MaaS (Malware-as-a-Service)
Modelo de negocio criminal donde desarrolladores de malware venden acceso a sus herramientas mediante suscripciones mensuales (150-2,000 EUR), incluyendo paneles de control, soporte tecnico y actualizaciones. Ha democratizado el cibercrimen permitiendo ataques sofisticados sin conocimientos de programacion.
MaaS (Malware-as-a-Service)
50 millones de dolares en danos, 300,000 ordenadores infectados en mas de 40 paises, y 16 personas imputadas. Esas fueron las cifras que revelo el Departamento de Justicia de Estados Unidos el 22 de mayo de 2025 al desmantelar DanaBot, una de las plataformas de Malware-as-a-Service mas activas del mundo. Solo tres dias despues, Microsoft lideraba otra operacion global contra Lumma Stealer, incautando 2,300 dominios maliciosos y documentando 394,000 dispositivos Windows infectados en dos meses. En 2024, se vendieron 384 variedades unicas de malware en los tres principales foros criminales, un 10% mas que el ano anterior. El cibercrimen ya no requiere ser programador: basta una suscripcion de 150 dolares al mes y un tutorial en Telegram.
Definicion tecnica
MaaS (Malware-as-a-Service) es un modelo de negocio criminal que replica la estructura del software como servicio (SaaS) legitimo. Los desarrolladores de malware crean y mantienen el software malicioso, la infraestructura de comando y control (C2), los paneles de administracion y las herramientas de exfiltracion, y los clientes (otros criminales) pagan por acceso mediante suscripciones periodicas para ejecutar sus propias campanas.
Diferencia entre MaaS y RaaS:
| Caracteristica | MaaS (Malware-as-a-Service) | RaaS (Ransomware-as-a-Service) |
|---|---|---|
| Tipo de malware | Stealers, RATs, botnets, loaders | Ransomware exclusivamente |
| Modelo de pago | Suscripcion mensual fija | Porcentaje del rescate (20-40%) |
| Precio tipico | 150-2,000 USD/mes | Gratuito (comision por exito) |
| Objetivo atacante | Robo de datos, credenciales, cripto | Cifrado + extorsion por rescate |
| Victima tipica | Usuarios individuales + empresas | Empresas y organizaciones |
| Volumen ataques | Masivo (miles diarios) | Selectivo (decenas semanales) |
| Ejemplo | Lumma, DanaBot, Emotet | LockBit, BlackCat, Cl0p |
Estadisticas 2025:
- 384 variedades de malware vendidas en top 3 foros criminales en 2024 (+10% vs 2023)
- 44% aumento global en ataques contra organizaciones (2025 vs 2024)
- 300,000 PCs infectados solo por DanaBot antes de su desmantelamiento
- 394,000 PCs infectados por Lumma Stealer en 2 meses (marzo-mayo 2025)
- 150 servidores C2 activos diariamente solo para DanaBot
- 1,000 nuevas victimas/dia promedio por plataforma MaaS activa
Como funciona el ecosistema MaaS
Desarrollo: Un equipo de programadores (normalmente radicados en Rusia, Ucrania o paises de la CEI) desarrolla el malware, incluyendo: payload principal (stealer, RAT, loader), panel de administracion web, sistema de ofuscacion y evasion de antivirus, infraestructura C2 con redundancia.
Comercializacion: El malware se anuncia en foros de la dark web (XSS, Exploit, BreachForums) y canales de Telegram. Los anuncios incluyen capturas del panel, lista de funcionalidades, precio por tier y politica de soporte.
Suscripcion: El cliente (afiliado) paga la suscripcion mensual en criptomoneda (Bitcoin, Monero). Recibe acceso al panel de control, el builder para generar payloads personalizados, y un canal de soporte (Telegram/Tox).
Distribucion: El afiliado distribuye el malware mediante sus propios canales: campanas de phishing o spear phishing, SEO poisoning (resultados Google falsos), anuncios maliciosos (malvertising), software crackeado con trojan embebido, o exploits de navegador.
Exfiltracion: Los datos robados (credenciales, cookies, wallets cripto, tarjetas) se recopilan automaticamente en el panel MaaS. El afiliado los descarga y monetiza: venta en dark web, acceso a cuentas bancarias, robo directo de criptomonedas.
Soporte y actualizaciones: El operador MaaS proporciona actualizaciones regulares para evadir nuevas firmas antivirus, parches de estabilidad, y soporte tecnico para afiliados con problemas.
Tipos de malware vendidos como servicio
1. Infostealers (los mas vendidos en 2024-2025)
Funcion: Robo automatizado de credenciales, cookies de sesion, datos de tarjetas, wallets de criptomonedas y archivos del dispositivo victima.
Plataformas principales:
| Stealer | Precio/mes | Victimas estimadas | Estado (2025) |
|---|---|---|---|
| Lumma Stealer | 250-1,000 USD | 394,000 (2 meses) | Infraestructura incautada mayo 2025 |
| Raccoon Stealer | 200 USD | 100,000+ | Operador arrestado (Ucrania, 2022) |
| Rhadamanthys | 299-499 USD | Desconocido | Activo |
| Vidar | 150-250 USD | 50,000+ | Activo |
| RedLine | 150-200 USD | 100,000+ | Desmantelado (Operation Magnus, 2024) |
Ejemplo de panel Lumma Stealer:
Dashboard: 1,247 logs capturados hoy
├─ Credenciales bancarias: 312 (ES: 45, FR: 67, DE: 89)
├─ Cookies sesion activas: 578
├─ Wallets cripto: 89 (MetaMask: 34, Phantom: 22)
├─ Tarjetas credito: 156
└─ Archivos exfiltrados: 2.3 GB
Filtrar por: Pais | Banco | Exchange cripto | Tipo dato
Exportar: CSV | JSON | Formato Genesis Market2. RATs (Remote Access Trojans)
Funcion: Control remoto completo del dispositivo victima (escritorio, webcam, microfono, archivos, keylogger).
| RAT | Precio/mes | Plataformas | Capacidades |
|---|---|---|---|
| AsyncRAT | Open source (gratis) | Windows | Keylogger, escritorio remoto, webcam |
| DcRAT | 50-100 USD | Windows | Modular, plugins extensibles |
| njRAT | Gratis-50 USD | Windows | Popular en Latam y MENA |
3. Loaders/Botnets
Funcion: Distribucion de payloads secundarios. El loader infecta la maquina y luego descarga el malware final (stealer, ransomware, miner).
| Loader | Precio/mes | Funcion principal |
|---|---|---|
| DanaBot | 500-varios miles USD | Loader + banking trojan modular |
| SmokeLoader | 400-600 USD | Distribucion de payloads multiples |
| Bumblebee | 500-1,000 USD | Sucesor de BazarLoader (ex-TrickBot) |
| IcedID | 300-500 USD | Loader bancario → distribucion ransomware |
4. Banking Trojans
Funcion: Robo de credenciales bancarias mediante overlay attacks, interceptacion de SMS y manipulacion de sesiones web.
Familias como ERMAC, Godfather y Octo se distribuyen como MaaS para dispositivos Android, con precios entre 3,000 y 7,000 USD por campana completa. Ver: Troyano bancario.
Caso forense: investigacion de campana MaaS
Nota: El siguiente caso esta basado en patrones reales de investigaciones forenses de campanas MaaS documentadas en Espana durante 2024-2025. Los datos especificos han sido anonimizados para proteger la confidencialidad, preservando los aspectos tecnicos relevantes para fines educativos.
Contexto: Empresa de e-commerce (85 empleados, facturacion 12M EUR/ano) sufre robo de credenciales de 23 empleados y exfiltracion de base de datos de 45,000 clientes.
