¿Qué es un infostealer y cómo funciona?

Un infostealer es un tipo de malware diseñado específicamente para robar información sensible del equipo infectado: contraseñas almacenadas en navegadores, cookies de sesión, tokens de autenticación, datos de tarjetas de crédito guardados en autocompletado, billeteras de criptomonedas, capturas de pantalla y archivos específicos. El malware opera en segundos, empaqueta los datos robados en un archivo comprimido (log) y lo envía a un servidor controlado por el atacante.

¿Cuáles son los infostealers más peligrosos en 2025-2026?

Los infostealers más activos son RedLine Stealer (el más extendido globalmente), LummaC2 (crecimiento explosivo en 2025), Raccoon Stealer (resurgido tras detención de su operador), Vidar (derivado de Arkei), Stealc (nueva generación modular), y Meta Stealer (enfocado en macOS). En España, RedLine y LummaC2 son los más detectados según datos de INCIBE y Check Point.

¿Cómo puede un perito informático analizar una infección por infostealer?

El perito analiza la memoria RAM del equipo (con Volatility), el sistema de archivos (artefactos en AppData, Temp), registros del sistema, tráfico de red capturado, y artefactos del navegador. Se buscan IOCs específicos (hashes, dominios C2, rutas de archivos), se reconstruye la línea temporal de la infección, y se determina qué datos fueron exfiltrados. Herramientas clave: Autopsy, YARA rules, Wireshark y sandbox como Any.run.

¿Qué delitos comete quien distribuye o usa infostealers en España?

La distribución y uso de infostealers puede constituir varios delitos: descubrimiento y revelación de secretos (art. 197 CP, pena de 1-4 años), acceso ilícito a sistemas informáticos (art. 197 bis CP, 6 meses-2 años), daños informáticos (art. 264 CP, 6 meses-3 años), estafa si se usan las credenciales robadas (art. 248 CP, 6 meses-3 años), y blanqueo de capitales si se monetizan los datos robados (art. 301 CP, 6 meses-6 años).

¿Dónde se venden las credenciales robadas por infostealers?

Las credenciales robadas se comercializan en mercados especializados de la dark web (Russian Market, Genesis Market — cerrado en 2023 por el FBI), foros underground (XSS, Exploit, BreachForums), canales de Telegram (miles de canales con bots automatizados de venta), y servicios de 'logs' donde se venden paquetes de datos organizados por país, servicio y fecha de infección.

Infostealers: malware de robo de credenciales y datos

¿Qué son los infostealers?

Los infostealers (también llamados information stealers o stealers) son una categoría de malware diseñada específicamente para extraer información sensible de los equipos infectados de forma automatizada y rápida. A diferencia de otros tipos de malware que pueden permanecer latentes durante meses (como los APT) o cifrar archivos para pedir rescate (ransomware), los infostealers operan en un modelo de “smash and grab”: infectan el equipo, roban toda la información valiosa en cuestión de segundos o minutos, y la envían a los atacantes.

El resultado de cada infección — denominado “log” — es un paquete comprimido que contiene todas las credenciales, cookies, tokens, capturas de pantalla y archivos robados del equipo infectado. Estos logs se venden al por mayor en mercados de la dark web y canales de Telegram, formando la base de una economía criminal multimillonaria.

La amenaza más extendida en España (2025-2026)

Según datos de Check Point, ESET y INCIBE, los infostealers son la categoría de malware más detectada en España en 2025, superando al ransomware y a los troyanos bancarios tradicionales. RedLine Stealer y LummaC2 concentran más del 60% de las detecciones. Un solo log de credenciales español (con acceso a banca online) puede venderse por entre 10€ y 300€ en el mercado negro, dependiendo de la calidad de los datos.

Principales familias de infostealers

RedLine Stealer

Característica	Detalle
Primera aparición	Marzo 2020
Lenguaje	.NET (C#)
Modelo de negocio	MaaS (Malware-as-a-Service): 150$/mes o 800$ licencia lifetime
Distribución	Foros underground rusos, Telegram
Objetivo	Windows (7, 8, 10, 11)
Estado (2026)	Parcialmente desmantelado por Operación Magnus (oct 2024), pero variantes activas

Capacidades de robo:

Contraseñas almacenadas en Chrome, Firefox, Edge, Opera, Brave y otros navegadores basados en Chromium
Cookies de sesión (permite secuestro de cuentas sin necesidad de contraseña)
Datos de autocompletado (nombres, direcciones, teléfonos, tarjetas de crédito)
Billeteras de criptomonedas (MetaMask, Exodus, Electrum, Atomic Wallet y más de 30 wallets)
Clientes VPN (NordVPN, ProtonVPN, OpenVPN)
Clientes FTP (FileZilla)
Tokens de Discord
Datos del sistema (hardware, software instalado, IP, geolocalización)
Capturas de pantalla
Archivos específicos por extensión (.txt, .doc, .pdf, .key)

Caso Operación Magnus (octubre 2024):

En octubre de 2024, una operación conjunta del FBI, la Policía Nacional de los Países Bajos y Eurojust desmanteló parcialmente la infraestructura de RedLine Stealer y META Stealer. Se incautaron servidores, dominios y código fuente. Sin embargo, como el código fuente había sido filtrado previamente, variantes de RedLine siguen activas en 2025-2026.

LummaC2 (Lumma Stealer)

Característica	Detalle
Primera aparición	Agosto 2022
Lenguaje	C/C++
Modelo de negocio	MaaS: desde 250$/mes hasta 20.000$ (build personalizado)
Distribución	Telegram, foros XSS y Exploit
Objetivo	Windows
Estado (2026)	En crecimiento explosivo; principal stealer activo

LummaC2: la amenaza creciente

LummaC2 ha experimentado un crecimiento del 400% en detecciones entre 2024 y 2025, convirtiéndose en el infostealer más sofisticado y activo. Su desarrollador (“Shamel”) mantiene un servicio de soporte activo en Telegram con actualizaciones frecuentes para evadir antivirus. Incluye técnicas avanzadas de evasión como cifrado de strings, inyección de procesos y detección de sandboxes.

Características distintivas de LummaC2:

Panel de control web sofisticado para los operadores
Soporte para exfiltración de datos a Telegram, Discord y servidores C2 propios
Técnicas avanzadas de evasión: anti-VM, anti-sandbox, anti-debugging
Capacidad de robar cookies de sesión de Google (incluso después del cierre de sesión)
Actualización constante para evadir firmas de antivirus (media de 2 actualizaciones/semana)
Módulo de loader: puede descargar y ejecutar malware adicional (ransomware, RATs)

Raccoon Stealer

Característica	Detalle
Primera aparición	Abril 2019 (v1), Junio 2022 (v2)
Lenguaje	C/C++
Modelo de negocio	MaaS: 200$/mes
Distribución	Foros underground, Telegram
Objetivo	Windows
Estado (2026)	Resurgido como v2 tras arresto del operador principal (Mark Sokolovsky) en 2022

Historia relevante:

En octubre de 2022, el Departamento de Justicia de EE.UU. acusó al ciudadano ucraniano Mark Sokolovsky por operar Raccoon Stealer. Fue detenido en los Países Bajos y extraditado a EE.UU. Sin embargo, otros miembros del equipo lanzaron Raccoon Stealer v2 con una nueva infraestructura, demostrando la resiliencia del ecosistema criminal.

