Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • AI Data Pipelines
      Canalización de datos de seguridad para AI SIEM y optimización de datos
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for ¿Qué es un Infostealer? Cómo funciona el malware de robo de credenciales
Cybersecurity 101/Ciberseguridad/Infostealer

¿Qué es un Infostealer? Cómo funciona el malware de robo de credenciales

Los infostealers extraen de forma silenciosa contraseñas, cookies de sesión y datos del navegador de sistemas infectados. Las credenciales robadas alimentan el ransomware, la toma de cuentas y el fraude.

CS-101_Cybersecurity.svg
Tabla de contenidos
¿Qué es un Infostealer?
Componentes principales de un Infostealer
Cómo funcionan los Infostealers
Por qué los Infostealers son difíciles de detener
Tipos de datos robados por Infostealers
Principales familias de Infostealers
Infostealers para Windows
Infostealers para macOS
La cadena Infostealer–Ransomware
Por qué los Infostealers evaden las defensas tradicionales
Cómo detectar una infección de Infostealer
Errores comunes al defenderse de Infostealers
Mejores prácticas para defenderse de Infostealers
Puntos clave

Entradas relacionadas

  • ¿Qué es Secure Web Gateway (SWG)? Defensa de red explicada
  • ¿Qué es la inyección de comandos del sistema operativo? Explotación, impacto y defensa
  • Estadísticas de malware
  • Estadísticas de filtraciones de datos
Autor: SentinelOne
Actualizado: May 7, 2026

¿Qué es un Infostealer?

Un portátil de un contratista comprometido sin protección de endpoint expuso credenciales a una plataforma de datos en la nube, y los atacantes nunca necesitaron descifrar una sola contraseña. Ese es el problema de los infostealers en una sola frase.

Un infostealer es una categoría de malware diseñada para extraer de manera encubierta datos sensibles de sistemas infectados, incluyendo contraseñas guardadas, cookies de sesión, archivos de monederos de criptomonedas y datos de autocompletado del navegador. Un infostealer opera en silencio: se ejecuta, recopila, exfiltra y sale rápidamente. Los datos robados se compilan en archivos estructurados llamados stealer logs, que luego se venden en mercados clandestinos donde otros delincuentes los compran para lanzar ataques posteriores.

El informe de ENISA describe los infostealers como "un eslabón sólido y prevalente en la cadena de suministro cibercriminal", facilitando principalmente el robo de credenciales, secuestro de sesiones y corretaje de acceso. Las credenciales robadas se convierten en acceso inicial para operadores de ransomware, campañas de compromiso de correo electrónico empresarial y fraudes de toma de control de cuentas. Para usted, eso significa que un incidente de infostealer requiere invalidación de sesiones, rotación de credenciales y protección de endpoint basada en comportamiento, no solo limpieza de malware.

Los infostealers se sitúan en la intersección de la seguridad de identidad y la protección de endpoint. Apuntan a las credenciales que sus usuarios almacenan en los navegadores, los tokens de sesión que prueban que se completó MFA y las claves API que los desarrolladores dejan en archivos locales. El DBIR de Verizon conecta el abuso de credenciales con el acceso inicial y señala la superposición entre víctimas de ransomware y volcados de credenciales de infostealers.

Para su SOC, un hallazgo de infostealer cambia el modelo de amenaza de inmediato. No es un incidente contenido en el endpoint. Es un precursor de toma de control de cuentas, movimiento lateral y potencialmente despliegue de ransomware por un actor completamente diferente. Comprender qué lo hace posible comienza por cómo se construyen los infostealers.

Componentes principales de un Infostealer

Los infostealers modernos comparten una arquitectura consistente basada en cinco componentes funcionales:

  1. Mecanismo de entrega: Correos de phishing, campañas de malvertising, software troyanizado y ataques ClickFix/CAPTCHA falsos que engañan a los usuarios para ejecutar comandos mediante Windows Run o PowerShell. Las campañas de Lumma Stealer, por ejemplo, utilizan páginas de CAPTCHA falsas que instruyen a las víctimas a copiar y ejecutar comandos a través del cuadro de diálogo Ejecutar de Windows.
  2. Módulos de recolección de credenciales: La extracción de credenciales del navegador apunta a la base de datos SQLite Login Data en navegadores Chromium, descifrando contraseñas mediante AES-GCM o el DPAPI de Windows. Los infostealers también recolectan credenciales de gestores de contraseñas, clientes de correo electrónico, configuraciones de VPN y monederos de criptomonedas.
  3. Robo de tokens de sesión: La recopilación de cookies y tokens de sesión permite a los atacantes autenticarse como usted sin necesitar su contraseña o el código de MFA. La cookie robada representa la prueba de que MFA ya se completó, eludiéndolo por completo.
  4. Preparación y exfiltración de datos: Los datos robados se empaquetan en registros estructurados y se transmiten a servidores C2 controlados por el atacante, bots de Telegram o servicios de almacenamiento en la nube como Dropbox. El informe de SentinelLabs documenta la infraestructura de Telegram utilizada para acelerar la exfiltración y agilizar el proceso de venta.
  5. Anti-análisis y evasión: Identificación de VM/sandbox, ejecución sin archivos desde memoria, inyección de procesos y relleno de archivos diseñado para hacer fallar herramientas de análisis. Estas técnicas se corresponden directamente con MITRE ATT&CK T1027 (Archivos o información ofuscados).