Timeline de la investigacion:
Dia 0 - Deteccion:
- SIEM alerta: 23 conexiones simultaneas a IP 91.215.XX.XX
- Antivirus endpoint detecta: "Trojan.Generic.xxxxx" en 8 equipos
- IT aisla equipos afectados y contacta perito forense
Dia 1-2 - Triaje forense:
- Imagen forense de 3 equipos (FTK Imager)
- Analisis memoria RAM (Volatility3): stealer activo en proceso svchost.exe
- Identificacion malware: Lumma Stealer v4.2 (hash SHA256 coincide con IOC)
- Panel C2: lumma-panel-[hash].xyz (registrado 3 dias antes del ataque)
Dia 3-5 - Reconstruccion vector entrada:
- Analisis logs proxy: empleado #7 descargo "factura_proveedor.exe"
- URL origen: resultado Google Ads fraudulento (malvertising)
- Payload: Lumma Stealer empaquetado con PyInstaller
- Propagacion: Lumma robo credenciales de red interna → movimiento lateral
Dia 6-8 - Analisis exfiltracion:
- Lumma exfiltro via HTTPS a panel C2:
- 23 pares credenciales corporativas (email, VPN, ERP)
- 156 cookies de sesion activas (banco, proveedores)
- Dump base datos MySQL: 45,000 registros clientes
- Estimacion datos exfiltrados: 2.8 GB en 72 horas
Dia 9-10 - Atribucion y cierre:
- Panel MaaS: interfaz Lumma Stealer confirmada
- Precio suscripcion: ~250 USD/mes
- Atacante probablemente afiliado de bajo perfil (no APT)
- Informe pericial entregado (180 paginas)Danos documentados:
- Coste directo: 85,000 EUR (respuesta incidentes + forense + notificacion AEPD)
- Coste indirecto: 340,000 EUR (perdida clientes + dano reputacional)
- Multa AEPD potencial: Hasta 10M EUR (brecha datos 45,000 clientes)
El ROI del cibercrimen MaaS
El afiliado pago 250 USD/mes por Lumma Stealer. El dano causado a una sola empresa fue de 425,000 EUR. Esa asimetria explica por que el modelo MaaS sigue creciendo: los costes para el atacante son minimos comparados con el beneficio potencial.
Operaciones policiales contra MaaS (2024-2025)
Operation Endgame (mayo 2025)
La mayor operacion internacional contra infraestructura MaaS hasta la fecha:
| Plataforma | Resultado | Danos estimados |
|---|---|---|
| DanaBot | 16 imputados, infraestructura desmantelada | 50M USD |
| Lumma Stealer | 2,300 dominios incautados (Microsoft/DOJ) | Millones USD |
| IcedID | Infraestructura neutralizada | Desconocido |
| SmokeLoader | Servidores incautados | Desconocido |
| Bumblebee | Infraestructura neutralizada | Desconocido |
| Pikabot | Servidores incautados | Desconocido |
Participantes: EE.UU., Alemania, Paises Bajos, Francia, Dinamarca, Ucrania, Reino Unido, Australia + Europol + empresas (Amazon, CrowdStrike, ESET, Google).
Operacion Emotet (enero 2021 + seguimiento 2025)
Emotet fue denominado por Europol como “el malware mas peligroso del mundo”. Originalmente un troyano bancario (2014), evoluciono a loader MaaS que distribuia TrickBot y Ryuk ransomware.
Timeline Emotet:
2014: Nace como banking trojan
2016-2019: Evoluciona a loader MaaS
2020: Resurgimiento masivo post-pausa
Ene 2021: Europol desmantela infraestructura (8 paises)
Nov 2021: TrickBot resucita Emotet (140,000 victimas en 149 paises, 10 meses)
2023: Nueva variante detectada
2025: Seguimiento Operation Endgame (4 arrestos adicionales)DanaBot: anatomia de un MaaS desmantelado
Los dos principales acusados, Aleksandr Stepanov (alias JimmBee) y Artem Kalinkin (alias Onix), ambos de Novosibirsk (Rusia), permanecen profugos. DanaBot operaba como MaaS con las siguientes caracteristicas:
- Lenguaje: Delphi (modular)
- Precio: Desde 500 USD hasta “varios miles” mensuales
- Capacidades: Robo credenciales bancarias, secuestro sesiones, robo wallets cripto, keylogger, screenshots, exfiltracion archivos
- Escala: 150 servidores C2 activos/dia, 1,000 victimas/dia, 40+ paises
- Clientes: Cientos de afiliados con diferentes campanas simultaneas
Marco legal espanol
Codigo Penal
Art. 264 ter CP - Facilitacion de herramientas para delitos informaticos:
“Sera castigado con pena de prision de seis meses a dos anos o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intencion de facilitar la comision de alguno de los delitos [264, 264 bis], programas informaticos concebidos o adaptados principalmente para la comision de dichos delitos, o una contrasena de ordenador, un codigo de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de informacion.”
- Pena: 6 meses - 2 anos prision o multa de 3-18 meses
- Relevancia MaaS: Tanto el operador (desarrollador) como el afiliado (usuario) incurren en este delito
Art. 248-250 CP - Estafa informatica:
Si el malware MaaS se usa para fraude bancario o robo de credenciales con perjuicio economico.
- Pena base: 6 meses - 3 anos prision
- Agravante +50,000 EUR: 1-6 anos prision
Art. 197 CP - Descubrimiento de secretos:
Si el malware MaaS intercepta datos personales, correos, credenciales de las victimas.
- Pena: 1-4 anos prision
Art. 264 CP - Danos informaticos:
Si el malware causa danos al sistema infectado (cifrado, borrado, alteracion).
- Pena: 6 meses - 3 anos prision
RGPD y obligaciones de la empresa victima
Art. 33 RGPD: Si una campana MaaS exfiltra datos personales de clientes, la empresa debe notificar a la AEPD en 72 horas y a los afectados si existe alto riesgo para sus derechos.
Art. 32 RGPD: La empresa debe demostrar que implemento medidas tecnicas y organizativas “adecuadas” de seguridad. La ausencia de antivirus actualizado, EDR o formacion en phishing puede considerarse negligencia.
Doble responsabilidad penal en MaaS
En el ecosistema MaaS, tanto el operador (desarrollador y mantenedor de la plataforma) como el afiliado (usuario que ejecuta las campanas) son penalmente responsables. El operador responde por el Art. 264 ter CP (facilitacion de herramientas). El afiliado responde por los delitos cometidos con el malware (estafa, danos, descubrimiento de secretos). La compra de una “suscripcion” MaaS es, en si misma, un acto delictivo.
Herramientas de investigacion forense MaaS
Analisis de malware:
| Herramienta | Funcion | Tipo |
|---|---|---|
| ANY.RUN | Sandbox interactivo, analisis comportamiento | Freemium |
| VirusTotal | Analisis multi-motor, IOC correlation | Online gratuita |
| Hybrid Analysis | Sandbox automatizado (CrowdStrike) | Online gratuita |
| Ghidra | Ingenieria inversa de binarios | Open source (NSA) |
| IDA Pro | Descompilador y desensamblador avanzado | Comercial |
Investigacion de infraestructura C2:
| Herramienta | Funcion | Tipo |
|---|---|---|
| Shodan | Identificacion servidores C2 expuestos | Freemium |
| Censys | Mapeo infraestructura atacante | Freemium |
| PassiveTotal | Historial DNS y WHOIS | Comercial (RiskIQ) |
| Maltego | Correlacion de entidades OSINT | Comercial |
Deteccion en endpoint:
| Herramienta | Funcion | Tipo |
|---|---|---|
| Volatility3 | Analisis memoria RAM (procesos ocultos) | Open source |
| YARA | Reglas deteccion patrones malware | Open source |
| Velociraptor | Triaje forense remoto a escala | Open source |
| CrowdStrike Falcon | EDR empresarial con threat intelligence | Comercial |
Coste pericial
| Servicio | Rango precio |
|---|---|
| Triaje forense inicial (1-3 equipos) | 500-900 EUR |
| Analisis malware completo (sandbox + reversing) | 600-1,200 EUR |
| Reconstruccion timeline del ataque | 600-900 EUR |
| Identificacion infraestructura C2 y atribucion | 500-800 EUR |
| Analisis datos exfiltrados (alcance brecha) | 400-700 EUR |
| Informe pericial completo | 800-1,200 EUR |
| Ratificacion judicial | 350-600 EUR |
Total tipico: 3,750-6,300 EUR
FAQ
P: Cual es la diferencia entre MaaS y RaaS? R: RaaS (Ransomware-as-a-Service) es un subconjunto de MaaS especializado exclusivamente en ransomware, donde el afiliado paga un porcentaje del rescate en lugar de una suscripcion fija. MaaS es el termino general que engloba todo tipo de malware vendido como servicio: stealers, RATs, loaders, banking trojans. En la practica, ambos ecosistemas estan interconectados: un loader MaaS como Emotet distribuyó el ransomware RaaS Ryuk.