Vidar Stealer

Característica	Detalle
Primera aparición	Diciembre 2018
Origen	Fork del stealer Arkei
Lenguaje	C++
Modelo de negocio	MaaS: desde 130$/mes
Objetivo	Windows
Estado (2026)	Activo, con distribución principalmente por malvertising

Técnica distintiva: Vidar utiliza perfiles de redes sociales (Steam, Telegram) como “dead drops” para almacenar las direcciones de los servidores C2, dificultando su bloqueo por parte de los investigadores.

Stealc

Característica	Detalle
Primera aparición	Enero 2023
Lenguaje	C
Modelo de negocio	MaaS: 200$/mes
Distribución	Foros XSS, Telegram
Objetivo	Windows
Estado (2026)	En crecimiento; considerado sucesor espiritual de Vidar

Características destacadas:

Diseño modular: el operador configura exactamente qué datos robar
Footprint mínimo: el binario pesa menos de 80KB
Descarga DLLs legítimas de Windows para funciones de descifrado
Evasión de AMSI (Anti-Malware Scan Interface)

Meta Stealer (MetaStealer)

Característica	Detalle
Primera aparición	2022
Versiones	Windows (.NET) y macOS (Go)
Modelo de negocio	MaaS: 125$/mes o 1.000$ lifetime
Objetivo	Windows y macOS
Estado (2026)	Parcialmente desmantelado (Operación Magnus), variantes activas

Infostealers en macOS

Aunque la mayoría de infostealers se dirigen a Windows, la tendencia en 2025-2026 muestra un aumento significativo de stealers para macOS: MetaStealer (Go), Atomic Stealer (AMOS), Banshee Stealer y Cuckoo Stealer. Los usuarios de Mac ya no pueden considerarse inmunes. El análisis forense en macOS requiere herramientas y metodologías específicas (Unified Log, FSEvents, Keychain).

Comparativa de familias

Familia	Precio/mes	Navegadores	Crypto	VPN/FTP	Anti-análisis	Loader
RedLine	150$	30+	40+ wallets	Sí	Básico	Sí
LummaC2	250$	30+	40+ wallets	Sí	Avanzado	Sí
Raccoon v2	200$	30+	30+ wallets	Sí	Medio	Sí
Vidar	130$	20+	20+ wallets	Sí	Medio	Sí
Stealc	200$	20+	30+ wallets	Sí	Medio	No
Meta	125$	20+	20+ wallets	Sí	Básico	No

Funcionamiento técnico de los infostealers

Ciclo de vida de una infección

┌──────────────┐     ┌──────────────┐     ┌──────────────┐
│ 1. DISTRIBUCIÓN│───→│ 2. INFECCIÓN  │───→│ 3. RECOLECCIÓN│
│              │     │              │     │              │
│ - Phishing   │     │ - Ejecución  │     │ - Navegadores│
│ - Malvertising│     │ - Persistencia│     │ - Wallets    │
│ - Fake SW    │     │ - Evasión AV │     │ - Cookies    │
│ - Cracks     │     │ - Inyección  │     │ - Tokens     │
└──────────────┘     └──────────────┘     └──────────────┘
                                                │
                                                ▼
┌──────────────┐     ┌──────────────┐     ┌──────────────┐
│ 6. MONETIZACIÓN│←───│ 5. VENTA      │←───│ 4. EXFILTRACIÓN│
│              │     │              │     │              │
│ - Fraude     │     │ - Dark web   │     │ - Compress   │
│ - Extorsión  │     │ - Telegram   │     │ - Encrypt    │
│ - Ransomware │     │ - Foros      │     │ - C2 / TG    │
│ - Acceso     │     │ - Brokers    │     │ - HTTP POST  │
└──────────────┘     └──────────────┘     └──────────────┘

Fase 1: Distribución

Los infostealers utilizan múltiples vectores de distribución:

Software falso y cracks

El vector más efectivo para infostealers es la distribución a través de software pirata, cracks, keygens y activadores falsos. Los atacantes posicionan sus descargas maliciosas en:

Vector	Descripción	Ejemplo
Cracks de software	Falsos activadores de Windows, Office, Adobe	”KMSPico.exe” con RedLine embebido
Software pirata	Versiones troyanizadas de programas populares	Photoshop, AutoCAD, FL Studio falsos
Generadores de claves	Keygens que realmente instalan malware	”Adobe_Keygen_2025.exe”
Game cheats	Trampas para videojuegos con malware	”Valorant_Aimbot.exe”
Mods de juegos	Modificaciones troyanizadas para juegos populares	Mods falsos de Minecraft, GTA V

El vector más efectivo en España

Según datos del INCIBE y la Policía Nacional, la descarga de software pirata es el principal vector de infección por infostealers en España. Los adolescentes y jóvenes adultos que descargan cracks de videojuegos y software son especialmente vulnerables. Una sola descarga de un crack troyanizado puede comprometer todas las cuentas almacenadas en el navegador en cuestión de segundos.

Malvertising

Los atacantes compran anuncios en Google Ads, Bing Ads y redes publicitarias para posicionar páginas maliciosas que imitan descargas legítimas:

Búsqueda Google: "descargar OBS Studio"

Resultado patrocinado (malicioso):
  obs-studio-download.com  ← Dominio falso con infostealer
  "Descarga OBS Studio gratis - Versión oficial 2026"

Resultado orgánico (legítimo):
  obsproject.com
  "OBS Studio - Free and open source software for video recording"

Software suplantado	Frecuencia	Ejemplo de dominio falso
OBS Studio	Muy alta	obs-studio-download[.]com
7-Zip	Alta	7zip-download[.]org
Notepad++	Alta	notepadplus-download[.]com
VLC	Alta	vlc-player-download[.]com
Audacity	Media	audacity-download[.]org
GIMP	Media	gimp-download[.]com

Phishing y spear phishing

Los infostealers también se distribuyen mediante campañas de phishing:

Emails con adjuntos maliciosos: Archivos .exe, .scr, .msi, .iso, .vhd, .js, .vbs disfrazados de facturas, albaranes o documentos
Macros de Office: Documentos Word/Excel con macros que descargan el stealer
HTML smuggling: Archivos HTML adjuntos que generan el ejecutable malicioso en el navegador
Enlaces a descargas: URLs que redirigen a la descarga del malware

Otros vectores

Vector	Descripción
Warez forums	Foros de piratería donde se comparten “releases” con malware embebido
YouTube	Vídeos con enlaces de descarga maliciosos en la descripción
Discord	Archivos compartidos en servidores de Discord
Telegram	Canales que distribuyen “software gratuito” troyanizado
Torrents	Archivos torrent de software popular con malware incluido
GitHub	Repositorios falsos con herramientas troyanizadas

