El malware que robó contraseñas de miles de empresas, cazado

Cuando escuchas que han detenido al responsable de un malware, puede sonar a noticia lejana. Pero RedLine no es cualquier programa malicioso: es uno de los ladrones de contraseñas más utilizados en el mundo, y hay muchas posibilidades de que los datos de tu empresa o de tus clientes hayan estado en su punto de mira.

Qué ha pasado exactamente

El Departamento de Justicia de Estados Unidos ha confirmado la primera comparecencia ante un tribunal de Texas de Hambardzum Minasyan, un ciudadano armenio extraditado por su supuesta participación en la operación de RedLine. Según la acusación formal, Minasyan no era un usuario cualquiera: se encargaba de mantener la infraestructura técnica del malware, incluyendo los servidores desde los que se controlaban los equipos infectados y los paneles de administración que usaban los ciberdelincuentes afiliados.

La fiscalía detalla que registró servidores virtuales para alojar parte de esa infraestructura, creó repositorios para distribuir el malware entre quienes pagaban por usarlo, y gestionó los cobros a través de criptomonedas. Enfrenta cargos que pueden suponer hasta 20 años de prisión.

Qué hacer: Esta detención confirma que hay investigaciones activas a nivel internacional sobre este tipo de herramientas. Es un buen momento para comprobar si alguna credencial de tu negocio ha podido quedar expuesta.

Qué es RedLine y por qué te afecta

RedLine funciona bajo un modelo de negocio conocido como “malware como servicio”: cualquier ciberdelincuente puede pagar una suscripción y utilizarlo para infectar ordenadores ajenos y robar información. Surgió en 2020 y desde entonces no ha dejado de crecer.

Lo que roba es lo que hace especialmente peligroso este programa:

• Contraseñas guardadas en el navegador (Chrome, Edge, Firefox…)
• Sesiones activas de correo electrónico, redes sociales y plataformas de trabajo
• Datos de carteras de criptomonedas
• Credenciales de VPN
• Información de formularios de pago guardada en el navegador

Para un autónomo o una pequeña empresa, esto se traduce en un riesgo muy concreto: alguien podría acceder a tu correo corporativo, a tu gestoría online, a tu plataforma de facturación o al panel de administración de tu web.

Qué hacer: Revisa si tienes contraseñas guardadas en el navegador de tu ordenador de trabajo. Ese hábito, tan cómodo, es exactamente lo que aprovechan este tipo de amenazas.

Una detención importante, pero el problema sigue activo

En octubre de 2024 ya hubo una operación internacional contra RedLine que supuso la incautación de servidores y la detención de otras personas vinculadas a la red. Sin embargo, el impacto fue limitado: el malware continuó activo y sigue siendo uno de los más utilizados por los ciberdelincuentes hoy en día.

El principal sospechoso de haber creado RedLine, Maxim Rudometov, sigue en paradero desconocido. Las autoridades estadounidenses llegaron a ofrecer una recompensa de 10 millones de dólares por información que conduzca a su localización. Esto explica por qué, a pesar de los arrestos, RedLine no ha desaparecido: la estructura técnica y los afiliados que lo utilizan siguen operando.

Qué hacer: No asumas que porque hay detenidos el peligro ha pasado. Los infostealers siguen activos y los datos robados en el pasado pueden seguir circulando y usándose durante meses o años.

Cómo llega RedLine a los ordenadores de empresa

RedLine no llega solo. Alguien lo instala, normalmente sin saberlo. Las vías más habituales son:

• Correos con archivos adjuntos maliciosos, especialmente facturas, presupuestos o notificaciones de entrega que parecen legítimas.
• Software pirata o descargado de fuentes no oficiales, una práctica especialmente peligrosa en entornos de trabajo donde se instalan programas sin supervisión.
• Anuncios fraudulentos en buscadores que llevan a páginas de descarga falsas de programas legítimos como VLC, WinRAR o herramientas de diseño.
• Páginas web comprometidas, aunque este es un vector menos frecuente para este tipo de malware.

Una vez instalado, trabaja en segundo plano sin dar señales visibles. El ordenador parece funcionar con normalidad mientras el programa extrae y envía datos al servidor de los atacantes.

Qué hacer: Establece una norma clara en tu negocio: ningún software se instala en ordenadores de trabajo sin haber comprobado su procedencia. Un solo descuido puede comprometer las credenciales de toda la organización.

Cómo saber si tengo un virus que roba contraseñas

Una de las preguntas más frecuentes es: ¿cómo saber si tengo un virus que roba contraseñas? El problema con infostealers como RedLine es que están diseñados para no dar señales. No ralentizan el ordenador, no muestran ventanas emergentes, no hacen ruido. Trabajan en silencio.

Sin embargo, hay indicios que pueden alertarte:

• Accesos sospechosos en tu correo o servicios online desde ubicaciones que no reconoces
• Contraseñas que dejan de funcionar sin que las hayas cambiado
• Correos enviados desde tu cuenta que no has escrito tú
• Alertas de seguridad de Google, Microsoft o tu proveedor de correo sobre actividad inusual
• Software que no recuerdas haber instalado en tu equipo

Si detectas cualquiera de estas señales, actúa como si la infección fuera real: cambia contraseñas desde otro dispositivo y activa 2FA.

Qué hacer si tu empresa ha sido infectada con un infostealer

Si confirmas o sospechas que tu empresa ha sido infectada con un infostealer, el protocolo de emergencia es claro:

1. Desconecta el equipo afectado de internet inmediatamente para cortar la exfiltración de datos
2. Desde un dispositivo limpio, cambia las contraseñas de todos los servicios a los que se accedía desde ese equipo
3. Activa verificación en dos pasos (2FA) en correo, banca, hosting y herramientas de gestión
4. Cierra las sesiones activas en todos los servicios (Gmail, Microsoft 365, redes sociales)
5. Ejecuta un análisis antimalware completo con una herramienta actualizada (Malwarebytes, ESET o similar)
6. Revisa el navegador: el malware que roba contraseñas del navegador accede a todo lo que Chrome, Edge o Firefox tienen guardado. Elimina todas las contraseñas almacenadas y no vuelvas a usar el navegador como gestor de contraseñas — usa un gestor dedicado como Bitwarden o 1Password

El dato que no puedes ignorar

RedLine es responsable de una parte significativa de los datos de acceso que circulan en foros de ciberdelincuencia. Muchos de los casos de acceso no autorizado a cuentas corporativas, robo de datos de clientes o toma de control de páginas web que investigan las empresas de ciberseguridad tienen como origen, rastreable semanas o meses atrás, una infección por este tipo de malware.

Los datos robados no se usan de inmediato. Se acumulan, se venden en paquetes y se explotan cuando el ciberdelincuente lo considera oportuno. Eso significa que una infección que ocurrió hace tres meses puede tener consecuencias visibles hoy.

Qué hacer: Si sospechas que algún dispositivo de trabajo pudo estar comprometido en los últimos meses, lo más prudente es cambiar todas las contraseñas corporativas desde un dispositivo limpio y activar la verificación en dos pasos en todos los servicios críticos.

Siguiente paso

Si quieres saber si tu negocio tiene contraseñas o datos expuestos, o si necesitas ayuda para evaluar el estado de seguridad de tus equipos y cuentas corporativas, podemos hacer una revisión inicial sin compromiso. Contacta con nosotros y te explicamos en qué consiste nuestra auditoría de seguridad para autónomos y pequeñas empresas.