Una operación internacional deja inactiva la infraestructura de Lumma Stealer, uno de los ladrones de datos más peligrosos
La red de Lumma Stealer ha sido durante más de dos años uno de los malware más activos en el robo de datos a nivel global. Operaba como un servicio por suscripción, ofreciendo distintos niveles a sus afiliados, con precios entre 250 y 1.000 dólares.
Sus víctimas recibían el malware a través de campañas de phishing, software crackeado y herramientas de instalación automatizadas. Aunque no empleaba técnicas avanzadas de ocultación, evitaba eficazmente su detección.
Evolución de la red y alcance masivo en el robo de datos
Cada semana surgían nuevas variantes. Entre junio de 2024 y mayo de 2025, ESET identificó más de 3.300 dominios únicos de mando y control (C&C) asociados a Lumma Stealer. La infraestructura del malware crecía sin pausa, con un promedio de 74 nuevos dominios por semana.
El código se actualizaba continuamente, incorporando mejoras en cifrado, protocolos de red y técnicas de evasión. Esta evolución constante lo convirtió en un referente dentro del ecosistema del cibercrimen organizado.
España, entre los países más afectados
España fue el segundo país más atacado por Lumma Stealer, con el 5,42 % de las detecciones globales, solo por detrás de México. También resultaron gravemente afectados Estados Unidos, Polonia y Ecuador.
Las credenciales robadas en estos ataques alimentaban redes de ciberdelincuencia más amplias, incluidas las dedicadas al ransomware o ‘secuestro de datos’. Los expertos recuerdan que este tipo de malware suele ser la antesala de amenazas mayores.
Un golpe al cibercrimen
La operación internacional se centró en desactivar los servidores de mando y control del malware, gracias a una orden judicial en EE. UU. Microsoft coordinó la incautación de dominios y el Departamento de Justicia norteamericano actuó contra los canales de afiliados.
Europol y el Centro de Control de Ciberdelincuencia de Japón ayudaron a suspender dominios alojados en Europa y Asia. Empresas como ESET, BitSight, Cloudflare y GMO Registry también formaron parte de la operación.
Seguimiento, análisis y colaboración global
ESET procesó decenas de miles de muestras del malware, identificando servidores, grupos de afiliados y patrones de actualización. Esta información permitió monitorizar el crecimiento y comportamiento de la red con precisión.
Aunque la infraestructura principal ha quedado inactiva, los investigadores no descartan rebrotes o nuevas variantes. ESET mantiene su vigilancia activa y llama a reforzar la ciberseguridad, especialmente en regiones altamente atacadas como España.