Fase 2: Infección y ejecución

Una vez descargado y ejecutado, el infostealer realiza una serie de acciones rápidas:

Verificación del entorno: El malware comprueba si se ejecuta en un sandbox, máquina virtual o entorno de análisis. Técnicas comunes: detección de VMware/VirtualBox/Hyper-V por registros del sistema, verificación de resolución de pantalla (los sandboxes suelen tener resoluciones atípicas), comprobación del número de procesos y programas instalados, y verificación de la presencia de herramientas de análisis (Wireshark, Process Monitor, IDA Pro).
Recopilación de información del sistema: Hardware (CPU, GPU, RAM), sistema operativo y versión, nombre del equipo y usuario, dirección IP pública y geolocalización, idioma y zona horaria, software instalado, y procesos en ejecución. Esta información se usa para clasificar la “calidad” del log.
Descifrado de credenciales del navegador: Los navegadores basados en Chromium (Chrome, Edge, Brave, Opera) almacenan las contraseñas cifradas con DPAPI (Data Protection API) de Windows. El infostealer utiliza funciones de la API de Windows para descifrar las credenciales. En Chrome 127+ se implementó App-Bound Encryption como defensa adicional, pero los infostealers modernos ya la evaden.
Robo de cookies y tokens de sesión: Las cookies de sesión permiten al atacante acceder a cuentas sin necesidad de contraseña ni de superar el segundo factor de autenticación (2FA). El robo de cookies es especialmente peligroso porque permite el secuestro inmediato de sesiones activas.
Robo de datos de autocompletado: Nombres, direcciones, teléfonos, números de tarjeta de crédito y fechas de caducidad almacenados en el autocompletado del navegador.
Búsqueda de billeteras de criptomonedas: El malware busca archivos de billeteras conocidas en rutas predefinidas y extensiones de navegador de wallets crypto.
Captura de pantalla: Se toma una captura de pantalla del escritorio en el momento de la infección, útil para los compradores de logs que quieren evaluar visualmente el equipo infectado.
Empaquetado y exfiltración: Toda la información robada se empaqueta en un archivo comprimido (ZIP/RAR) y se envía al servidor C2 o a un bot de Telegram.

Fase 3: Robo de credenciales del navegador — Detalle técnico

Almacenamiento de contraseñas en Chromium

Los navegadores basados en Chromium almacenan las contraseñas en una base de datos SQLite llamada Login Data:

Ruta en Windows:
  %LOCALAPPDATA%\Google\Chrome\Default\Login Data
  %LOCALAPPDATA%\Microsoft\Edge\Default\Login Data
  %LOCALAPPDATA%\BraveSoftware\Brave-Browser\Default\Login Data

Estructura de la tabla 'logins':
  origin_url       — URL del sitio web
  action_url       — URL del formulario de login
  username_value   — Nombre de usuario (texto plano)
  password_value   — Contraseña cifrada con DPAPI
  date_created     — Timestamp de creación
  date_last_used   — Timestamp de último uso
  times_used       — Número de veces utilizada

Proceso de descifrado

1. El infostealer copia Login Data a una ubicación temporal
   (para evitar el bloqueo por parte del navegador)

2. Abre la base de datos SQLite y extrae password_value

3. Si password_value comienza con 'v10' o 'v11':
   → Descifrado AES-GCM con clave almacenada en Local State
   → La clave en Local State está cifrada con DPAPI

4. Llama a CryptUnprotectData() (Windows DPAPI) para obtener
   la clave maestra AES

5. Usa la clave AES para descifrar cada contraseña

6. Resultado: todas las contraseñas en texto plano

App-Bound Encryption (Chrome 127+)

Google introdujo App-Bound Encryption en Chrome 127 (julio 2024) como defensa contra infostealers. Esta técnica vincula el cifrado de contraseñas al ejecutable de Chrome, impidiendo que otros procesos las descifren. Sin embargo, en cuestión de semanas, los principales infostealers (LummaC2, Vidar, StealC) encontraron métodos para evadir esta protección, incluyendo la inyección de código en el proceso de Chrome y la manipulación directa del servicio de cifrado.

Robo de cookies

Las cookies se almacenan de forma similar en una base de datos SQLite:

Ruta: %LOCALAPPDATA%\Google\Chrome\Default\Network\Cookies

Tabla 'cookies':
  host_key         — Dominio (.google.com, .facebook.com)
  name             — Nombre de la cookie
  encrypted_value  — Valor cifrado con DPAPI/AES
  path             — Ruta
  expires_utc      — Fecha de expiración
  is_secure        — Flag de seguridad
  is_httponly       — Flag HttpOnly
  samesite         — Política SameSite

Impacto del robo de cookies:

Cookie robada	Consecuencia
Cookie de sesión de Google	Acceso a Gmail, Drive, YouTube, Google Workspace sin contraseña ni 2FA
Cookie de sesión bancaria	Acceso a banca online si la sesión no ha expirado
Cookie de Facebook/Instagram	Secuestro de cuentas de redes sociales
Cookie de Amazon/PayPal	Compras fraudulentas
Token de Discord	Control total de la cuenta de Discord
Cookie de Microsoft 365	Acceso a email corporativo, SharePoint, Teams

Fase 4: Exfiltración de datos

Los datos robados se exfiltran mediante varios métodos:

Método	Descripción	Ventaja para el atacante
HTTP POST a C2	Envío directo al servidor de comando y control	Control total sobre los datos
Bot de Telegram	Envío mediante la API de Telegram Bot	Difícil de bloquear, cifrado E2E
Discord webhooks	Envío a canales de Discord	Fácil configuración
Email SMTP	Envío por correo electrónico	Bajo perfil
FTP/SFTP	Subida a servidor FTP	Para grandes volúmenes
Pastebins cifrados	Datos cifrados en servicios de paste	Anonimato

Estructura de un “log” de infostealer

El producto final de una infección de infostealer es un “log” — un paquete comprimido con toda la información robada:

[LOG] - RedLine_2026-03-15_ES_Chrome
│
├── System Info.txt
│   ├── OS: Windows 11 Pro 23H2
│   ├── CPU: Intel Core i7-12700K
│   ├── RAM: 32GB
│   ├── IP: 85.xx.xx.xx (Madrid, ES)
│   ├── User: JuanGarcia
│   └── Installed Software: [lista]
│
├── Browsers/
│   ├── Chrome/
│   │   ├── Passwords.txt (245 credenciales)
│   │   ├── Cookies.txt (1,832 cookies)
│   │   ├── Autofill.txt (datos personales)
│   │   ├── Credit Cards.txt (3 tarjetas)
│   │   └── History.txt
│   ├── Firefox/
│   │   └── Passwords.txt (87 credenciales)
│   └── Edge/
│       └── Passwords.txt (12 credenciales)
│
├── Crypto Wallets/
│   ├── MetaMask/
│   │   └── vault.json (billetera cifrada)
│   └── Exodus/
│       └── seed.seco (semilla cifrada)
│
├── VPN/
│   ├── NordVPN/
│   │   └── user.config
│   └── ProtonVPN/
│       └── profiles.json
│
├── FTP/
│   └── FileZilla/
│       └── recentservers.xml
│
├── Discord/
│   └── tokens.txt
│
├── Telegram/
│   └── tdata/ (datos de sesión)
│
├── Files/
│   ├── Desktop_passwords.txt
│   └── budget_2026.xlsx
│
└── Screenshot.png (captura del escritorio)

El mercado de credenciales robadas

Ecosistema de venta de logs

Las credenciales robadas por infostealers alimentan un ecosistema criminal sofisticado:

┌─────────────────────────────────────────────────────┐
│              OPERADOR DEL STEALER                    │
│   (Compra licencia MaaS, distribuye malware)         │
│                      │                               │
│                      ▼                               │
│              LOGS RECOLECTADOS                        │
│   (Miles-millones de logs con credenciales)          │
│                      │                               │
│          ┌───────────┼───────────┐                   │
│          ▼           ▼           ▼                   │
│   ┌─────────┐ ┌──────────┐ ┌──────────┐            │
│   │Telegram │ │ Dark Web │ │ Initial  │            │
│   │ Canales │ │ Markets  │ │ Access   │            │
│   │ de logs │ │(Russian  │ │ Brokers  │            │
│   │         │ │ Market)  │ │          │            │
│   └────┬────┘ └────┬─────┘ └────┬─────┘            │
│        │           │            │                    │
│        ▼           ▼            ▼                    │
│   ┌─────────────────────────────────┐               │
│   │     COMPRADORES FINALES         │               │
│   │  - Estafadores (fraude bancario)│               │
│   │  - Grupos ransomware (acceso)   │               │
│   │  - Espías corporativos          │               │
│   │  - Ladrones de criptomonedas    │               │
│   └─────────────────────────────────┘               │
└─────────────────────────────────────────────────────┘

Telegram como marketplace

Telegram se ha convertido en la plataforma principal para la venta de credenciales robadas, sustituyendo progresivamente a los foros de la dark web:

Característica	Detalle
Número de canales	Miles de canales dedicados a la venta de logs
Automatización	Bots que permiten buscar y comprar credenciales específicas
Idioma predominante	Ruso, con canales en inglés y español
Formato	Logs organizados por país, navegador, servicio comprometido
Precio	Desde 1$ por log genérico hasta 300$+ por accesos bancarios
Volumen	Millones de logs nuevos publicados diariamente

Funcionamiento de los bots de Telegram:

Usuario envía al bot: /search bankia.es
Bot responde:
  📋 Resultados para bankia.es:
  [1] ES | Chrome | bankia.es | j.garcia@gmail.com | ****
      Fecha: 15/03/2026 | Cookies: ✅ | 2FA bypass: ✅
      Precio: 45€

  [2] ES | Firefox | bankia.es | maria.lopez@outlook.es | ****
      Fecha: 12/03/2026 | Cookies: ❌ | 2FA bypass: ❌
      Precio: 15€

  💳 Pago: Bitcoin, Monero, USDT (TRC20)

Datos de españoles en venta

En 2025, investigadores de Hudson Rock identificaron más de 2 millones de logs de usuarios españoles en circulación activa en mercados underground. Los servicios más comprometidos incluyen banca online (Santander, BBVA, CaixaBank, Bankinter), email (Gmail, Outlook, Yahoo), redes sociales (Instagram, Facebook, TikTok), y plataformas gubernamentales (Cl@ve, Sede Electrónica, Seguridad Social).

Mercados de la dark web

Mercado	Estado (2026)	Tipo
Russian Market	Activo	Venta de logs, tarjetas, RDP
Genesis Market	Cerrado (FBI, abril 2023)	Vendía “digital fingerprints” completos
2easy	Activo	Marketplace automatizado de logs
BreachForums	Resurgido (múltiples iteraciones)	Foro de filtraciones y venta de datos
XSS Forum	Activo	Foro underground ruso de élite
Exploit Forum	Activo	Foro underground ruso

Precios de credenciales en el mercado negro

Tipo de credencial	Precio medio	Factores de precio
Banca online española (con cookies activas)	50-300€	Saldo visible, 2FA eludible
Email corporativo (M365, Google Workspace)	20-100€	Tamaño de empresa, sector
Wallet de criptomonedas con fondos	100-500€	Saldo de la wallet
Panel de administración web	30-200€	Tipo de sitio, tráfico
VPN corporativa	50-500€	Tamaño de empresa, sector
Red social verificada	10-50€	Seguidores, verificación
Cuenta de Amazon/PayPal	15-80€	Historial, métodos de pago vinculados
Log genérico (sin credenciales de valor)	1-5€	País, navegador

Análisis forense de infostealers

Metodología de investigación forense

Triaje inicial: Identificar la familia de infostealer implicada. Revisar alertas de antivirus/EDR, verificar si hay IOCs conocidos, y determinar el alcance preliminar de la infección. Si hay captura de red disponible, identificar las conexiones a C2.
Adquisición de evidencias: Clonar el disco duro del equipo infectado (imagen forense bit a bit con FTK Imager, dd o AXIOM Acquire). Capturar la memoria RAM si el equipo está encendido (con Magnet RAM Capture o WinPmem). Exportar logs de proxy, firewall y EDR. Documentar todo con cadena de custodia y hashes SHA-256.
Análisis de memoria RAM: Utilizar Volatility 3 para analizar la memoria RAM y buscar procesos maliciosos, inyecciones de código, strings de URLs de C2, credenciales en memoria y artefactos del malware. La memoria puede contener el payload descifrado del stealer, que no será visible en el disco si se ejecutó solo en memoria.
Análisis del sistema de archivos: Buscar artefactos del infostealer en rutas conocidas: carpeta Temp (%TEMP%), AppData\Local, AppData\Roaming, Prefetch, carpeta de descargas. Analizar la MFT (Master File Table) de NTFS para encontrar archivos eliminados. Examinar Zone.Identifier (Alternate Data Streams) para identificar archivos descargados de Internet.
Análisis de artefactos del navegador: Examinar las bases de datos del navegador para determinar qué credenciales estaban almacenadas en el momento de la infección. Esto permite cuantificar exactamente qué cuentas fueron comprometidas. Utilizar herramientas como Hindsight (Chrome forensics) o DB Browser for SQLite.
Análisis de tráfico de red: Si se dispone de capturas de tráfico (PCAP) del proxy o firewall, analizar las conexiones hacia los servidores C2 del stealer. Identificar el volumen de datos exfiltrados, los timestamps exactos de la exfiltración, y los dominios/IPs de destino.
Identificación de IOCs: Extraer todos los indicadores de compromiso: hashes de archivos (MD5, SHA-256), dominios y IPs de C2, rutas de archivos, claves de registro modificadas, user-agents utilizados y patrones de comunicación C2.
Determinación del alcance: Basándose en los artefactos del navegador y los logs del stealer, determinar exactamente qué datos fueron robados: número de credenciales, servicios afectados, datos de tarjetas de crédito, cookies de sesión activas, archivos exfiltrados.
Línea temporal: Construir una línea temporal precisa de la infección usando Plaso/log2timeline: momento de la descarga del malware, ejecución, robo de datos, exfiltración y, si es posible, uso posterior de las credenciales robadas.
Informe pericial: Documentar todos los hallazgos en un informe pericial que pueda servir como prueba en procedimientos judiciales, reclamaciones de seguros o notificaciones de brecha de datos a la AEPD.

