{"id":178293,"date":"2025-10-03T12:12:16","date_gmt":"2025-10-03T15:12:16","guid":{"rendered":"https:\/\/nuevoitsitio1.wpenginepowered.com\/co\/sin-categoria\/snakestealer-el-infostealer-que-lidera-el-robo-de-contrasenas-en-2025\/"},"modified":"2025-11-21T21:22:06","modified_gmt":"2025-11-22T00:22:06","slug":"snakestealer-el-infostealer-que-lidera-el-robo-de-contrasenas-en-2025","status":"publish","type":"post","link":"https:\/\/www.itsitio.com\/co\/seguridad\/snakestealer-el-infostealer-que-lidera-el-robo-de-contrasenas-en-2025\/","title":{"rendered":"Snakestealer: el infostealer que lidera el robo de contrase\u00f1as en 2025"},"content":{"rendered":"<p>Los infostealers son un tipo de c\u00f3digo malicioso que buscan robar informaci\u00f3n de manera silenciosa y que se convirtieron en una herramienta altamente utilizada por los ciberatacantes. Desde el laboratorio de <a href=\"https:\/\/www.eset.com\/latam\/\" target=\"_blank\" rel=\"noopener\">ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, se identificaron m\u00faltiples campa\u00f1as que tienen como carga \u00fatil (payload) final un infostealer.\u00a0Dentro de las identificadas <a href=\"https:\/\/www.welivesecurity.com\/es\/investigaciones\/xml-convierte-en-dropper-apunta-colombia\/\" target=\"_blank\" rel=\"noopener\">AsyncRAT es la m\u00e1s frecuente<\/a>, pero\u00a0tambi\u00e9n se utilizan familias como HoudRAT, Agent Tesla, LummaStealer o FormBook. Sin embargo, y seg\u00fan el\u00a0<a href=\"https:\/\/web-assets.esetstatic.com\/wls\/en\/papers\/threat-reports\/eset-threat-report-h12025.pdf\" target=\"_blank\" rel=\"noopener\">ESET Threat Report H12025<\/a>, SnakeStealer es la familia que mayor detecci\u00f3n ha tenido en lo que va del 2025.<\/p>\n<p>Esta familia hizo sus primeras apariciones en 2019. En sus primeras versiones utilizaba la plataforma Discord para alojar el stealer, que se descargaba luego de que la v\u00edctima interactuase con un archivo adjunto a un correo de phishing. Un factor en com\u00fan en todos los a\u00f1os de vida de SnakeStealer es su modelo de negocio, basado en lo que se conoce como malware-as-a-service (MaaS) en el que los atacantes alquilan o venden el acceso a malware listo para usar, similar a un software comercial, pero en el mercado negro. Esto facilita que incluso personas con pocos conocimientos t\u00e9cnicos puedan lanzar campa\u00f1as maliciosas aprovechando la infraestructura y soporte de desarrolladores especializados.<\/p>\n<p><em>\u201cSnakeStealer volvi\u00f3 a ganar popularidad en el ambiente cibercriminal, y no por casualidad: tras la ca\u00edda de Agent Tesla, otro infostealer popular, sus propios operadores recomendaron a SnakeStealer como reemplazo en los canales de Telegram donde lo ofrec\u00edan como MaaS. Esto podr\u00eda explicar por qu\u00e9 SnakeStealer pas\u00f3 a ocupar el primer puesto en las detecciones de infostealers de manera tan r\u00e1pida, siendo responsable de 1\/5 de las mismas a nivel mundial, seg\u00fan la telemetr\u00eda de ESET.\u201d, <\/em>comenta <strong>Martina Lopez, Investigadora de Seguridad Inform\u00e1tica de ESET Latinoam\u00e9rica.<\/strong><\/p>\n<p>Durante 2020 y 2021 este c\u00f3digo malicioso\u00a0<a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.404keylogger\" target=\"_blank\" rel=\"noopener\">vio su pico en cuanto a campa\u00f1as<\/a> desplegadas asociadas a \u00e9l, pero, seg\u00fan ESET, sin ning\u00fan tipo de preferencia aparente con respecto a su geograf\u00eda.<\/p>\n<figure id=\"attachment_178295\" aria-describedby=\"caption-attachment-178295\" style=\"width: 1200px\" class=\"wp-caption alignnone\"><img fetchpriority=\"high\" decoding=\"async\" class=\"wp-image-178295\" src=\"https:\/\/www.itsitio.com\/co\/wp-content\/uploads\/sites\/5\/2025\/10\/Grafico-ESET.webp\" alt=\"Hashes relacionadas con SnakeStealer, reportados por a\u00f1o. Fuente: MalwareBazaar.