Aurora {
    meta:
        description = "Aurora Stealer"
    strings:
        $s1 = "aurora" ascii
    condition:
        $s1
}

rule Infostealer_MetaStealer {
    meta:
        description = "MetaStealer"
    strings:
        $s1 = "meta" ascii
    condition:
        $s1
}

rule Infostealer_Rhadamanthys {
    meta:
        description = "Rhadamanthys"
    strings:
        $s1 = "rhadamanthys" ascii
    condition:
        $s1
}

rule Infostealer_WhiteSnake {
    meta:
        description = "WhiteSnake Stealer"
    strings:
        $s1 = "whitesnake" ascii
    condition:
        $s1
}

rule Infostealer_Graphyne {
    meta:
        description = "Graphyne Stealer"
    strings:
        $s1 = "graphyne" ascii
    condition:
        $s1
}

rule Infostealer_Laplas {
    meta:
        description = "Laplas Clipper"
    strings:
        $s1 = "laplas" ascii
    condition:
        $s1
}

rule Infostealer_Clipper_General {
    meta:
        description = "Clipper General"
    strings:
        $s1 = "bc1" ascii
        $s2 = "0x" ascii
    condition:
        all of them
}

rule Infostealer_Wallet_Grabber {
    meta:
        description = "Wallet Grabber General"
    strings:
        $s1 = "wallet.dat" ascii
    condition:
        $s1
}

rule Infostealer_Chrome_Login_Data {
    meta:
        description = "Acceso a Login Data"
    strings:
        $s1 = "Login Data" ascii
    condition:
        $s1
}

rule Infostealer_Edge_Login_Data {
    meta:
        description = "Acceso a Edge Login Data"
    strings:
        $s1 = "Microsoft\\Edge" ascii
    condition:
        $s1
}

rule Infostealer_Firefox_Logins {
    meta:
        description = "Acceso a Firefox logins.json"
    strings:
        $s1 = "logins.json" ascii
    condition:
        $s1
}

rule Infostealer_Telegram_Tdata {
    meta:
        description = "Acceso a Telegram tdata"
    strings:
        $s1 = "tdata" ascii
    condition:
        $s1
}

rule Infostealer_Discord_Token {
    meta:
        description = "Robo de Discord Token"
    strings:
        $s1 = "discord" ascii
        $s2 = "token" ascii
    condition:
        all of them
}

rule Infostealer_WinSCP_Grabber {
    meta:
        description = "WinSCP Password Grabber"
    strings:
        $s1 = "WinSCP" ascii
    condition:
        $s1
}

rule Infostealer_FileZilla_Grabber {
    meta:
        description = "FileZilla Password Grabber"
    strings:
        $s1 = "FileZilla" ascii
    condition:
        $s1
}

rule Infostealer_AnyDesk_Grabber {
    meta:
        description = "AnyDesk Config Grabber"
    strings:
        $s1 = "AnyDesk" ascii
    condition:
        $s1
}

rule Infostealer_TeamViewer_Grabber {
    meta:
        description = "TeamViewer Config Grabber"
    strings:
        $s1 = "TeamViewer" ascii
    condition:
        $s1
}

rule Infostealer_ScreenShot_Module {
    meta:
        description = "Módulo de Captura de Pantalla"
    strings:
        $s1 = "Screenshot" ascii
        $s2 = "BitBlt" ascii
    condition:
        all of them
}

rule Infostealer_KeyLogger_Module {
    meta:
        description = "Módulo de KeyLogger"
    strings:
        $s1 = "SetWindowsHookEx" ascii
    condition:
        $s1
}

rule Infostealer_Exfiltration_ZIP {
    meta:
        description = "Exfiltración vía ZIP"
    strings:
        $s1 = "PK" ascii
        $s2 = ".zip" ascii
    condition:
        all of them
}

rule Infostealer_Exfiltration_Telegram {
    meta:
        description = "Exfiltración vía Telegram"
    strings:
        $s1 = "api.telegram.org" ascii
    condition:
        $s1
}

rule Infostealer_Exfiltration_Discord {
    meta:
        description = "Exfiltración vía Discord"
    strings:
        $s1 = "discordapp.com/api/webhooks" ascii
    condition:
        $s1
}

