Los infostealers son tipos de malware diseñados para robar información sensible de manera sigilosa, sin dejar rastro.
Los infostealers son tipos de malware diseñados para robar información sensible de manera sigilosa, sin dejar rastro.
Seguridad

Robos de información sensible: ¿Cuáles son los 6 infostealers que más afectaron Latinoamérica en 2025?

ESET presenta su análisis de las familias de infostealers, malware que roba datos privados como información financiera y credenciales de accesos, más detectadas en Latinoamérica durante la primera mitad de 2025.

Photo of Maxi Fanelli Maxi Fanelli Send an email julio 4, 2025
5 minutos de lectura

En los últimos años, los infostealers, malware especializado en el robo de información sensible como credenciales y datos financieros, se han consolidado como una de las amenazas más persistentes y lucrativas. Este malware tuvo un aumento significativo en su actividad, especialmente en países como Brasil, México y Argentina. ESET, compañía líder en detección proactiva de amenazas, analiza la situación en Latinoamérica y repasa las familias de infostealers más detectadas durante la primera mitad de 2025.

Los infostealers son tipos de malware diseñados para robar información sensible de manera sigilosa, sin dejar rastro. Una vez que se infiltran en un sistema o red corporativa, capturan cualquier pieza de información que pueda ser útil para comprometer cuentas, escalar privilegios, facilitar otro ciberataque o comerciarla en mercados clandestinos. El mismo infostealer empaqueta la información robada y la envía a los servidores de los ciberatacantes, o a cuentas de mensajería instantánea con gran poder de anonimato como Discord o Telegram.

“La actividad de infostealers en América Latina no solo creció en volumen, sino también en diversidad. Algunas familias tienen años de presencia sostenida, otras surgieron recientemente y ganaron protagonismo por su velocidad de evolución o por su integración con otros componentes maliciosos. Desde troyanos bancarios, como Amavaldo o Guildma –con gran actividad en Brasil– hasta RATs avanzados utilizados en ciberataques de gran calibre como Agent Tesla, se destacan por operar de manera sigilosa, facilitando rápidamente la monetización de la información robada”, dicta Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.

Publicaciones relacionadas

ESET repasa las familias más detectadas en Latinoamérica durante la primera mitad de 2025 y destaca las 6 principales: LummaStealer, Amadey, Rozena, Guildma, Formbook y Xloader. Abajo sus perfiles:

LummaStealer

Es una amenaza surgida alrededor del 2022 que evolucionó rápidamente bajo el modelo Malware-As-A-Service. Además de ser el infostealer más detectado por los sistemas de ESET –con más de 4000 detecciones únicas solamente en 2025 en la región–, es de los stealers más vendidos en los mercados clandestinos.

Al ser vendido como un “producto”, los posibles métodos de acceso inicial son altamente diversos. Su distribución suele ser a través de falsos instaladores de aplicaciones descargadas de sitios fraudulentos, malvertising, redes sociales y correos electrónicos infectados. En campañas más complejas también se utilizó como payload final en equipos corporativos mediante loaders personalizados.

En la región, este código malicioso ha tenido alta actividad en México, Brasil y Argentina, participando en campañas contra empresas de todo tamaño. Durante mayo de 2025, ESET participó en la operación global de disrupción de este malware, procesando muestras para extraer elementos como los servidores.

Lo que lo hace atractivo para los cibercriminales es su arquitectura modular, con un estilo plug-and-play, contiene un núcleo “base” con funciones esenciales, como la persistencia o comunicación con el servidor C&C, y luego módulos adicionales que se pueden agregar o quitar según la necesidad del actor malicioso.

Entre los módulos más utilizados encontramos el keylogger, la exfiltración vía FTP, la ejecución de comandos remotos y más. Estos módulos pueden descargarse dinámicamente, activarse bajo ciertas condiciones o incluso cambiarse sin tener que recompilar toda la amenaza.

Amadey

Una amenaza activa desde al menos 2018 que sigue siendo relevante en 2025 por su capacidad de cumplir un doble rol: funciona tanto como infostealer básico como también loader de otras amenazas más destructivas. Con casi 2500 detecciones únicas en la región, es muy importante en el ecosistema del malware.

Funciona como eslabón clave en cadenas de infección multi-etapa, siendo útil como paso intermedio. Durante 2025 actuó con frecuencia como “puerta de entrada” en campañas donde luego se descargan familias de ransomware o troyanos bancarios, aprovechando su ligereza y bajo nivel de detección.

Su distribución suele estar vinculada al malspam: correos electrónicos con señuelos tipo factura, multa o aviso bancario, para inducir a descargar un adjunto malicioso o hacer clic en enlaces infectados. También aparece como payload secundario, descargado por otros troyanos.

Rozena

Una amenaza activa desde al menos 2015, que combina funciones de infostealer y backdoor. Se destaca por su versatilidad y por su uso en campañas localizadas. Su distribución se da principalmente a través de archivos “benignos” vía phishing, como documentos maliciosos de Office (con macros o exploits) o ejecutables falsos.