\" width=\"1200\" height=\"709\" srcset=\"https:\/\/www.itsitio.com\/co\/wp-content\/uploads\/sites\/4\/2025\/10\/Grafico-ESET.webp 960w, https:\/\/www.itsitio.com\/co\/wp-content\/uploads\/sites\/4\/2025\/10\/Grafico-ESET-300x177.webp 300w, https:\/\/www.itsitio.com\/co\/wp-content\/uploads\/sites\/4\/2025\/10\/Grafico-ESET-768x454.webp 768w\" sizes=\"(max-width: 1200px) 100vw, 1200px\" \/><figcaption id=\"caption-attachment-178295\" class=\"wp-caption-text\">Hashes relacionadas con SnakeStealer, reportados por a\u00f1o. Fuente: MalwareBazaar.<\/figcaption><\/figure>\n<p>Con el correr de los a\u00f1os, la forma en la que el payload llegaba a la v\u00edctima se fue diversificando, aunque el primer contacto se sigue dando mayormente mediante un adjunto v\u00eda phishing: desde el mismo payload comprimido con contrase\u00f1a, pasando por archivos de tipo menos usuales (como RTF o ISO) como downloaders, o incluso empaquetado con otras amenazas. Desde ESET comentan que existen algunos casos reportados de SnakeStealer camuflado bajo cracks o aplicaciones falsas en la web, aunque parecen ser ocasiones espor\u00e1dicas.<\/p>\n<h2><span style=\"color: #333399;\">Las capacidades m\u00e1s utilizadas por SnakeStealer:<\/span><\/h2>\n<ul>\n<li>Funcionalidades evasivas, como matar procesos asociados con herramientas de seguridad, de an\u00e1lisis de malware o debuggers en el equipo v\u00edctima, as\u00ed como verificaciones de hardware para descartar el uso de una m\u00e1quina virtual.<\/li>\n<li>Persistencia mediante la modificaci\u00f3n de registros de arranque de Windows.<\/li>\n<li>Robo de credenciales almacenadas en navegadores, bases de datos, clientes de correo o chat (como Discord) y de redes WiFi.<\/li>\n<li>Captura del portapapeles y keylogging.<\/li>\n<li>Toma de capturas de pantalla.<\/li>\n<\/ul>\n<p>En cuanto a los mecanismos de exfiltraci\u00f3n, el malware ofrece al atacante una variedad de m\u00e9todos como la carga a un servidor usando el protocolo FTP, la publicaci\u00f3n a un canal de Telegram mediante HTTP, o el env\u00edo de la informaci\u00f3n comprimida en un adjunto mediante correo electr\u00f3nico.<\/p>\n<h2><span style=\"color: #333399;\">Buenas pr\u00e1cticas para reducir el riesgo de infecci\u00f3n:<\/span><\/h2>\n<ul>\n<li>Mantener el sistema operativo y las aplicaciones actualizadas.<\/li>\n<li>Utilizar <a href=\"https:\/\/www.eset.com\/latam\/hogar\/\" target=\"_blank\" rel=\"noopener\">software de seguridad<\/a> tanto en computadoras como dispositivos m\u00f3viles.<\/li>\n<li>Desconfiar de adjuntos y enlaces en correos o mensajes no solicitados. Si provienen de alguna entidad o marca reconocida, contactarnos mediante alg\u00fan medio oficial para determinar la veracidad del mensaje.<\/li>\n<li>Activar la autenticaci\u00f3n multifactor (MFA) en servicios y programas que lo permitan, para evitar un acceso indebido en caso de que nuestra contrase\u00f1a sea robada.<\/li>\n<li>En caso de sospecha de infecci\u00f3n, cambiar todas las contrase\u00f1as desde otro dispositivo, revocar sesiones ya abiertas y mantenerse alerta ante movimientos sospechosos en cuentas.<\/li>\n<\/ul>\n<p>Para saber m\u00e1s sobre seguridad inform\u00e1tica visite el portal corporativo de ESET: <a href=\"https:\/\/www.welivesecurity.com\/es\/malware\/snake-stealer-robo-contrasenas-infostealer\/\" target=\"_blank\" rel=\"noopener\">https:\/\/www.welivesecurity.com\/es\/malware\/snake-stealer-robo-contrasenas-infostealer\/<\/a><\/p>\n<p>Por otro lado, ESET invita a conocer <strong><a href=\"https:\/\/www.eset.com\/latam\/podcast\/\" target=\"_blank\" rel=\"noopener\">Conexi\u00f3n Segura<\/a><\/strong>, su podcast para saber qu\u00e9 est\u00e1 ocurriendo en el mundo de la seguridad inform\u00e1tica. Para escucharlo ingrese a: <a href=\"https:\/\/open.spotify.com\/show\/0Q32tisjNy7eCYwUNHphcw\" target=\"_blank\" rel=\"noopener\">https:\/\/open.spotify.com\/show\/0Q32tisjNy7eCYwUNHphcw<\/a><\/p>\n<h3><span style=\"color: #333399;\">Leer mas<\/span><\/h3>\n<ul>\n<li class=\"post-title entry-title\"><a href=\"https:\/\/www.itsitio.com\/co\/seguridad\/eset-advierte-por-pdfs-maliciosos-que-circulan-en-latinoamerica\/\">ESET advierte por PDFs maliciosos que circulan en Latinoam\u00e9rica<\/a><\/li>\n<li class=\"post-title entry-title\"><a href=\"https:\/\/www.itsitio.com\/co\/seguridad\/ghostredirector-eset-descubre-un-nuevo-grupo-de-amenazas-chino\/\">GhostRedirector: ESET descubre un nuevo grupo de amenazas chino<\/a><\/li>\n<li class=\"post-title entry-title\"><a href=\"https:\/\/www.itsitio.com\/co\/seguridad\/eset-descubre-un-nuevo-actor-de-amenazas-que-abusa-de-servicios-como-dropbox-onedrive-y-github\/\">ESET descubre un nuevo actor de amenazas que abusa de servicios como Dropbox, OneDrive y GitHub<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Los infostealers son un tipo de c&oacute;digo malicioso que buscan robar informaci&oacute;n de manera silenciosa y que se convirtieron en una herramienta altamente utilizada por los ciberatacantes. Desde el laboratorio de ESET, compa&ntilde;&iacute;a l&iacute;der en detecci&oacute;n proactiva de amenazas, se identificaron m&uacute;ltiples campa&ntilde;as que tienen como carga &uacute;til (payload) final un infostealer.&nbsp;Dentro de las identificadas AsyncRAT es la m&aacute;s frecuente, pero&nbsp;tambi&eacute;n se utilizan familias como HoudRAT, Agent Tesla, LummaStealer o FormBook. Sin embargo, y seg&uacute;n el&nbsp;ESET Threat Report H12025, SnakeStealer es la familia que mayor detecci&oacute;n ha tenido en lo que va del 2025. Esta familia hizo sus primeras apariciones en 2019. En sus primeras versiones utilizaba la plataforma Discord para alojar el stealer, que se descargaba luego de que la v&iacute;ctima interactuase con un archivo adjunto a un correo de phishing. Un factor en com&uacute;n en todos los a&ntilde;os de vida de SnakeStealer es su modelo de negocio, basado en lo que se conoce como malware-as-a-service (MaaS) en el que los atacantes alquilan o venden el acceso a malware listo para usar, similar a un software comercial, pero en el mercado negro. Esto facilita que incluso personas con pocos conocimientos t&eacute;cnicos puedan lanzar campa&ntilde;as maliciosas aprovechando la infraestructura y soporte de desarrolladores especializados. &ldquo;SnakeStealer volvi&oacute; a ganar popularidad en el ambiente cibercriminal, y no por casualidad: tras la ca&iacute;da de Agent Tesla, otro infostealer popular, sus propios operadores recomendaron a SnakeStealer como reemplazo en los canales de Telegram donde lo ofrec&iacute;an como MaaS. Esto podr&iacute;a explicar por qu&eacute; SnakeStealer pas&oacute; a ocupar el primer puesto en las detecciones de infostealers de manera tan r&aacute;pida, siendo responsable de 1\/5 de las mismas a nivel mundial, seg&uacute;n la telemetr&iacute;a de ESET.&rdquo;, comenta Martina Lopez, Investigadora de Seguridad Inform&aacute;tica de ESET Latinoam&eacute;rica. Durante 2020 y 2021 este c&oacute;digo malicioso&nbsp;vio su pico en cuanto a campa&ntilde;as desplegadas asociadas a &eacute;l, pero, seg&uacute;n ESET, sin ning&uacute;n tipo de preferencia aparente con respecto a su geograf&iacute;a. Con el correr de los a&ntilde;os, la forma en la que el payload llegaba a la v&iacute;ctima se fue diversificando, aunque el primer contacto se sigue dando mayormente mediante un adjunto v&iacute;a phishing: desde el mismo payload comprimido con contrase&ntilde;a, pasando por archivos de tipo menos usuales (como RTF o ISO) como downloaders, o incluso empaquetado con otras amenazas. Desde ESET comentan que existen algunos casos reportados de SnakeStealer camuflado bajo cracks o aplicaciones falsas en la web, aunque parecen ser ocasiones espor&aacute;dicas. Las capacidades m&aacute;s utilizadas por SnakeStealer: Funcionalidades evasivas, como matar procesos asociados con herramientas de seguridad, de an&aacute;lisis de malware o debuggers en el equipo v&iacute;ctima, as&iacute; como verificaciones de hardware para descartar el uso de una m&aacute;quina virtual. Persistencia mediante la modificaci&oacute;n de registros de arranque de Windows. Robo de credenciales almacenadas en navegadores, bases de datos, clientes de correo o chat (como Discord) y de redes WiFi. Captura del portapapeles y keylogging. Toma de capturas de pantalla. En cuanto a los mecanismos de exfiltraci&oacute;n, el malware ofrece al atacante una variedad de m&eacute;todos como la carga a un servidor usando el protocolo FTP, la publicaci&oacute;n a un canal de Telegram mediante HTTP, o el env&iacute;o de la informaci&oacute;n comprimida en un adjunto mediante correo electr&oacute;nico. Buenas pr&aacute;cticas para reducir el riesgo de infecci&oacute;n: Mantener el sistema operativo y las aplicaciones actualizadas. Utilizar software de seguridad tanto en computadoras como dispositivos m&oacute;viles. Desconfiar de adjuntos y enlaces en correos o mensajes no solicitados. Si provienen de alguna entidad o marca reconocida, contactarnos mediante alg&uacute;n medio oficial para determinar la veracidad del mensaje. Activar la autenticaci&oacute;n multifactor (MFA) en servicios y programas que lo permitan, para evitar un acceso indebido en caso de que nuestra contrase&ntilde;a sea robada. En caso de sospecha de infecci&oacute;n, cambiar todas las contrase&ntilde;as desde otro dispositivo, revocar sesiones ya abiertas y mantenerse alerta ante movimientos sospechosos en cuentas. Para saber m&aacute;s sobre seguridad inform&aacute;tica visite el portal corporativo de ESET: https:\/\/www.welivesecurity.com\/es\/malware\/snake-stealer-robo-contrasenas-infostealer\/ Por otro lado, ESET invita a conocer Conexi&oacute;n Segura, su podcast para saber qu&eacute; est&aacute; ocurriendo en el mundo de la seguridad inform&aacute;tica. Para escucharlo ingrese a: https:\/\/open.spotify.com\/show\/0Q32tisjNy7eCYwUNHphcw Leer mas ESET advierte por PDFs maliciosos que circulan en Latinoam&eacute;rica GhostRedirector: ESET descubre un nuevo grupo de amenazas chino ESET descubre un nuevo actor de amenazas que abusa de servicios como Dropbox, OneDrive y GitHub<\/p>\n","protected":false},"author":229,"featured_media":175277,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[20],"tags":[21],"class_list":["post-178293","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","tag-eset"],"_links":{"self":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/posts\/178293","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/users\/229"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/comments?post=178293"}],"version-history":[{"count":0,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/posts\/178293\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/media\/175277"}],"wp:attachment":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/media?parent=178293"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/categories?post=178293"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/tags?post=178293"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}