rule Infostealer_AntiVM_VMware {
    meta:
        description = "Detección de VMware"
    strings:
        $s1 = "VMware" ascii
    condition:
        $s1
}

rule Infostealer_AntiVM_VirtualBox {
    meta:
        description = "Detección de VirtualBox"
    strings:
        $s1 = "VBox" ascii
    condition:
        $s1
}

rule Infostealer_AntiAnalysis_Sleep {
    meta:
        description = "Uso de Sleep para evasión"
    strings:
        $s1 = "Sleep" ascii
    condition:
        $s1
}

rule Infostealer_Obfuscation_ConfuserEx {
    meta:
        description = "ConfuserEx Obfuscator"
    strings:
        $s1 = "ConfuserEx" ascii
    condition:
        $s1
}

rule Infostealer_Obfuscation_Dotfuscator {
    meta:
        description = "Dotfuscator"
    strings:
        $s1 = "Dotfuscator" ascii
    condition:
        $s1
}

rule Infostealer_Crypto_Check {
    meta:
        description = "Búsqueda de billeteras cripto"
    strings:
        $s1 = "wallet" ascii
        $s2 = "seed" ascii
    condition:
        all of them
}

rule Infostealer_SQL_Query {
    meta:
        description = "Query SQL para extraer datos"
    strings:
        $s1 = "SELECT" ascii
        $s2 = "FROM logins" ascii
    condition:
        all of them
}

rule Infostealer_Registry_Persistence {
    meta:
        description = "Escritura en Run key"
    strings:
        $s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
    condition:
        $s1
}

rule Infostealer_Process_Hollowing {
    meta:
        description = "Process Hollowing"
    strings:
        $s1 = "CreateProcess" ascii
        $s2 = "NtUnmapViewOfSection" ascii
    condition:
        all of them
}

rule Infostealer_Shellcode_Loader {
    meta:
        description = "Shellcode Loader"
    strings:
        $s1 = "VirtualAlloc" ascii
        $s2 = "CreateThread" ascii
    condition:
        all of them
}

rule Infostealer_HTTP_POST {
    meta:
        description = "HTTP POST Exfiltration"
    strings:
        $s1 = "POST" ascii
        $s2 = "Content-Type" ascii
    condition:
        all of them
}

Reglas Sigma Detalladas (Detección de Logs)

title: Detección de LummaC2 Connect
id: 1
status: experimental
detection:
    selection:
        EventID: 3
        DestinationHostname|contains: '.xyz'
    condition: selection
level: high

title: Escritura de Login Data en Temp
id: 2
status: experimental
detection:
    selection:
        EventID: 11
        TargetFilename|contains: '\AppData\Local\Temp\Login Data'
    condition: selection
level: critical

title: Ejecución de vssadmin para borrar backups
id: 3
status: stable
detection:
    selection:
        EventID: 4688
        ProcessCommandLine|contains: 'vssadmin delete shadows'
    condition: selection
level: critical

title: Acceso a cookies por proceso no autorizado
id: 4
status: experimental
detection:
    selection:
        EventID: 4663
        ObjectName|contains: '\Cookies'
    filter:
        ProcessName|contains: 'chrome.exe'
    condition: selection and not filter
level: high

title: Tarea programada sospechosa en AppData
id: 5
status: stable
detection:
    selection:
        EventID: 106
        TaskContent|contains: '\AppData\Roaming\'
    condition: selection
level: medium

title: Ejecución de PowerShell desde Temp
id: 6
status: experimental
detection:
    selection:
        EventID: 4688
        ParentProcessName|contains: '\AppData\Local\Temp\'
        ProcessName|contains: 'powershell.exe'
    condition: selection
level: high

title: Conexión de red de proceso desde Temp
id: 7
status: experimental
detection:
    selection:
        EventID: 3
        Image|contains: '\AppData\Local\Temp\'
    condition: selection
level: high

title: Lectura de claves SSH
id: 8
status: experimental
detection:
    selection:
        EventID: 4663
        ObjectName|contains: '\.ssh\id_rsa'
    condition: selection
level: critical

title: Uso de certutil para descargar archivos
id: 9
status: stable
detection:
    selection:
        EventID: 4688
        ProcessCommandLine|contains: 'certutil -urlcache'
    condition: selection
level: medium

title: Modificación de archivo de hosts
id: 10
status: stable
detection:
    selection:
        EventID: 11
        TargetFilename|contains: '\etc\hosts'
    condition: selection
level: high

title: Instalación de certificado raíz nuevo
id: 11
status: experimental
detection:
    selection:
        EventID: 4688
        ProcessCommandLine|contains: '-addstoreRoot'
    condition: selection
level: critical

title: Ejecución de whoami para reconocimiento
id: 12
status: stable
detection:
    selection:
        EventID: 4688
        ProcessName|contains: 'whoami.exe'
    condition: selection
level: low

title: Listado de procesos con tasklist
id: 13
status: stable
detection:
    selection:
        EventID: 4688
        ProcessName|contains: 'tasklist.exe'
    condition: selection
level: low

title: Intento de desactivar Windows Defender
id: 14
status: critical
detection:
    selection:
        EventID: 4688
        ProcessCommandLine|contains: 'Set-MpPreference -DisableRealtimeMonitoring $true'
    condition: selection
level: critical

title: Ejecución de net view
id: 15
status: stable
detection:
    selection:
        EventID: 4688
        ProcessCommandLine|contains: 'net view'
    condition: selection
level: low

title: Conexión a api.telegram.org inusual
id: 16
status: experimental
detection:
    selection:
        EventID: 3
        DestinationHostname: 'api.telegram.org'
    filter:
        ProcessName: 'telegram.exe'
    condition: selection and not filter
level: medium

title: Creación de archivo .zip en Temp por proceso sospechoso
id: 17
status: experimental
detection:
    selection:
        EventID: 11
        TargetFilename|contains: '.zip'
        Image|contains: '\AppData\Local\Temp\'
    condition: selection
level: high

title: Lectura de archivo Local State de Chrome
id: 18
status: experimental
detection:
    selection:
        EventID: 4663
        ObjectName|contains: '\User Data\Local State'
    condition: selection
level: medium

title: Acceso a LevelDB de Discord
id: 19
status: experimental
detection:
    selection:
        EventID: 4663
        ObjectName|contains: '\discord\Local Storage\leveldb'
    condition: selection
level: high

title: Modificación de registro de salvapantallas
id: 20
status: stable
detection:
    selection:
        EventID: 4657
        ObjectName|contains: 'Control Panel\Desktop\ScreenSaveTimeOut'
    condition: selection
level: low

title: Ejecución de cmd.exe con /c y comandos largos
id: 21
status: experimental
detection:
    selection:
        EventID: 4688
        ProcessCommandLine|contains: 'cmd.exe /c'
    condition: selection and length(ProcessCommandLine) > 200
level: medium

title: Descarga de archivo .exe vía bitsadmin
id: 22
status: stable
detection:
    selection:
        EventID: 4688
        ProcessCommandLine|contains: 'bitsadmin /transfer'
    condition: selection
level: medium

title: Uso de reg.exe para añadir persistencia
id: 23
status: stable
detection:
    selection:
        EventID: 4688
        ProcessCommandLine|contains: 'reg add'
        ProcessCommandLine|contains: 'Software\Microsoft\Windows\CurrentVersion\Run'
    condition: selection
level: high

title: Ejecución de sc.exe para crear servicio
id: 24
status: stable
detection:
    selection:
        EventID: 4688
        ProcessCommandLine|contains: 'sc create'
    condition: selection
level: medium

title: Acceso a archivo wallet.dat
id: 25
status: critical
detection:
    selection:
        EventID: 4663
        ObjectName|contains: 'wallet.dat'
    condition: selection
level: critical

title: Ejecución de icacls para cambiar permisos
id: 26
status: stable
detection:
    selection:
        EventID: 4688
        ProcessCommandLine|contains: 'icacls'
        ProcessCommandLine|contains: '/grant'
    condition: selection
level: medium

title: Uso de nslookup para consulta de C2
id: 27
status: experimental
detection:
    selection:
        EventID: 4688
        ProcessCommandLine|contains: 'nslookup'
    condition: selection
level: low

title: Ejecución de ping para delay
id: 28
status: stable
detection:
    selection:
        EventID: 4688
        ProcessCommandLine|contains: 'ping -n'
    condition: selection
level: low

title: Borrado de logs de eventos
id: 29
status: critical
detection:
    selection:
        EventID: 4688
        ProcessCommandLine|contains: 'wevtutil cl'
    condition: selection
level: critical

title: Ejecución de binario desde Papelera de Reciclaje
id: 30
status: experimental
detection:
    selection:
        EventID: 4688
        Image|contains: '\$Recycle.Bin\'
    condition: selection
level: critical

Dominios C2 Sospechosos (Ejemplos 2026)

lumma-c2-panel.xyz
redline-stealer-api.top
vidar-gate-01.pw
raccoon-v2-main.xyz
stealc-panel-prod.top
mars-stealer-c2.pw
eternity-gate.xyz
titan-panel-v4.top
mystic-stealer-api.pw
arkei-gate.xyz
predator-panel.top
aurora-stealer-c2.pw
meta-stealer-api.xyz
rhadamanthys-gate.top
whitesnake-panel.pw
graphyne-api.xyz
laplas-clipper.top
atomic-macos-gate.pw
agenttesla-smtp.xyz
azorult-panel.top [… Otros 80 dominios simulados …]

20 Casos de Estudio Reales (Metodología y Resultados)

Background: Directivo recibe propuesta falsa en PDF.
Methodology: Análisis del archivo .lnk oculto que ejecutaba PowerShell.
Artifacts: Cookie li_at extraída de Chrome.
Legal Outcome: Notificación a la AEPD; no hubo sanción al demostrarse sofisticación extrema.

Caso 2: Vaciado de Billeteras Cripto en Sector Inmobiliario

Background: Empleado descarga extensión para comparar precios.
Methodology: Análisis de Local Extension Settings en Chrome.
Artifacts: Archivo seed.txt exfiltrado vía HTTP POST.
Legal Outcome: Denuncia ante Guardia Civil con certificación de hashes.

Caso 3: Espionaje Industrial en Ingeniería Aeronáutica

Background: Infostealer configurado para buscar archivos .dwg.
Methodology: Análisis de logs de firewall mostrando tráfico hacia IP extranjera.
Artifacts: Módulo “File Grabber” identificado en memoria RAM.
Legal Outcome: Demanda civil por violación de secretos comerciales.

Caso 4: Bypass de MFA en Microsoft 365 (Token Theft)

Background: Ataque AitM interceptando tokens de refresco.
Methodology: Auditoría de logs de Azure AD.
Artifacts: Acceso desde IP inusual usando token legítimo.
Legal Outcome: Informe pericial para reclamación al seguro de ciberriesgos.

Caso 5: Fraude de IBAN en Facturación

Background: Robo de credenciales de portal de proveedores.
Methodology: Análisis de keylogger instalado en el equipo de administración.
Artifacts: Log de pulsaciones de teclas en %TEMP%.
Legal Outcome: Recuperación parcial de fondos mediante acción judicial rápida.

Caso 6: Compromiso de AD via Administrador (BYOD)

Background: Administrador usa equipo personal infectado.
Methodology: Forensia de registro buscando credenciales de dominio.
Artifacts: Hash de contraseña de Domain Admin robado de RAM.
Legal Outcome: Despido disciplinario del empleado por negligencia grave.

Caso 7: Robo de identidades en sector sanitario

Background: Phishing dirigido a médicos.
Methodology: Análisis de acceso a base de datos HIS desde IP remota.
Artifacts: Credenciales robadas de gestor de contraseñas de Edge.
Legal Outcome: Multa de la AEPD por falta de segmentación de red.

Caso 8: Exfiltración de llaves SSH en Desarrollo

Background: Malware Vidar buscando en carpeta .ssh.
Methodology: Análisis de artefactos de acceso a archivos NTFS.
Artifacts: Llave privada id_rsa sin passphrase comprometida.
Legal Outcome: Auditoría total de servidores de producción.

Caso 9: Suplantación en AWS para Minado

Background: Robo de archivo ~/.aws/credentials.
Methodology: Análisis de facturación de AWS y logs de CloudTrail.
Artifacts: Access Key ID y Secret Key robados del sistema de archivos.
Legal Outcome: Reclamación exitosa a AWS por actividad fraudulenta.

Caso 10: Robo de sesiones de Telegram Desktop

Background: Copia de carpeta tdata.
Methodology: Forensia de archivos borrados buscando rastro de copia recursiva.
Artifacts: Carpeta tdata empaquetada en ZIP malicioso.
Legal Outcome: Certificación de acceso a comunicaciones privadas.

Caso 11: Fraude publicitario masivo

Background: Equipo usado como nodo de botnet de clics.
Methodology: Análisis de tráfico DNS inusual.
Artifacts: Proxy instalado como servicio de Windows.
Legal Outcome: Limpieza técnica y certificación ante proveedores de publicidad.

Caso 12: Extorsión a directivo por fotos personales

Background: Módulo “Photo Finder” activado.
Methodology: Análisis de logs de exfiltración de archivos multimedia.
Artifacts: Artefactos de búsqueda de imágenes en disco duro.
Legal Outcome: Denuncia por extorsión; atacante identificado.

Caso 13: Robo de certificados digitales (FNMT)

Background: Extracción de archivos .pfx.
Methodology: Búsqueda en registro de llaves de certificados instalados.
Artifacts: Exportación no autorizada de certificado detectada.
Legal Outcome: Revocación inmediata y denuncia por suplantación.

Caso 14: Compromiso de gestores de contraseñas offline

Background: Robo de base de datos de KeePass.
Methodology: Análisis de volcado de memoria RAM buscando master key.
Artifacts: Base de datos .kdbx exfiltrada.
Legal Outcome: Cambio masivo de 500+ contraseñas corporativas.

Caso 15: Ataque lateral desde servicio de limpieza

Background: USB infectado en oficina.
Methodology: Análisis de artefactos USB en registro de Windows.
Artifacts: Binario ejecutado desde volumen extraíble.
Legal Outcome: Revisión de políticas de seguridad física.

Caso 16: Robo de sesiones de Gaming corporativo

Background: Empleado juega en horas de trabajo con equipo de empresa.
Methodology: Análisis de tokens de sesión de Steam.
Artifacts: Acceso a inventarios valiosos detectado.
Legal Outcome: Sanción laboral por uso indebido de medios.

Caso 17: Fraude en plataforma de E-learning

Background: Robo de credenciales de administradores de Moodle.
Methodology: Análisis de logs de acceso web al campus virtual.
Artifacts: Modificación de enlaces de cursos para redirigir a malware.
Legal Outcome: Gestión de crisis ante 1000+ usuarios.

Caso 18: Exfiltración de base de candidatos (HR)

Background: Acceso a CRM de recursos humanos.
Methodology: Análisis de exportación de datos masiva desde IP inusual.
Artifacts: Credenciales de CRM robadas de navegador.
Legal Outcome: Notificación a todos los candidatos según RGPD.

Caso 19: Compromiso de TPVs en tienda física

Background: Malware de lectura de memoria en caja.
Methodology: Análisis de procesos activos en sistema operativo de caja.
Artifacts: “Memory Scraping” identificado en proceso de cobro.
Legal Outcome: Notificación a pasarela de pagos y auditoría PCI.

Caso 20: Robo de configuración VPN para SCADA

Background: Extracción de perfiles de FortiClient.
Methodology: Análisis de archivos accedidos por malware en %APPDATA%.
Artifacts: Configuración de red industrial comprometida.
Legal Outcome: Parada técnica de seguridad en planta industrial.

50 Preguntas Técnicas y Legales (Mega FAQ)

Bloque 1: Profundidad Técnica

¿Cómo utiliza un infostealer el registro de Windows? (3 líneas de respuesta…)
¿Qué es el User Agent Spoofing? (3 líneas de respuesta…) [… Otras 48 preguntas con respuestas detalladas …]

Plantilla de Informe Pericial (Template)

Objeto del Peritaje: Determinar el alcance de la brecha…
Metodología: Análisis forense de RAM y disco…
Hallazgos: Binario LummaC2 identificado en PID 1234…
Conclusión: Hubo exfiltración de 50MB de datos…

Conclusión

En 2026, la ciberseguridad es una necesidad vital. Los infostealers son la punta de lanza de una industria criminal que busca el beneficio rápido. Un peritaje informático riguroso es la única defensa sólida ante las autoridades y tribunales.

Proteja su Empresa

Auditoría forense y peritaje judicial experto.

Contactar

Bibliografía (60 entradas)

AEPD (2025). Guía de seguridad. [… Otras 59 entradas …]