¿Qué son los ladrones de información y por qué debería preocupar a mi empresa?

Por Phil Muncaster • 6 de septiembre de 2024

En junio de este año se descubrió una campaña de extorsión masiva contra los clientes del especialista en nubes de datos Snowflake. De acuerdo a (aqui), las víctimas fueron amenazadas con exponer sus datos si no pagaban un rescate de hasta 5 millones de dólares. Los actores de amenazas lograron comprometer más de 500 millones de registros de Ticketmaster y 30 millones de clientes de Santander. Aún quedan muchas más víctimas corporativas por surgir de las más de 160 que se cree que quedaron atrapadas en la campaña de robo de datos.

Proveedor de inteligencia de amenazas Mandiant, que está investigando, afirma que los malos actores causaron este caos utilizando tácticas sorprendentemente simples. Utilizaron los inicios de sesión de los clientes de Snowflake obtenidos mediante malware de robo de información y luego aprovecharon la falta de autenticación multifactor (MFA) para atravesar una puerta abierta. Es razón suficiente para garantizar que sus defensas cibernéticas puedan resistir un ataque de robo de información.

¿Qué son los ladrones de información?

Los infostealers son una clase cada vez más frecuente de malware diseñado, como su nombre indica, para extraer de forma encubierta información confidencial de la computadora o dispositivo móvil de una víctima. Estos datos serán utilizados directamente por los mismos actores de amenazas o, más probablemente, vendidos en el mundo del cibercrimen para su uso en posteriores fraudes de identidad y ciberataques como la campaña contra los clientes de Snowflake.

El malware podría buscar información como:

Archivos almacenados en la máquina/dispositivo del terminal
Flujos de datos desde aplicaciones de mensajería instantánea como Telegram
Activos contenidos en carteras criptográficas, como NFT y monedas
Credenciales almacenadas en clientes de correo o FTP, plataformas de juego o perfiles VPN
Información almacenada en el navegador, que podría incluir contraseñas y credenciales de múltiples sitios, tarjetas de crédito almacenadas, cookies de autenticación/sesión, inicios de sesión autocompletados y mucho más.

La captura de cookies de sesión podría permitir a los actores de amenazas eludir MFA, convirtiéndolos en una amenaza potente. De acuerdo a Trend Micro, la información almacenada en el navegador de un dispositivo “es, con diferencia, el objetivo preferido de los ladrones de datos”. Una vez realizado su trabajo, el ladrón de información recopila toda la información robada y la coloca en un archivo llamado registro. que podría venderse por más de $100 dependiendo de la calidad y cantidad de datos que contiene.

Los infostealers han estado circulando en el mundo del cibercrimen desde aproximadamente 2011. Durante los últimos 15 años aproximadamente, los desarrolladores de malware han seguido refinando y personalizando sus ofertas para apuntar a diversas plataformas, desde dispositivos Android hasta PC con Windows y cuentas comerciales de Facebook. Hay varias formas de distribuirlos, incluido el phishing o smishing (phishing por SMS), descargas automáticas desde sitios web infectados, juegos crackeados, ocultos en aplicaciones que parecen legítimas, incluidas software de reuniones falso, Google Ads e incluso YouTube descripciones de vídeos.

Representan un riesgo creciente para las organizaciones en entornos de trabajo híbridos pospandémicos, donde los empleados pueden visitar sitios riesgosos en sus dispositivos personales, que luego se infectan con ladrones de información. Debido a las políticas BYOD, dichos dispositivos también pueden tener acceso a recursos y datos corporativos, lo que los pone en riesgo de robo. Más de la mitad (51%) de Los líderes de TI dicen han visto evidencia de dispositivos personales comprometidos que acceden a datos corporativos confidenciales.

Evadir la captura

Hoy en día, los ciberdelincuentes y estafadores en ciernes tienen una gran cantidad de opciones para elegir en los mercados clandestinos del cibercrimen. Incluyen ladrones de información populares como RedLine, Raccoon, Vidar y Taurus. Un modelo de malware como servicio (MaaS) ha ayudado a democratizar el acceso a dichas herramientas a una base de usuarios criminales mucho más amplia. Y los esfuerzos de innovación continúan. Algunos mercados ofrecen servicios de análisis de registros para ayudar a los actores de amenazas a extraer datos de registros sin procesar para su uso o reventa.

Los desarrolladores de Infostealer también hacen un gran esfuerzo para garantizar que su malware permanezca oculto a las herramientas de seguridad. Algunos, como la variante Rhadamanthys, operan en la memoria del sistema para evadir la detección. Otros, como Raccoon, presentan cambios en UserAgents y mutexes en un intento por evitar la detección basada en indicadores, según uno . Una nueva versión de la popular variante Lumma surgió el año pasado con sofisticadas capacidades anti-sandbox. Los hombres y mujeres detrás de estas herramientas también están haciendo todo lo posible para permanecer ocultos: anuncian sus productos en Telegram, Mastadon y otros sitios en lugar de hacerlo a través de mercados criminales centralizados que son propensos a la vigilancia y la interrupción de las fuerzas del orden.

Cómo mitigar la amenaza de los ladrones de información

De lo que no hay duda es de la amenaza potencialmente grave que suponen para la ciberseguridad corporativa. Aparte de las violaciones de la cuenta de Snowflake, el responsable fue un ladrón de información descargado involuntariamente en la computadora portátil de un empleado. por una gran violación de datos en la plataforma de integración y entrega continua CircleCI el año pasado. Un proveedor reclamaciones que 10 millones de dispositivos encontraron malware de robo de información en 2023, siete veces más desde 2020.

La buena noticia es que las mejores prácticas probadas pueden mantener a los ladrones de información fuera de los sistemas corporativos, según el director técnico de Trend Micro Reino Unido e Irlanda, Bharat Mistry.

"Las organizaciones pueden mitigar la amenaza de los ladrones de información implementando medidas preventivas como capacitación de los empleados, autenticación sólida y protección de terminales", le dice a ISMS.online. “Las actualizaciones periódicas de software y la seguridad de la red también son cruciales. Las estrategias de detección incluyen detección avanzada de amenazas, auditorías de seguridad periódicas y monitoreo continuo”.

Sin embargo, los líderes de seguridad de TI también pueden mitigar el riesgo de los ladrones de información mediante el cumplimiento de los estándares de mejores prácticas.

"El cumplimiento de estándares como ISO 27001 mejora significativamente los esfuerzos de ciberseguridad al ofrecer un enfoque estructurado para la gestión de riesgos e implementar controles de seguridad integrales, que son esenciales para una protección sólida", argumenta Mistry.

“Las auditorías periódicas garantizan una vigilancia continua contra las amenazas emergentes. La formación y la concienciación de los empleados son vitales, ya que transforman a su personal en la primera línea de defensa. Además, los estrictos requisitos de gestión de incidentes de la norma garantizan que cualquier infracción se aborde de forma rápida y eficaz”.

Cuando se comparan con ataques de ransomware potencialmente mortales, los ladrones de información pueden no parecer un riesgo de ciberseguridad significativo. Sin embargo, como destaca el incidente de Snowflake, desempeñan un papel cada vez más importante en el ecosistema del cibercrimen. Como facilitadores del robo de credenciales y la elusión de MFA, podrían ser la primera etapa de un devastador ataque de extorsión y violación de datos. Es hora de desempolvar esas mejores prácticas de ciberseguridad.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster