Infostealers: el tipo de malware que más creció en Latinoamérica en 2025

El robo de información sensible mediante software malicioso ha aumentado considerablemente en América Latina durante la primera mitad del año. Así lo revela un análisis reciente de ESET sobre infostealers, una categoría de malware diseñada para recopilar datos privados como credenciales, información financiera y accesos a servicios digitales.

Los infostealers actúan de forma silenciosa, infiltrándose en computadoras personales o redes corporativas sin dejar evidencia visible. Una vez dentro, recopilan datos que luego son enviados a los atacantes, ya sea mediante servidores controlados por ellos o a través de plataformas de mensajería con capacidad de anonimato como Telegram o Discord.

Según el informe, los países con mayor cantidad de detecciones en la región son Brasil, México y Argentina. El estudio también identifica seis familias de malware como las más activas y sofisticadas durante 2025: LummaStealer, Amadey, Rozena, Guildma, Formbook y XLoader.

LummaStealer registró más de 4.000 detecciones únicas en lo que va del año. Se distribuye bajo el modelo malware-as-a-service, lo que permite a múltiples actores maliciosos utilizarlo según sus propios métodos de ataque. Suele propagarse a través de instaladores falsos, publicidad maliciosa, redes sociales y correos electrónicos fraudulentos. Su arquitectura modular permite descargar funciones específicas como keyloggers, exfiltración por FTP y ejecución remota de comandos.

Amadey, activo desde al menos 2018, combina funciones de robo de información con capacidad para actuar como cargador (loader) de otros programas más dañinos, como ransomware. En 2025 ha sido identificado en aproximadamente 2.500 casos. Su distribución ocurre principalmente mediante correos electrónicos engañosos con supuestos avisos bancarios o facturas falsas.

Rozena opera como infostealer y puerta trasera (backdoor), permitiendo el control remoto de los dispositivos afectados. Emplea técnicas como la ejecución directa en memoria (file-less), lo que dificulta su detección. Suele distribuirse por archivos de Office con macros maliciosas o ejecutables disfrazados de programas legítimos.

Guildma, especializado en el robo de credenciales bancarias, es un troyano originado en Brasil que ha expandido su alcance a otros países de la región. Es capaz de interceptar sesiones bancarias en tiempo real, capturar teclado y manipular interfaces de usuarios. Se propaga por campañas de correo masivo, con archivos adjuntos maliciosos o enlaces a descargas fraudulentas.

Formbook y XLoader comparten origen, pero se han desarrollado con diferentes enfoques. Formbook ha estado activo desde 2016, con presencia en campañas de malspam que incluyen archivos adjuntos infectados. XLoader, su evolución, incorpora nuevas técnicas de persistencia, soporte para macOS y métodos mejorados para evadir sistemas de defensa. Ambos están dirigidos tanto a usuarios individuales como a organizaciones.

El reporte indica que muchas de estas amenazas operan de forma conjunta o encadenada, facilitando ataques más complejos. Además, se observa una creciente profesionalización en el desarrollo y distribución de estos códigos maliciosos, lo que plantea nuevos desafíos para la ciberseguridad en la región.

TE PODRÍA INTERESAR