Toda la operación funciona bajo un modelo de negocio de Malware como Servicio (MaaS). Los desarrolladores mantienen paneles web, generadores de payloads y canales de soporte al cliente en Telegram. Los suscriptores luego ejecutan campañas independientes.

Cómo funcionan los Infostealers

Un ataque de infostealer sigue una cadena de ataque predecible, pero cada etapa está diseñada para minimizar su ventana de detección.

  1. Etapa 1: Ejecución inicial. El payload llega a través de phishing, malvertising o ingeniería social. La investigación de SentinelLabs documentó una campaña donde los usuarios descargaban archivos comprimidos que contenían una copia firmada de la aplicación gratuita Haihaisoft PDF Reader junto con una DLL maliciosa para sideloading.
  2. Etapa 2: Recolección de credenciales. El malware apunta a bases de datos de credenciales del navegador (T1555.003), ejecuta consultas SQL contra el archivo Login Data de Chrome y descifra contraseñas almacenadas. Katz Stealer documenta una técnica distintiva: el malware lanza navegadores en modo headless e inyecta una DLL especializada para acceder a datos sensibles usando el propio contexto de seguridad del navegador.
  3. Etapa 3: Robo de tokens de sesión. El infostealer copia cookies de sesión autenticadas (T1539), permitiendo a los atacantes suplantar a sus usuarios en aplicaciones web donde esas sesiones siguen siendo válidas. Algunas variantes también roban otros tokens que pueden ayudar a regenerar o extender el acceso, lo que significa que un cambio de contraseña puede no invalidar inmediatamente el acceso del atacante.
  4. Etapa 4: Recolección suplementaria. Keylogging (T1056), monitoreo del portapapeles para direcciones y frases semilla de criptomonedas (T1115), robo de archivos de monederos de criptomonedas y fingerprinting del sistema para perfilado de la víctima. El análisis de SentinelLabs documenta que Vidar recopila datos de ubicación específicamente para ayudar a los actores de amenazas a evaluar el valor del sistema antes de desplegar payloads secundarios como ransomware.
  5. Etapa 5: Exfiltración y salida. Los datos se transmiten a la infraestructura C2 a través de canales cifrados, a menudo abusando de servicios legítimos. El malware luego sale limpiamente, dejando mínimos artefactos forenses. Este modelo de ejecución no persistente es una elección de diseño deliberada: cuando usted detecta la infección, el malware ya se ha ido y las credenciales ya están a la venta.

Por qué los Infostealers son difíciles de detener

Varias características hacen que los infostealers sean particularmente difíciles de defender.

  • El modelo MaaS elimina la barrera de habilidades. Operadores no técnicos pueden desplegar herramientas de robo de credenciales mediante servicios por suscripción. Incluso tras intervenciones policiales, los operadores suelen reconstruir rápidamente y el mercado se desplaza a familias de reemplazo.
  • El robo de tokens de sesión hace que MFA sea insuficiente. Los infostealers roban cookies de sesión como capacidad principal. MITRE ATT&CK documenta que APT29, Scattered Spider, Star Blizzard y LAPSUS$ usan T1539 para eludir MFA. La rotación de contraseñas tras un incidente no invalida los tokens activos ya en manos del atacante.
  • La evasión polimórfica derrota las herramientas basadas en firmas. La ejecución sin archivos, el staging en memoria y la inyección de procesos eluden por completo las defensas estáticas. Los informes de la industria describen un aumento en la entrega de infostealers vía phishing, impulsado en parte por atacantes que usan IA para crear correos de phishing a escala.
  • El abuso de plataformas legítimas crea canales imposibles de bloquear. Los infostealers exfiltran a través de APIs de Telegram, Dropbox y GitHub. No puede bloquear estos servicios sin interrumpir las operaciones empresariales, lo que obliga a su equipo a depender del análisis de comportamiento en lugar del filtrado a nivel de red.

Estas características no son exclusivas de una sola herramienta. Se comparten en un ecosistema creciente de familias de infostealers, cada una compitiendo por cuota de mercado en foros clandestinos.

Tipos de datos robados por Infostealers

Los infostealers apuntan a un conjunto específico de tipos de datos de alto valor, cada uno elegido porque habilita una categoría diferente de ataque posterior.

  1. Contraseñas guardadas y datos de autocompletado del navegador. Los navegadores basados en Chromium y Firefox almacenan credenciales en bases de datos SQLite locales. Los infostealers consultan directamente estas bases de datos, descifran las contraseñas almacenadas usando APIs del sistema operativo y extraen entradas de autocompletado incluyendo direcciones, números de teléfono y detalles de tarjetas de pago. Estas credenciales se convierten en materia prima para campañas de toma de control de cuentas y ataques de relleno de credenciales en entornos SaaS corporativos.
  2. Cookies de sesión y tokens de autenticación. Las cookies de sesión activas prueban que un usuario ya completó la autenticación, incluyendo MFA. Las cookies robadas permiten a los atacantes reproducir esas sesiones sin activar desafíos de autenticación adicionales. Esta es una de las principales razones por las que los infostealers eluden MFA tan eficazmente: el atacante nunca necesita completar el flujo de autenticación.
  3. Archivos de monederos de criptomonedas y frases semilla. Los infostealers copian archivos wallet.dat, datos de extensiones de navegador de monederos como MetaMask y monitorean el portapapeles en busca de frases semilla y direcciones de monederos. El robo de criptomonedas es irreversible, lo que hace que estos objetivos sean especialmente valiosos para atacantes en mercados clandestinos.
  4. Huellas del sistema y datos de entorno. Nombre de host, dirección IP, software instalado, procesos en ejecución e identificadores de hardware ayudan a los atacantes a perfilar víctimas y determinar qué credenciales robadas pertenecen a entornos empresariales de alto valor. El análisis de SentinelLabs documenta que Vidar recopila datos de ubicación específicamente para ayudar a los actores de amenazas a evaluar el valor del objetivo antes de desplegar payloads secundarios.
  5. Datos de clientes de correo electrónico y aplicaciones de mensajería. Correos electrónicos almacenados localmente, registros de chat y credenciales de aplicaciones de clientes como Outlook y Thunderbird amplían el acceso del atacante más allá de los datos almacenados en el navegador. Las credenciales de correo electrónico robadas alimentan directamente operaciones de compromiso de correo electrónico empresarial.
  6. Configuraciones de VPN y RDP. Los perfiles de VPN guardados y credenciales de escritorio remoto proporcionan acceso a nivel de red que va mucho más allá de un solo endpoint. Para los operadores de ransomware que compran stealer logs, las credenciales de VPN son de las entradas más valiosas porque ofrecen un camino directo a redes corporativas.

La amplitud de datos objetivo de los infostealers explica por qué tantas familias de malware distintas compiten en este espacio, cada una optimizando para diferentes combinaciones de estos tipos de datos.

Principales familias de Infostealers

El ecosistema de infostealers está saturado y cambia rápidamente a medida que las intervenciones policiales empujan a los operadores hacia nuevas herramientas. Estas familias representan las amenazas más documentadas en Windows y macOS.

Infostealers para Windows

FamiliaCaracterísticas claveDetalle destacado
Lumma (LummaC2)Credenciales de navegador, monederos de criptomonedas, extensiones 2FA. Distribuido vía ClickFix/CAPTCHA falso y malvertising.Objetivo de una operación coordinada de fuerzas del orden e industria en mayo de 2025; la infraestructura fue reconstruida en semanas.
RedLineDatos de navegador, credenciales FTP/VPN, monederos de criptomonedas, fingerprinting de sistema. Vendido como MaaS en foros clandestinos.La Operación Magnus interrumpió la infraestructura de RedLine a finales de 2024; variantes sucesoras siguen circulando.
VidarFork de Arkei stealer. Apunta a una amplia gama de navegadores, monederos de criptomonedas y apps de mensajería. Usado como dropper para ransomware.Los operadores rotan frecuentemente la infraestructura C2 mediante perfiles en redes sociales y dead-drop resolvers.
RhadamanthysCredenciales bancarias, monederos de criptomonedas, perfilado de sistema. Distribuido vía SEO poisoning y malspam.Utiliza evasión avanzada incluyendo process hollowing y loaders en múltiples etapas.
StealCStealer MaaS ligero que apunta a credenciales de navegador, extensiones y archivos locales. Arquitectura modular de plugins.Gana cuota de mercado como repuesto de Lumma/RedLine tras las interrupciones de 2024–2025.