P: Puedo ser victima de MaaS como particular? R: Si. Los infostealers MaaS como Lumma o RedLine atacan indiscriminadamente. Si descargas software pirata, haces clic en anuncios maliciosos o abres adjuntos de phishing, tu dispositivo puede ser infectado. Los datos robados (contrasenas, cookies bancarias, wallets cripto) se venden en mercados como Genesis Market o Russian Market.
P: Si la policia desmantela un MaaS, estoy a salvo? R: Temporalmente. La experiencia demuestra que los operadores MaaS reconstruyen su infraestructura en semanas. Emotet fue desmantelado en enero 2021 y resucito en noviembre del mismo ano. Lumma Stealer fue incautado en mayo 2025 y reaparecio en foros rusos semanas despues. La unica proteccion sostenible es la defensa proactiva: EDR, actualizaciones, formacion y monitoreo.
P: Como se investiga forensemente una campana MaaS? R: El analisis forense de MaaS sigue una metodologia estructurada: (1) identificacion del malware mediante analisis de muestras en sandbox, (2) extraccion de indicadores de compromiso (IOCs: hashes, IPs, dominios C2), (3) reconstruccion del vector de entrada (email, web, USB), (4) evaluacion del alcance de la exfiltracion, (5) correlacion con threat intelligence para identificar la plataforma MaaS especifica.
Conceptos relacionados
- RaaS (Ransomware-as-a-Service) - Modelo de negocio criminal especializado en ransomware
- Troyano bancario - Tipo de malware frecuentemente distribuido como MaaS
- LockBit ransomware - Ejemplo prominente de RaaS desmantelado
- Botnet - Infraestructura utilizada por operadores MaaS para distribucion
Referencias y fuentes
- DOJ. (2025). “U.S. Dismantles DanaBot Malware Network, Charges 16”. justice.gov - 300,000 victimas, 50M USD danos, 16 imputados
- The Hacker News. (2025). “U.S. Dismantles DanaBot Malware Network, Charges 16 in $50M Global Cybercrime Operation”. thehackernews.com - Detalles operacion y acusados
- Microsoft. (2025). “Disrupting Lumma Stealer: Microsoft leads global action”. blogs.microsoft.com - 2,300 dominios incautados, 394,000 PCs infectados
- BleepingComputer. (2025). “Lumma infostealer malware operation disrupted, 2,300 domains seized”. bleepingcomputer.com - Detalles tecnicos incautacion
- Europol. (2021). “World’s most dangerous malware EMOTET disrupted through global action”. europol.europa.eu - Desmantelamiento Emotet
- Check Point. (2022). “Trickbot Rebirths Emotet: 140,000 Victims in 149 Countries in 10 Months”. blog.checkpoint.com - Resurgimiento Emotet via TrickBot
- Kaspersky. (2025). “Malware-as-a-Service (MaaS)”. encyclopedia.kaspersky.com - Definicion y taxonomia
- Technology.org. (2025). “The Malware as a Service Ecosystem in 2025”. technology.org - 384 variedades, stealers como tipo mas vendido
- 8BitSecurity. (2025). “Top 5 Malware Sold on the Dark Web in 2025”. 8bitsecurity.com - Precios y tiers MaaS
- GBHackers. (2025). “Rhadamanthys Stealer Offered on Dark Web for $299-$499”. gbhackers.com - Pricing tiers stealer
- Codigo Penal espanol: Arts. 197, 248-250, 264, 264 bis, 264 ter (facilitacion herramientas, estafa, danos informaticos)
- RGPD: Arts. 32, 33 (medidas seguridad, notificacion brecha 72h)
Ultima actualizacion: 12 Febrero 2026 Categoria: Malware Nivel tecnico: Avanzado
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita