Robadores de información - ¿Cómo prevenir y mitigar?

Los robo de información son un tipo de malware que se infiltra en sistemas informáticos para robar información sensible, como credenciales de acceso e información financiera. Principalmente dirigido a datos de navegadores y operando de forma encubierta, este tipo de malware que roba información puede propagar por muchos vectores de ataque, incluyendo emails de phishing, descargas maliciosas, malvertising y otros.

SOBRE CIBERSEGURIDAD 2023 Solicite una demostración

¿Qué son los Infostealers?

Los robos de información forman parte de una industria más amplia de exfiltración de datos, cuya información robada resultante suele ser empaquetada y comercializada en la dark sitio web. Los ciberdelincuentes también comercializan a los robos de información como malware como servicio (MaaS), lo que reduce la barrera de entrada para los actores maliciosos.

Con un ecosistema en maduración en torno a la exfiltración de datos y un cambio alejar de otros vectores de ataque, los robos de información son una amenaza creciente contra la que debes protegerte.

El estado de la ciberseguridad en 2025: los robos de información están en auge

El reporte sobre el estado de la ciberseguridad 2025 de Check Point detalla el rápido auge de los robos de información:

El reporte encontró que los ataques de infostealers crecieron un 58% en 2024.

Aunque la tecnología detrás del robo de información malware no evolucionó significativamente en el último año, el declive de las grandes botnets, la maduración del mercado más amplio de exfiltración de datos y la adopción del trabajo remoto lo convierten en un punto de entrada eficiente para romper el red corporativo.

Los ataques de robo de información suelen ser amplios, dirigir a muchas personas y organizaciones en lugar de buscar vulnerar una red corporativa específica.

Las investigaciones muestran que el 70% de todos los dispositivos infectados por infostealers son personales y no corporativos. Uno de los principales objetivos de dirigir a dispositivos personales es acceder a recursos corporativos a través de los puntos de entrada Bring Your Own Dispositivo (BYOD).

El Mercado de Robadores de Información

Un método rápido y relativamente sencillo para acceder a información corporativa sensible, los robos de información pueden recopilar rápidamente cantidades significativas de registros (credenciales de acceso u otra información sensible que proporciona acceso a una red corporativa, sirviendo como la etapa inicial de una brecha de datos mayor).

El malware como servicio

Con la capacidad de recopilar rápidamente grandes volúmenes de registros, los ciberdelincuentes detrás de los robos de información ahora los comercializan a actores de amenazas menos avanzados técnicamente a través de MaaS.

Ejemplos de las plataformas MaaS de robo de información más populares en la dark sitio web incluyen:

  • RedLine Stealer
  • LummaC2
  • StealC
  • Vidar

El cliente o convertido en miembro de MaaS compra licencias para estas herramientas de robo de información para ejecutar sus propias campañas de infección. Los lotes de datos robados devueltos se venden o intercambian dentro del mercado de infostealers. Más comúnmente a través de plataformas como Telegram o mercados clandestinos, muchos de los cuales tienen su sede en Rusia.

Las plataformas de robo de información MaaS compiten entre sí en función de la calidad de los registros y la capacidad de clasificar y presentar rápidamente los datos robados en el mercado. El valor de estos registros disminuye con el tiempo a medida que los equipos de seguridad se enteran de la amenaza, eliminan el software de robo de información de su red y eliminan cualquier riesgo generado.

Por lo tanto, los proveedores de infostealers deben proporcionar acceso rápido a sus registros más recientes cuando sean más valiosos.

Intermediarios de acceso inicial

Otro actor en el ecosistema de infostealers, más allá de proveedores y afiliados, son los Brokers de Acceso Inicial (IABs). Son personas que aprovechan la información inicial para ganar terreno en el rojo corporativo.

Cercioran que un registro pueda convertir en acceso a la red más amplio. 

Al realizar este servicio, pueden revender el acceso a objetivos específicos en foros de la dark sitio web, atrayendo a actores amenazantes con objetivos concretos, como ataques de ransomware. Estos actores amenazantes podrían monetizar aún más los datos iniciales obtenidos por el ladrón de información ofreciendo capacidades de ataque mediante ransomware como servicio (RaaS).

El dinero generado por estos esquemas, así como los ciberdelitos financieros más sencillos (robo de identidad, fraude, transacciones no autorizadas, etc.), impulsan el crecimiento del ecosistema de los ladrones de información.

Objetivos de Infostealer

El análisis de datos revela que los registros más comunes disponibles para la venta pertenecen a los mayores proveedores de servicios online y plataformas de redes sociales, siendo los cinco principales:

  1. accounts.google.com
  2. facebook.com
  3. roblox.com
  4. login.live.com
  5. instagram.com

Dada la naturaleza amplia y no dirigida de la mayoría de las campañas de infección por robos de información, no es sorprendente que las credenciales de acceso robadas pertenezcan a los servicios más populares.

Sin embargo, los análisis sugieren que los jugadores podrían ser más susceptibles que otros a los ataques de los ladrones de información, con la prevalencia de credenciales de acceso para sitios y servicios relacionados: Roblox, Discord, Twitch y Epic Games entre los 13 primeros. Esto podría deber a una higiene de Internet menos estricta en estas comunidades.

Infostealer Geographic Data

Los robos de información suelen estar estrechamente vinculados a Rusia, con troncos vendidos en mercados rusos. El análisis de los registros en el mercado ruso muestra que una parte significativa proviene de lugares como India y Brasil.

A continuación se muestran los 5 principales países de origen de los troncos vendidos en el mercado ruso:

  1. India 10%
  2. Brasil 8%
  3. Indonesia 5%
  4. Pakistán 5%
  5. Egipto 5%

Cómo prevenir los robos de información

Proteger contra el malware que roba información y la exfiltración de datos requiere procesos de seguridad sofisticados y buenas prácticas que cubran toda tu organización. Esto incluye proteger todos los posibles puntos de entrada, como los BYODs empleados para trabajo remoto o híbrido.

Estos dispositivos amplían significativamente tu superficie de ataque y ofrecen a los ladrones de información muchas más oportunidades.

Los IABs pueden identificar registros para dispositivos personales que ofrecen acceso a un valioso red corporativo, incluso saltar mecanismos de autenticación de múltiples factores (MFA) robando cookies de sesión encontrados en dispositivos personales. Por tanto, cualquier proceso de seguridad que tengas debe ir más allá del perímetro corporativo tradicional para incluir todos los puntos de acceso.

Métodos clave para evitar que los robos de información se infiltren en tus sistemas:

  • Detectar ataques de ingeniería social: Dado que los robo de información suelen distribuir mediante phishing y descargas maliciosas, tu mejor defensa es capacitar a tu equipo para detectar ataques de ingeniería social. Además, deberías considerar herramientas de seguridad de email que bloqueen correos o enlaces sospechosos.
  • Evitando la sincronización del navegador: Esto garantiza que las contraseñas de tus sistemas corporativos no sean accesibles a través de dispositivos personales.
  • Utilización de Gestión Avanzada de Identidades y Control de Acceso: Estos sistemas rastrean comportamientos y responden a actividades sospechosas. Busca herramientas que bloqueen o introduzcan inmediatamente nuevos métodos de verificación al identificar actividades sospechosas.
  • Búsqueda proactiva de registros: Busca registros relacionados con tu compañía y sus empleados en los mercados de infostealers o emplea la dark-sitio web inteligencia sobre amenazas para rastrear posibles filtraciones de datos, incluidas cuentas secuestradas.
  • Incorporación de detección y respuesta terminal (EDR): Monitorizar y remediar malware amenazas de ciberseguridad como los robos de información. Empleando tanto detección basada en comportamientos como en firmas, las herramientas EDR pueden identificar rápidamente malware en tu red antes de que pueda escalar hasta convertir en una grave brecha de datos.
  • Aprovechando el MFA: Aunque es posible que los ladrones de información evadan la MFA mediante cookies de sesión, sigue siendo una herramienta valiosa para evitar que otros tipos de datos sean accedidos. El MFA proporciona un sistema de seguridad en caso de que un ladrón de información obtenga acceso a las credenciales de acceso e intente montar un ataque más amplio.

Previene y mitiga robos de información con Check Point

Los robos de información son una amenaza creciente de ciberseguridad, lo que permite filtraciones de datos más graves. Con un extenso ecosistema de ciberdelincuencia que se desarrolla en torno a los ladrones de información, este malware es la clave para abrir tu red a actores amenazantes de todo el mundo.

Los mercados modernos de robo de información hacen que hackear a las compañías y obtener acceso no autorizado sea una cuestión de finanzas más que de habilidad técnica. Las bases de datos de registros están disponibles para cualquiera dispuesto a pagar. Sin las protecciones adecuadas contra el robo de información, apuestas a que los actores maliciosos que navegan por la dark sitio web se fijen a otro objetivo sobre tu negocio.

Puedes obtener más información sobre el creciente riesgo de los robos de información y cómo proteger tu negocio descargando el reporte Estado de la ciberseguridad 2025 de Check Point.

Comenzar

Check Point Endpoint Security Protection

Seguridad Zero Trust

Prevención avanzada de amenazas de red

Temas relacionados

Tipos de malware

Malware Agente Tesla

Programa malwareFormBook

Malware Remcos

Remote Access Trojan (RAT)