Entre sus capacidades se incluye el robo de información sensible, credenciales, datos del sistema, y la posibilidad de establecer shells inversas utilizando PowerShell, lo que permite control remoto del sistema comprometido.

Uno de los aspectos más relevantes es su comportamiento file-less, lo que implica que el código malicioso puede ejecutarse directamente en memoria, a través de macros, scripts o shellcode inyectado. Este enfoque reduce la huella en el sistema y prioriza el sigilo y la persistencia.

Guildma

Forma parte del ecosistema de troyanos bancarios originados en Brasil. Es una de las amenazas más representativas del malware financiero en América Latina, con campañas dirigidas a casi todos los países de la región.

A nivel funcional, Guildma captura credenciales, monitoriza el teclado, toma capturas de pantalla y puede interferir con sesiones bancarias en tiempo real. Su objetivo es robar información financiera y simular clics, adaptándose a interfaces bancarias locales.

Su distribución es a través de campañas masivas por correo electrónico, con señuelos como multas, facturas o mensajes diseñados para despertar curiosidad. Suelen incluir archivos adjuntos maliciosos o enlaces peligrosos.

Formbook y Xloader

Ambos han sido detectados en campañas contra usuarios particulares y organizaciones, mediante malspam con archivos adjuntos ofuscados o enlaces a descargas directas. Su bajo perfil y facilidad de uso los hacen vigentes para atacantes menos sofisticados.

Formbook es una familia activa desde 2016, con fuerte presencia global. Distribuido como malware-as-a-service en foros clandestinos, es liviano, accesible y eficaz, ideal para atacantes que compran y venden amenazas. Se distribuye principalmente por correos con adjuntos.

Su enfoque es el robo de credenciales, a través de formularios web, keylogging, exfiltración de datos de navegadores y correos, capturas de pantalla y recolección de detalles del sistema.

XLoader es su evolución directa, con funcionalidades mejoradas, distribución ampliada a macOS, mejores técnicas de persistencia y anti-defensas. Comercializado como sucesor robusto, tiene fuerte presencia en campañas de correos maliciosos y documentos infectados.

“La evolución y proliferación de los infostealers reflejan el panorama global de amenazas, cada vez más sofisticado y con alta capacidad de adaptación. Su operación bajo modelos como Malware-as-a-Service (MaaS) los convierte en un riesgo constante para usuarios y empresas. Este riesgo se amplifica cuando se usan como vectores iniciales en ataques más complejos –como ransomware o espionaje corporativo–. Ante este escenario, se vuelve cada vez más evidente la necesidad de detección proactiva, inteligencia de amenazas y respuesta coordinada.”, concluye Martina López, de ESET Latinoamérica.

Leer más

Microsoft inicia reestructuración en 2025 con 9.000 despidos a nivel mundial

Epson celebra el 50º aniversario de la marca Epson

Samsung lanza monitores 3D sin gafas y televisores con IA

Autor

  • Maxi Fanelli

    Periodista especializado en tecnologías y responsable de contenidos comerciales en ITSitio y en la Comunidad de Gaming. Editor de Overcluster. Anteriormente, trabajé en medios de IT; y como colaborador en Clarín, TN Tecno, Crónica TV y PC Users. Lic. Comunicación Social y Periodismo en la UNLP.

    Ver todas las entradas

Etiquetas
Photo of Maxi Fanelli Maxi Fanelli Send an email julio 4, 2025
5 minutos de lectura
[mdx-adserve-bstreet region="MED"]
Photo of Maxi Fanelli

Maxi Fanelli

Periodista especializado en tecnologías y responsable de contenidos comerciales en ITSitio y en la Comunidad de Gaming. Editor de Overcluster. Anteriormente, trabajé en medios de IT; y como colaborador en Clarín, TN Tecno, Crónica TV y PC Users. Lic. Comunicación Social y Periodismo en la UNLP.

Publicaciones relacionadas

Esta muestra marca el inicio de una nueva generación de malware que apunta directamente a vulnerabilidades en sistemas de IA.

SparkKitty: cómo funciona el troyano espía que logró infiltrarse en App Store y Google Play

El ransomware avanza y pone en riesgo a empresas de todo el mundo.

SafePay irrumpe con fuerza en 2025 y expone fallas críticas

Qué es Xanthorox AI y por qué es la nueva amenaza más temida en ciberseguridad

Qué es Xanthorox AI y por qué es la nueva amenaza más temida en ciberseguridad

América Latina registró ataques a uno de cada cinco computadores ICS durante el primer trimestre de 2025, apenas por debajo del promedio global.

Kaspersky: Uno de cada cinco sistemas industriales en América Latina fue blanco de malware en 2025

[mdx-adserve-bstreet region="BOTTOM"]
Botón volver arriba