El negocio de los infostealers se dispara

El malware tipo infostealer se ha convertido en uno de los ejemplos más claros de la industrialización del cibercrimen, según alerta Panda Security. Estas herramientas, diseñadas para robar credenciales y datos personales, permiten a delincuentes incluso sin conocimientos técnicos lanzar campañas de robo de información con inversiones mínimas y una rentabilidad extremadamente alta.

“Ya no es necesario ser un experto hacker ni saber programar. El cibercrimen se ha industrializado a través del modelo malware as a service”, explica Hervé Lambert, Global Consumer Operation Manager de Panda Security.

 

Un negocio criminal accesible

A diferencia del ransomware, que bloquea la pantalla y exige un rescate, los infostealers extraen credenciales y desaparecen sin dejar rastro, lo que dificulta enormemente su detección.

El precio de un infostealer varía según su sofisticación, Los básicos o clones parten de los 100 euros, pero más fáciles de detectar. Los de gama media (como Lumma o Raccoon) están entre 200 y 250 euros al mes, con panel de control interactivo y actualizaciones periódicas; los de gama alta entre 400 y 900 euros al mes, con sistemas avanzados de evasión y soporte 24/7; y la licencia completa, es un pago único de hasta 20.000 euros, que permite modificar el malware y realquilarlo.

A esta inversión se suman servicios adicionales del mercado negro, como crypters (20–50 euros por archivo) o bases de datos de correos para campañas de phishing (unos 100 euros).

La rentabilidad del negocio también está industrializada. Los principiantes (script kiddies) infectan entre 50 y 200 equipos al mes y ganan entre 500 y 2.000 euros; los afiliados profesionales, con campañas más elaboradas, pueden infectar hasta 5.000 equipos y ganar entre 15.000 y 50.000 euros; y los grupos organizados e IABs pueden obtener entre 10.000 euros y un millón por campaña, especialmente si el acceso vendido termina en un ataque de ransomware.

Los infostealers se utilizan especialmente contra sectores donde las credenciales corporativas tienen alto valor como turismo y hotelería; banca, fintech y criptomonedas; y logística y cadena de suministro.

Los datos robados, los llamados logs, se venden en mercados automatizados como Russian Market por unos 10 euros, aunque los accesos corporativos o bancarios multiplican su valor.

Los ciberdelincuentes de gama media y alta no utilizan cuentas bancarias tradicionales. Toda la economía del malware se mueve en Monero (XMR), una criptomoneda que oculta emisor, receptor y cantidad transferida.

Para convertir estas criptomonedas en dinero real, recurren a mulas financieras, personas captadas mediante falsas ofertas de empleo que retiran el dinero y lo envían a los líderes de la organización.

Panda Security advierte de que los antivirus tradicionales ya no son suficientes. Las empresas deben adoptar un modelo Zero Trust, con autenticación resistente al phishing (FIDO2), protección avanzada del endpoint y gestión centralizada y cifrada de contraseñas.

Para departamentos expuestos, como RR. HH. o Atención al Cliente, se recomienda navegación web virtualizada en la nube, que ejecuta el código malicioso en un contenedor remoto aislado. Para usuarios particulares, la primera medida es dejar de usar el autoguardado de contraseñas del navegador y migrar a gestores como Bitwarden o 1Password.