Artefactos forenses específicos de infostealers

En el sistema de archivos

Artefacto	Ubicación	Información
Prefetch	`C:\Windows\Prefetch\`	Evidencia de ejecución del malware con timestamps
Amcache	`C:\Windows\appcompat\Programs\Amcache.hve`	Hash SHA-1 del ejecutable, primera ejecución
SRUM	`C:\Windows\System32\sru\SRUDB.dat`	Uso de red por proceso (bytes enviados = exfiltración)
Archivos temporales	`%TEMP%\`	Copias de bases de datos del navegador creadas por el stealer
Zone.Identifier	ADS del archivo descargado	URL de origen del ejecutable malicioso
$MFT	Raíz del volumen NTFS	Archivos creados/eliminados con timestamps
$UsnJrnl	`$Extend\$UsnJrnl`	Registro de cambios en archivos
Papelera de reciclaje	`C:\$Recycle.Bin\`	Ejecutable del malware si fue eliminado
Registro de Windows	`HKCU\Software\Microsoft\Windows\CurrentVersion\Run`	Persistencia del malware
Event Logs	`C:\Windows\System32\winevt\Logs\`	Eventos de ejecución, red, seguridad

En la memoria RAM

Artefacto	Técnica de análisis	Información
Proceso del malware	`volatility3 windows.pslist`	PID, PPID, timestamp de inicio
Inyección de código	`volatility3 windows.malfind`	Código inyectado en procesos legítimos
Strings en memoria	`volatility3 windows.strings`	URLs C2, credenciales descifradas, rutas de archivos
Conexiones de red	`volatility3 windows.netscan`	Conexiones activas a C2
DLLs cargadas	`volatility3 windows.dlllist`	DLLs maliciosas o legítimas usadas por el stealer
Handles de archivos	`volatility3 windows.handles`	Archivos abiertos por el proceso malicioso
Módulos del kernel	`volatility3 windows.modules`	Rootkits o drivers maliciosos

En la red

Artefacto	Fuente	Información
Conexiones HTTP/HTTPS	Proxy logs	URLs de C2, user-agent, timestamps, bytes transferidos
Consultas DNS	DNS server logs / Pi-hole	Dominios de C2 resueltos
NetFlow	Router/Switch	Volumen y destino del tráfico de exfiltración
Alertas IDS/IPS	Suricata / Snort	Firmas de detección de stealers conocidos
Logs de firewall	Palo Alto / FortiGate	Conexiones permitidas/bloqueadas a C2
PCAP	Wireshark / tcpdump	Contenido completo de las comunicaciones (si no está cifrado)

Reglas YARA para detección

Las reglas YARA son fundamentales para la detección e identificación de familias de infostealers:

rule RedLine_Stealer_Strings {
    meta:
        description = "Detección de RedLine Stealer por strings"
        author = "Ejemplo ilustrativo"
        severity = "high"
    strings:
        $s1 = "CommandLineUpdate" ascii
        $s2 = "DownloadAndExecuteUpdate" ascii
        $s3 = "\\Login Data" ascii
        $s4 = "\\Cookies" ascii
        $s5 = "\\Web Data" ascii
        $s6 = "wallet.dat" ascii
        $s7 = "\\Ethereum\\keystore" ascii
        $net = "System.Net.Sockets" ascii
    condition:
        uint16(0) == 0x5A4D and
        4 of ($s*) and $net
}

Herramientas forenses

Herramienta	Uso específico para infostealers
Volatility 3	Análisis de memoria RAM: procesos, inyecciones, strings C2
Autopsy / Sleuth Kit	Análisis de sistema de archivos, timeline, archivos eliminados
AXIOM Cyber (Magnet)	Adquisición y análisis integral; parsea artefactos de navegador
X-Ways Forensics	Análisis avanzado de disco, carving de archivos
Hindsight	Análisis forense específico de Google Chrome
DB Browser for SQLite	Examinar bases de datos del navegador directamente
Wireshark / NetworkMiner	Análisis de PCAP: reconstruir comunicaciones con C2
YARA	Detección y clasificación de familias de malware
Any.run	Sandbox online para análisis dinámico del malware
Hybrid Analysis	Análisis estático y dinámico automatizado
VirusTotal	Verificación de hashes y reputación de archivos
Plaso / log2timeline	Creación de supertimeline con todos los artefactos
PEStudio	Análisis estático de ejecutables PE
IDA Pro / Ghidra	Ingeniería inversa del binario del stealer

Vectores de ataque avanzados

Campañas de malvertising sofisticadas

En 2025-2026, las campañas de malvertising para distribución de infostealers han alcanzado un nivel de sofisticación sin precedentes:

Técnica	Descripción
SEO poisoning	Posicionamiento de páginas maliciosas en resultados orgánicos de Google
Google Ads abuse	Compra de anuncios que suplantan software legítimo
CAPTCHA gates	Páginas con CAPTCHA para evadir análisis automatizado
Time-delayed payload	El malware se descarga solo después de interacción del usuario
Geofencing	El payload solo se sirve a usuarios de países objetivo (España, Italia, etc.)
Browser fingerprinting	Solo se sirve malware a navegadores reales (no bots ni sandboxes)

Abuso de servicios legítimos

Los infostealers modernos abusan de servicios legítimos para evadir detección:

Servicio legítimo	Abuso	Ejemplo
GitHub	Alojamiento de payloads en releases	Repositorio falso con “herramienta” que es un stealer
Discord CDN	Alojamiento de binarios maliciosos	URLs de cdn.discordapp.com con el ejecutable
Google Drive	Distribución de archivos maliciosos	Enlace de Drive compartido con el stealer
Telegram	C2 y exfiltración	Bot API para recibir logs
Pastebin	Configuración C2	Direcciones de C2 ofuscadas en pastes
Steam	Dead drop de direcciones C2	Perfiles con URLs de C2 en la biografía (Vidar)

Loader chains (cadenas de carga)

Los infostealers modernos rara vez se distribuyen directamente. En su lugar, utilizan cadenas de carga complejas:

Email phishing con adjunto .zip
  └── Archivo .iso o .vhd (evade Mark of the Web)
      └── Acceso directo .lnk
          └── Ejecuta PowerShell ofuscado
              └── Descarga loader desde GitHub/Discord
                  └── Loader descifra payload en memoria
                      └── Infostealer se ejecuta sin tocar disco
                          └── Exfiltración via Telegram Bot API

