En los últimos meses se ha detectado un repunte preocupante de infecciones relacionadas con LummaStealer, una plataforma de robo de información que funciona como malware‑as‑a‑service (MaaS). Aunque fue desarticulada parcialmente en una operación coordinada en mayo de 2025 que tumbó miles de dominios y su infraestructura de control, la actividad no desapareció: los operadores volvieron a poner en marcha operaciones a partir de julio y desde finales de 2025 a enero de 2026 la campaña ha escalado de forma notable.
LummaStealer no es un simple virus aislado, sino un servicio criminal que facilita el acceso a datos altamente sensibles. Entre lo que busca se cuentan nombres de usuario y contraseñas guardadas en navegadores, cookies de sesión, tokens de autenticación, configuraciones de VPN, detalles de carteras de criptomonedas y documentos almacenados en el equipo. Esa amplitud de objetivos lo convierte en una amenaza particularmente peligrosa para usuarios y empresas por igual.
Lo que ha cambiado en esta oleada es el papel de CastleLoader, un cargador de malware que ha emergido como elemento central en muchas cadenas de infección. Investigadores de Bitdefender han descrito cómo CastleLoader actúa como una “plataforma de distribución”: descifra y carga el código malicioso totalmente en memoria, usa múltiples capas de ofuscación y puede comunicarse de forma flexible con servidores de mando y control, lo que lo hace ideal para propagar familias variadas de info‑stealers y troyanos de acceso remoto. Para el análisis completo de los hallazgos de Bitdefender puede consultarse su informe técnico: Bitdefender Labs: LummaStealer y CastleLoader.
En lo técnico, CastleLoader suele aparecer como scripts ofuscados escritos en AutoIt o Python que desencriptan y ejecutan la carga maliciosa en memoria. Emplea renombrado con diccionarios, cadenas codificadas que se decodifican en tiempo de ejecución, montón de código inútil y operaciones aritméticas que solo sirven para confundir a analistas y herramientas automáticas. Además, antes de lanzar el robo de información realiza comprobaciones del entorno para saber si está siendo analizado en un laboratorio de seguridad y adapta sus rutas de instalación según los productos de seguridad detectados en la máquina víctima.
La persistencia se consigue mediante una receta sencilla pero efectiva: el script malicioso se copia a una ruta establecida, el intérprete (por ejemplo AutoIt) se coloca en otra ubicación y se crea un acceso directo de Internet en la carpeta de inicio para ejecutar el intérprete con el script como argumento, de modo que la carga queda activa tras reinicios. Entre los indicadores de comportamiento que han identificado los investigadores aparece una conducta llamativa: CastleLoader provoca deliberadamente una consulta DNS a un dominio inexistente, forzando un fallo que deja artefactos de red detectables —un punto que los equipos de defensa pueden usar para identificar actividad sospechosa en la red.
La propagación de LummaStealer no se limita a un único método. Los operadores usan instaladores troceados o “troyanizados”, versiones piratas de software distribuidas en sitios falsos o torrents, y archivos de juegos o multimedia engañosos. Un vector de ingeniería social que ha resultado especialmente efectivo se conoce como ClickFix: la víctima ve una página que imita un CAPTCHA o una verificación, recibe instrucciones detalladas para pegar y ejecutar un comando en PowerShell y ese comando ya ha sido colocado en su portapapeles. Al pegarlo, la máquina descarga y ejecuta un script remoto; muchas veces el primer componente que entra es CastleLoader, que a su vez recupera LummaStealer. Bitdefender documenta este modus operandi en su informe y lo califica como uno de los vectores más potentes de la campaña.
La relación entre CastleLoader y LummaStealer ya había sido apuntada con anterioridad por otros equipos de inteligencia. Por ejemplo, la Insikt Group de Recorded Future documentó cómo una de las piezas de la infraestructura usada por CastleLoader había actuado como servidor de mando y control para LummaStealer, lo que confirma la conexión operativa entre ambos proyectos maliciosos. Para profundizar en esa investigación puede consultarse el análisis de Recorded Future: Recorded Future — Insikt Group.
Ante este escenario, la prevención y la detección temprana son claves. En el plano personal conviene evitar descargar ejecutables desde fuentes no verificadas y huir de software pirateado o herramientas “crackeadas”, que son caldo de cultivo habitual para este tipo de infecciones. Si una web pide ejecutar un comando en PowerShell o en consola como parte de una “verificación”, eso debe ser tomado como una señal de alarma: nunca se debe pegar y ejecutar código del portapapeles si no se entiende exactamente qué hace. Para empresas y administradores, además de la educación de usuarios, es imprescindible contar con soluciones de endpoint y detección de comportamiento que observen ejecuciones en memoria, anomalías en DNS y persistencias inusuales, así como aplicar controles de filtrado de descargas y segmentación de red.
La lección más amplia es que el ecosistema del cibercrimen es resiliente. Las interrupciones por parte de las fuerzas del orden y la industria pueden ralentizar o desarticular infraestructuras, pero los desarrolladores de malware y los vendedores de servicios ilícitos se adaptan con nuevas piezas y técnicas —como CastleLoader y ClickFix— para volver a poner en marcha la maquinaria. Por eso la respuesta tiene que ser igualmente multifacética: combinación de inteligencia sobre amenazas compartida, herramientas de detección avanzadas y, no menos importante, formación continua para que los usuarios reconozcan engaños y no ejecuten comandos que comprometan su equipo.
Si quieres leer los análisis técnicos y obtener indicadores para la defensa, los informes de Bitdefender y Recorded Future citados arriba son un buen punto de partida. Mantener el software actualizado, aplicar autenticación multifactor en las cuentas críticas, usar gestores de contraseñas y revisar registros de red en busca de patrones atípicos (por ejemplo, consultas DNS fallidas a dominios inexistentes) son medidas concretas que reducen mucho el riesgo frente a estas campañas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...