Qué son los infostealers y cómo roban tus contraseñas sin que lo notes

Hay un tipo de malware que no cifra tus archivos ni te muestra mensajes de rescate. No hace ruido. No ralentiza tu ordenador de forma notable. Solo entra, recoge todo lo que puede —contraseñas, cookies, datos de sesión— y se va. Se llama infostealer, y es la herramienta que probablemente esté detrás de más del 80% de las brechas de datos corporativas de los últimos años.

Cómo funciona un infostealer

Cuando un infostealer infecta un dispositivo, ejecuta una serie de acciones en segundo plano de forma completamente silenciosa:

Extracción de contraseñas del navegador: Los navegadores como Chrome, Firefox o Edge guardan contraseñas de forma local. El malware accede a esos archivos y los copia.

Robo de cookies de sesión: Las cookies son pequeños archivos que guardan tu sesión activa en servicios web. Con la cookie correcta, un atacante puede acceder a tu cuenta sin necesitar tu contraseña ni pasar por el 2FA.

Capturas de credenciales en tiempo real: Algunos infostealers más avanzados registran lo que escribes en el teclado (keyloggers) o hacen capturas de pantalla periódicas.

Recopilación de información del sistema: El malware también recoge datos del dispositivo infectado —sistema operativo, software instalado, dirección IP— para que los compradores del log puedan evaluar el valor del acceso.

Toda esa información se empaqueta en lo que se conoce como un “log” y se vende en mercados clandestinos. Un log con acceso a cuentas corporativas puede valer desde unos pocos euros hasta cientos, dependiendo de lo que contenga.

Qué hacer: Instala un antivirus con protección en tiempo real en todos los dispositivos que uses para trabajar, incluyendo el portátil personal si accedes desde él a herramientas de tu negocio.

Por dónde entran en tu sistema

Los infostealers no necesitan explotar vulnerabilidades complejas. Sus vías de entrada más habituales son:

Software pirata o gratuito de dudosa procedencia

Descargar software de sitios no oficiales es una de las formas más comunes de infectarse. Muchos programas “gratuitos” que se encuentran en sitios de terceros incluyen malware integrado.

Archivos adjuntos en correos de phishing

Un PDF que parece una factura, un documento Word con una macro, un archivo ZIP con “instrucciones importantes”. Si el correo parece urgente o viene de un remitente desconocido, desconfía antes de abrir cualquier adjunto.

Anuncios maliciosos (malvertising)

Incluso en sitios web legítimos, los anuncios pueden redirigirte a páginas que intentan instalar malware de forma automática. Los bloqueadores de anuncios como uBlock Origin ofrecen una capa de protección adicional.

Extensiones de navegador fraudulentas

Las extensiones del navegador tienen acceso a todo lo que haces online. Una extensión con código malicioso puede robar contraseñas, leer tu correo y acceder a cualquier servicio donde estés autenticado.

Qué hacer: Descarga software solo desde fuentes oficiales. Revisa periódicamente las extensiones instaladas en tu navegador y elimina las que no uses o no recuerdes haber instalado.

El mercado negro de credenciales: cómo funciona

Existe un ecosistema completo alrededor de los logs robados por infostealers. Plataformas como Russian Market, Genesis Market (desmantelada en 2023) o mercados en Telegram permiten comprar y vender credenciales corporativas con filtros por empresa, país, tipo de acceso o antigüedad del log.

Un atacante puede buscar específicamente credenciales de empresas en un sector concreto, de un país determinado, con acceso a plataformas específicas. No es un proceso artesanal: está automatizado y es altamente eficiente.

En el caso del ataque a Stryker, los investigadores encontraron que las credenciales de acceso a infraestructura crítica de la empresa llevaban disponibles en estos mercados desde 2023. Más de dos años de exposición sin que nadie actuara.

Qué hacer: Monitoriza tu dominio corporativo en servicios de alerta de brechas. Hay opciones gratuitas como Have I Been Pwned y opciones de pago más completas orientadas a empresas.

Cómo proteger tu negocio específicamente

Gestión de contraseñas

Implementa un gestor de contraseñas para todo el equipo. Garantiza que cada servicio tiene una contraseña única, larga y generada aleatoriamente. Bitwarden tiene un plan gratuito para uso personal y planes asequibles para equipos.

Autenticación multifactor resistente al phishing

El 2FA estándar por SMS o aplicación de autenticación es mucho mejor que nada, pero no protege completamente contra el robo de cookies de sesión. Para cuentas críticas, considera llaves de seguridad físicas como YubiKey.

Formación mínima del equipo

No necesitas hacer un curso completo de ciberseguridad. Basta con que todos los que trabajan contigo sepan identificar un correo de phishing, no descarguen software de fuentes desconocidas y avisen si algo raro ocurre en su dispositivo.

Segmentación de accesos

Cada persona debería tener acceso solo a lo que necesita para hacer su trabajo. Un gestor de redes sociales no necesita acceso al panel de hosting. Un comercial no necesita acceso a la base de datos de clientes completa.

Qué hacer: Dedica una tarde a revisar los permisos de acceso de cada persona o herramienta conectada a tu negocio. Elimina lo que no sea necesario.

Señales de que tu dispositivo puede estar infectado

• El antivirus o el firewall se ha desactivado solo
• El navegador tiene extensiones que no recuerdas haber instalado
• Aparecen accesos en tu correo o servicios desde ubicaciones desconocidas
• El ordenador funciona más lento de lo habitual sin motivo aparente
• Recibes avisos de inicio de sesión en servicios que no has usado

Si detectas alguna de estas señales, lo más prudente es cambiar todas las contraseñas desde un dispositivo diferente y limpio, y revisar el equipo afectado con un antivirus actualizado.

Siguiente paso

Si gestionas un negocio y quieres saber si alguna de tus cuentas corporativas ha sido comprometida, en SeguridadWeb realizamos revisiones de exposición digital y auditorías de seguridad adaptadas a autónomos y pymes. Te ayudamos a identificar el problema y a poner soluciones concretas. Contacta con nosotros sin compromiso.