Marco legal en España

Delitos aplicables al uso y distribución de infostealers

Delito	Artículo CP	Pena	Aplicación a infostealers
Descubrimiento y revelación de secretos	Art. 197.1	1-4 años prisión + multa	Robo de credenciales y datos personales
Acceso ilícito a sistemas	Art. 197 bis	6 meses-2 años prisión	Acceso a sistemas usando credenciales robadas
Interceptación de transmisiones	Art. 197.1	1-4 años prisión	Captura de cookies y tokens de sesión
Daños informáticos	Art. 264	6 meses-3 años prisión	Modificación de sistemas para instalar malware
Facilitación de acceso ilícito	Art. 197 ter	6 meses-2 años prisión	Venta de credenciales robadas o del stealer
Estafa	Art. 248	6 meses-3 años prisión	Uso de credenciales para fraude
Estafa informática	Art. 248.2	6 meses-3 años prisión	Transferencias fraudulentas con credenciales robadas
Blanqueo de capitales	Art. 301	6 meses-6 años prisión	Monetización de datos robados
Pertenencia a organización criminal	Art. 570 bis	2-5 años prisión	Grupos organizados de cibercrimen

Agravantes específicos

Agravante	Artículo	Efecto
Datos especialmente sensibles	Art. 197.5	Pena en mitad superior
Afectación a menores	Art. 197.4 bis	Pena superior en grado
Cantidad defraudada >50.000€	Art. 250.1.5°	Estafa agravada: 1-6 años
Organización criminal	Art. 570 bis	Pena independiente acumulable
Carácter profesional o habitual	Art. 250.1.1°	Estafa agravada

Jurisprudencia relevante

Sentencia	Caso	Relevancia
STS 987/2024	Venta de credenciales bancarias en Telegram	Confirmó la aplicación del art. 197 ter (facilitación) además del art. 197
SAN 15/2023	Operación contra grupo que usaba RedLine	Condenó por organización criminal + estafa informática
SAP Madrid 234/2024	Infección de infostealer por crack de software	Condenó al distribuidor del crack troyanizado
STSJ Cataluña 89/2025	Empresa víctima de infostealer que reclamó al empleado	Estableció que la empresa no puede trasladar toda la responsabilidad al empleado si no tenía medidas de seguridad adecuadas

Denuncia y procedimiento

Detección del incidente: Identificar señales de compromiso por infostealer (accesos no autorizados a cuentas, transacciones fraudulentas, alertas de seguridad).
Preservación de evidencias: Antes de denunciar, preservar todas las evidencias digitales. No apagar ni formatear el equipo infectado. Contactar con un perito informático forense para la adquisición correcta de evidencias.
Denuncia: Presentar denuncia ante la Policía Nacional (Brigada de Investigación Tecnológica) o la Guardia Civil (Grupo de Delitos Telemáticos). Aportar el informe pericial con las evidencias técnicas.
Notificación AEPD: Si se han comprometido datos personales de terceros (clientes, empleados), la empresa tiene 72 horas para notificar la brecha a la AEPD (art. 33 RGPD).
Notificación a afectados: Si la brecha supone un alto riesgo para los derechos de los afectados, se les debe notificar sin dilación (art. 34 RGPD).
INCIBE-CERT: Reportar el incidente al INCIBE para contribuir a la inteligencia de amenazas nacional.

Estadísticas y tendencias (2024-2026)

Datos globales

Estadística	Fuente	Año
Infostealers = categoría nº1 de malware en descargas	ANY.RUN	2025
+266% de aumento en detecciones de infostealers	Kaspersky	2024 vs 2023
10 millones+ de dispositivos infectados por stealers	Hudson Rock	2024
3.900 millones de credenciales en circulación	SpyCloud	2025
$50 precio medio de un log con credenciales bancarias	Flashpoint	2025
LummaC2 creció un 400% en detecciones	Recorded Future	2025
75% de accesos iniciales en ransomware provienen de credenciales robadas	Mandiant	2025
$4.45M coste medio de una brecha de datos	IBM Security	2024

Datos para España

Estadística	Fuente
Infostealers: amenaza más detectada en empresas españolas	Check Point España (2025)
+2 millones de logs de usuarios españoles en circulación	Hudson Rock (2025)
RedLine y LummaC2: >60% de detecciones en España	ESET España (2025)
40% de incidentes de ransomware en España comenzaron con credenciales robadas por stealer	CCN-CERT (2025)
Banca online: sector más afectado por credenciales robadas	INCIBE (2025)

Tendencias 2026

MaaS democratizado: Los infostealers son accesibles como servicio desde 125$/mes, permitiendo que atacantes sin conocimientos técnicos los desplieguen
Evasión continua: Las familias de stealers se actualizan cada 1-2 semanas para evadir firmas de antivirus
Convergencia con ransomware: Los accesos obtenidos por infostealers se venden a grupos de ransomware como vector de acceso inicial
macOS como objetivo creciente: Aumento significativo de stealers para macOS (Atomic, Banshee, MetaStealer)
Telegram como marketplace dominante: Migración desde foros de la dark web hacia canales de Telegram automatizados
Cookie theft > Password theft: Con la adopción de 2FA, el robo de cookies de sesión se ha vuelto más valioso que las contraseñas
IA en la distribución: Uso de IA generativa para crear páginas de phishing más convincentes y campañas de malvertising más sofisticadas

Prevención y protección

Para usuarios individuales

Medida	Efectividad	Detalle
No descargar software pirata	Crítica	El vector nº1 de infección. Usar siempre fuentes oficiales
Gestor de contraseñas externo	Alta	Bitwarden, 1Password, KeePass — no almacenar en el navegador
2FA con hardware key	Alta	YubiKey, Titan — inmune al robo de cookies
Antivirus/EDR actualizado	Media-Alta	Windows Defender, ESET, Kaspersky con protección en tiempo real
No guardar tarjetas en el navegador	Media	Usar el gestor de contraseñas o PayPal/Apple Pay
Actualizaciones al día	Media	Navegador, sistema operativo y todas las aplicaciones
Verificar URLs de descarga	Media	Comprobar que el dominio es el oficial antes de descargar
Desactivar macros de Office	Media	O configurar “Trust Center” para bloquear macros de archivos externos

La medida más efectiva

La acción individual más efectiva contra infostealers es no almacenar contraseñas en el navegador y usar un gestor de contraseñas dedicado (Bitwarden, 1Password, KeePass). Los infostealers están diseñados específicamente para robar credenciales de navegadores Chromium y Firefox. Un gestor de contraseñas externo con cifrado independiente es significativamente más difícil de comprometer.

Para empresas

Nivel de endpoint:

Desplegar EDR (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint) con detección de comportamiento
Implementar Application Whitelisting para impedir la ejecución de binarios no autorizados
Deshabilitar el almacenamiento de contraseñas en el navegador mediante GPO
Implementar LAPS (Local Administrator Password Solution) para evitar movimiento lateral
Configurar Windows Credential Guard para proteger credenciales DPAPI

Nivel de red:

Implementar proxy con inspección SSL y bloqueo de categorías maliciosas
Monitorizar conexiones a dominios conocidos de C2 de infostealers (threat intelligence feeds)
Implementar DNS sinkholing para dominios maliciosos conocidos
Segmentar la red para limitar el impacto de una infección
Monitorizar exfiltración de datos (volumen de upload anómalo)

Nivel de identidad:

Implementar MFA resistente a phishing (FIDO2, hardware keys)
Usar Conditional Access policies (Azure AD) para detectar sesiones robadas
Monitorizar el uso de tokens de sesión desde IPs/dispositivos anómalos
Implementar rotación automática de tokens de sesión
Considerar soluciones de token binding

Nivel organizativo:

Formación de concienciación sobre los riesgos de descargar software no autorizado
Política de uso aceptable que prohíba el software pirata y las descargas no oficiales
Proceso de respuesta a incidentes específico para infecciones por infostealer
Suscripción a servicios de threat intelligence que monitoricen la dark web en busca de credenciales corporativas comprometidas (SpyCloud, Flare, Hudson Rock)

Para el sector legal y pericial

Los bufetes de abogados deben implementar controles equivalentes a los corporativos, dado que manejan información de clientes protegida por el secreto profesional
Los peritos informáticos deben mantener sus entornos de análisis aislados (VMs, laboratorio forense) y no usar los mismos equipos para trabajo personal y análisis de malware
Las evidencias digitales de una infección por infostealer deben preservarse con cadena de custodia estricta, ya que pueden ser fundamentales en procedimientos judiciales, reclamaciones de seguros y notificaciones a la AEPD

Papel del perito informático forense

Escenarios de intervención

Escenario	Intervención del perito
Fraude bancario por credenciales robadas	Demostrar que las credenciales fueron robadas por malware (no negligencia de la víctima), para la reclamación bancaria
Brecha de datos corporativa	Determinar el alcance de los datos comprometidos, identificar la familia de malware, reconstruir la línea temporal para la notificación a la AEPD
Investigación policial	Análisis forense del equipo infectado, extracción de IOCs, apoyo técnico a la investigación
Reclamación de seguros	Documentar el incidente, cuantificar los daños, demostrar el cumplimiento de medidas de seguridad previas
Despido disciplinario	Si la infección se produjo por descarga de software pirata por el empleado, documentar la violación de la política de seguridad
Robo de criptomonedas	Rastrear el vaciado de wallets, documentar el vector de infección, identificar las wallets destino para posible recuperación

Informe pericial: elementos clave

Un informe pericial sobre una infección por infostealer debe incluir:

Identificación de la familia de malware: Nombre, variante, hash del binario, técnicas utilizadas
Vector de infección: Cómo llegó el malware al equipo (descarga, phishing, exploit)
Línea temporal completa: Desde la infección hasta la exfiltración, con timestamps precisos
Datos comprometidos: Lista exhaustiva de credenciales, cookies, archivos y datos robados
Infraestructura del atacante: Dominios C2, IPs, canales de Telegram utilizados
Evaluación de impacto: Qué servicios están comprometidos, qué datos personales se expusieron, riesgo residual
Recomendaciones de remediación: Cambio de contraseñas, revocación de sesiones, monitorización de cuentas
Conclusiones: Resumen técnico comprensible para un tribunal no técnico

Respuesta a incidentes: guía práctica

Acciones inmediatas tras detectar una infección

Aislar el equipo: Desconectar de la red (no apagar). Si es portátil, activar modo avión. Esto previene la exfiltración adicional de datos sin destruir evidencias en memoria RAM.
Cambiar TODAS las contraseñas: Desde un dispositivo limpio (no el infectado), cambiar todas las contraseñas almacenadas en el navegador del equipo comprometido. Priorizar: banca online, email, redes sociales, servicios cloud corporativos.
Revocar sesiones activas: En todos los servicios que lo permitan (Google, Microsoft, Facebook, Discord), revocar todas las sesiones activas. Las cookies de sesión robadas permiten acceso sin contraseña ni 2FA.
Notificar al banco: Si había credenciales bancarias o datos de tarjetas almacenados en el navegador, notificar inmediatamente al banco para bloquear tarjetas y monitorizar transacciones.
Activar MFA: Si alguna cuenta no tenía segundo factor de autenticación, activarlo inmediatamente (preferiblemente con hardware key o app autenticadora, no SMS).
Preservar evidencias: No formatear ni reinstalar el equipo hasta que se hayan preservado las evidencias forenses. Contactar con un perito informático si se prevé un procedimiento judicial.
Monitorización posterior: Durante al menos 90 días, monitorizar todas las cuentas en busca de actividad sospechosa. Considerar suscribirse a servicios de monitorización de la dark web (Have I Been Pwned, SpyCloud).

Glosario de términos relacionados

Término	Definición
Log (stealer)	Paquete de datos robados de un equipo infectado
MaaS	Malware-as-a-Service — modelo de negocio criminal por suscripción
C2	Servidor de Comando y Control del malware
DPAPI	Data Protection API de Windows — mecanismo de cifrado de credenciales
IOC	Indicator of Compromise — evidencia técnica de compromiso
YARA	Herramienta de clasificación de malware basada en reglas
Sandbox	Entorno aislado para análisis seguro de malware
Red teaming	Simulación de ataques para evaluar defensas
Threat intelligence	Inteligencia sobre amenazas cibernéticas
EDR	Endpoint Detection and Response — protección avanzada de endpoints
DLP	Data Loss Prevention — prevención de fuga de datos
CASB	Cloud Access Security Broker — seguridad de servicios cloud
Initial Access Broker (IAB)	Intermediario que vende accesos corporativos comprometidos
Session hijacking	Secuestro de sesión mediante cookies o tokens robados

Casos prácticos de investigación forense

Caso 1: Fraude bancario tras infección por infostealer

Escenario: Un autónomo de Sevilla descubre transferencias fraudulentas por valor de 12.000€ desde su cuenta de banca online. El banco rechaza la reclamación alegando que las transferencias se autenticaron correctamente con las credenciales del cliente.

Investigación pericial:

Fase	Hallazgo
Análisis de endpoint	Archivo `KMSPico_Activator.exe` descargado 5 días antes del fraude; hash coincide con variante de RedLine Stealer
Prefetch	Evidencia de ejecución del malware con timestamp exacto
Artefactos de navegador	La base de datos Login Data de Chrome contenía 187 credenciales; el cliente usaba Chrome como almacén de contraseñas
SRUM	El proceso malicioso envió 2,3 MB de datos a una IP en Rusia en un período de 47 segundos
Timeline	La infección ocurrió el lunes; las transferencias fraudulentas se realizaron el miércoles con cookies de sesión robadas

Conclusión pericial: El informe demostró que las credenciales fueron robadas mediante malware sofisticado, no por negligencia del usuario. El banco reembolsó los 12.000€ tras recibir el informe pericial.

Caso 2: Robo de criptomonedas por LummaC2

Escenario: Un inversor de Madrid pierde 3,5 BTC (aproximadamente 280.000€) de su billetera MetaMask. Las criptomonedas fueron transferidas a múltiples wallets desconocidas en un período de 10 minutos.

Investigación:

El análisis de memoria RAM reveló el proceso de LummaC2 con strings que contenían la dirección del C2
El malware había extraído el archivo vault.json de MetaMask (que contiene la seed phrase cifrada)
La seed phrase fue descifrada por el malware usando la contraseña almacenada en Chrome
Las transacciones se realizaron desde una IP diferente usando la seed phrase robada

Rastreo blockchain: El perito rastreó los fondos a través de 7 wallets intermedias hasta un exchange centralizado, proporcionando información para una solicitud judicial de identificación del titular de la cuenta del exchange.

Caso 3: Brecha corporativa con impacto en clientes

Escenario: Una gestoría de Valencia sufre una infección por Stealc en 3 equipos. Los atacantes obtuvieron credenciales del software de gestión contable, accediendo a datos fiscales de más de 500 clientes.

Impacto:

Datos comprometidos	Cantidad	Obligación legal
DNI/NIF de clientes	523	Notificación AEPD (72h) + notificación a afectados
Datos bancarios (IBAN)	489	Notificación AEPD + bancos afectados
Declaraciones de renta	312	Notificación AEPD + posible comunicación a AEAT
Nóminas con datos salariales	1.247	Notificación AEPD + notificación a afectados

Intervención pericial: El perito documentó el alcance exacto de la brecha para cumplir con las obligaciones de notificación a la AEPD dentro del plazo de 72 horas, identificó la familia de malware y el vector de infección (email de phishing con factura falsa), y emitió recomendaciones de remediación.

Comparativa: infostealers vs. otros tipos de malware

Característica	Infostealers	Ransomware	Troyanos bancarios	Keyloggers
Objetivo	Robo masivo de credenciales	Cifrado + extorsión	Robo bancario específico	Captura de tecleo
Velocidad	Segundos-minutos	Minutos-horas	Persistente	Persistente
Detección	Difícil (ejecución rápida)	Obvia (archivos cifrados)	Media	Media
Monetización	Venta de logs	Rescate directo	Transferencias	Venta de datos
Persistencia	Generalmente no	Sí (para presión)	Sí (inyección en navegador)	Sí (registro de teclas)
Daño visible	Ninguno inicialmente	Inmediato	Transferencias fraudulentas	Ninguno
Modelo negocio	MaaS (125-250$/mes)	RaaS (% del rescate)	Venta directa	Venta directa

Indicadores de compromiso (IOC) de referencia

IOCs de red comunes en infostealers

Tipo	Ejemplo	Familia
Dominio C2	.top, .xyz, *.shop (dominios baratos de corta vida)	Varias
User-Agent	Strings anómalos o ausentes en peticiones HTTP	Varias
Puerto	Conexiones salientes a puertos no estándar (8080, 9090, 4443)	Varias
Protocolo	POST HTTP con grandes payloads a IPs sin dominio	RedLine, Vidar
API de Telegram	Conexiones a api.telegram.org desde procesos no Telegram	LummaC2, Stealc
DNS	Consultas a dominios recién registrados (menos de 7 días)	Varias
Volumen	Upload >1MB en una sola conexión HTTP desde proceso desconocido	Todas las familias

IOCs de endpoint comunes

Tipo	Indicador	Familia
Ruta de archivo	`%TEMP%\*.exe` (ejecutables en carpeta temporal)	Varias
Archivos creados	Copias de Login Data, Cookies en %TEMP%	Todas
Registro	Nuevas entradas en `HKCU\Software\Microsoft\Windows\CurrentVersion\Run`	Con persistencia
Procesos	Procesos con nombres aleatorios o que imitan procesos legítimos	Varias
Mutex	Mutexes específicos por familia (evitan doble ejecución)	Varias
Conexiones	Conexiones de red desde procesos que normalmente no acceden a Internet	Todas

Referencias y fuentes

INCIBE — Informes anuales de amenazas y alertas de seguridad (incibe.es)
CCN-CERT — Informe de amenazas CCN-CERT IA-13/25 (ccn-cert.cni.es)
Check Point Research — “Most Wanted Malware” reports (2024-2025)
ESET Threat Report — Informes trimestrales de amenazas (2024-2025)
Kaspersky SecureList — “The state of stalkerware and infostealers” (2024)
Hudson Rock — Cavalier (herramienta de monitorización de credenciales comprometidas)
SpyCloud — “Annual Identity Exposure Report” (2025)
Mandiant (Google) — “M-Trends 2025: Special Report”
Recorded Future — “2025 Threat Landscape: Infostealers Dominate”
ANY.RUN — “Malware Trends Report 2025”
Flashpoint — “Threat Intelligence Report: Underground Economy” (2025)
IBM Security — “Cost of a Data Breach Report 2024”
Departamento de Justicia de EE.UU. — Acusación contra Mark Sokolovsky (Raccoon Stealer), octubre 2022
Europol / Eurojust — Operación Magnus contra RedLine y META Stealer, octubre 2024
Código Penal español (LO 10/1995) — Artículos 197, 197 bis, 197 ter, 248, 264, 301, 570 bis

Conclusión

Los infostealers se han consolidado como la categoría de malware más extendida y con mayor impacto económico en 2025-2026. Su modelo de negocio Malware-as-a-Service (MaaS) ha democratizado el cibercrimen: cualquier persona sin conocimientos técnicos puede comprar una licencia de RedLine o LummaC2 por el precio de una suscripción a Netflix y comenzar a robar credenciales.

El ecosistema criminal es sofisticado y especializado: los operadores distribuyen el malware, los logs se venden al por mayor en Telegram y mercados de la dark web, y los compradores los utilizan para fraude bancario, robo de criptomonedas, extorsión y como vector de acceso inicial para ataques de ransomware.

En España, los infostealers representan la amenaza más detectada, con más de 2 millones de logs de usuarios españoles en circulación activa. La banca online, el correo electrónico y las redes sociales son los servicios más afectados.

La prevención más efectiva es no almacenar credenciales en el navegador (usar un gestor de contraseñas dedicado), no descargar software pirata, y usar MFA resistente a phishing (FIDO2/hardware keys). Para las empresas, la combinación de EDR, proxy con inspección SSL, y monitorización de la dark web es esencial.

Cuando la prevención falla, el perito informático forense desempeña un papel fundamental: desde la investigación técnica de la infección hasta la emisión de informes periciales que sirvan como prueba en procedimientos judiciales, reclamaciones bancarias y notificaciones a la AEPD.

Última actualización: 30 de marzo de 2026 Categoría: Malware Código: MAL-035