Infostealers para macOS

El panorama de infostealers para macOS se expandió rápidamente en 2024. La investigación de SentinelLabs documenta familias como Amos Atomic, Banshee Stealer, Cuckoo Stealer y Poseidon, todas apuntando a credenciales de Keychain, datos de navegador y monederos de criptomonedas. Estas familias usan AppleScript para suplantar cuadros de diálogo de contraseña y engañar a los usuarios para que proporcionen credenciales de inicio de sesión, dando al malware acceso al Keychain y a todas las contraseñas almacenadas en el sistema.

Independientemente de la familia o plataforma, las credenciales robadas siguen el mismo camino: hacia mercados clandestinos y, con frecuencia, a manos de operadores de ransomware.

La cadena Infostealer–Ransomware

La conexión entre infostealers y ransomware está bien documentada por múltiples fuentes independientes. Los infostealers sirven como la primera etapa en una cadena de ataque de dos fases. El SANS Institute documenta que los actores de ransomware "típicamente ingresan mediante credenciales robadas a través de malware infostealer, con brokers de acceso inicial actuando como intermediarios entre operadores de infostealer y grupos de ransomware."

El lapso operativo entre la infección por infostealer y el despliegue de ransomware puede abarcar un periodo significativo, con movimiento lateral no observado durante ese tiempo. Tratar un hallazgo de infostealer como un evento de endpoint de baja severidad es un error costoso. Cada hallazgo de infostealer debe activar protocolos de precursor de ransomware, incluyendo evaluación completa del alcance de credenciales, búsqueda de movimiento lateral y playbooks de contención predefinidos.

Ejecutar esos protocolos de manera efectiva requiere comprender por qué los infostealers son tan difíciles de detectar para las herramientas de seguridad convencionales.

Por qué los Infostealers evaden las defensas tradicionales

Los infostealers presentan desafíos estructurales específicos que los hacen más difíciles de detener que muchas otras categorías de malware.

  • La exfiltración cifrada se mezcla con el tráfico normal. Los datos robados se mueven por HTTPS hacia servicios legítimos en la nube. Algunas variantes dividen los archivos en fragmentos para evadir herramientas de DLP configuradas para transferencias de archivos grandes. Su stack de seguridad de red ve lo que parece tráfico web cifrado normal.
  • Ventanas de ejecución cortas dejan mínima evidencia forense. Los infostealers sin persistencia escriben poco o nada en disco de forma permanente. Los artefactos en memoria se sobrescriben. Usted termina investigando telemetría de red y registros de uso de credenciales en lugar de artefactos de endpoint, porque el malware se autoremovió antes de que su equipo lo notara.
  • El hooking de APIs de credenciales intercepta credenciales dentro de procesos legítimos. MITRE ATT&CK T1056.001 documenta el hooking de APIs de credenciales que intercepta credenciales dentro de contextos de procesos legítimos, haciendo que el comportamiento malicioso sea difícil de distinguir de la operación normal de la aplicación a nivel de proceso.
  • El punto ciego BYOD es estructural. El DBIR de Verizon señala que muchos sistemas comprometidos con inicios de sesión corporativos en logs de infostealer eran dispositivos no gestionados. La brecha de Snowflake lo demostró directamente: La investigación de SANS confirmó que los portátiles personales de contratistas externos no tenían antivirus ni EDR y se usaban para actividades personales, incluyendo la ejecución de software pirateado.

Estas ventajas de evasión significan que encontrar una infección de infostealer a menudo depende de detectar sus efectos en lugar del propio malware.

Cómo detectar una infección de Infostealer

Debido a que los infostealers están diseñados para ejecutarse y salir rápidamente, encontrar una infección depende de reconocer los efectos posteriores del robo de credenciales en lugar de atrapar el malware en sí. Estos son los indicadores que su equipo debe monitorear:

  • Credenciales corporativas apareciendo en mercados de la dark web. Los stealer logs aparecen en mercados como Russian Market a las pocas horas del robo. El monitoreo continuo de credenciales de correo corporativo y dominios expuestos proporciona la alerta más temprana de que un infostealer comprometió a uno de sus usuarios.
  • Actividad de sesión anómala en aplicaciones SaaS y en la nube. Inicios de sesión desde ubicaciones geográficas inesperadas, nuevas huellas de dispositivos o sesiones simultáneas desde diferentes regiones indican que se están reutilizando tokens de sesión robados. Correlacionar telemetría de identidad con datos de endpoint ayuda a distinguir viajes legítimos de la reutilización de tokens.
  • Procesos de navegador lanzándose con flags inusuales. Los infostealers enganchan procesos de navegador usando puertos de depuración remota o modo headless. Alertas sobre navegadores iniciados con --remote-debugging-port o --headless flags desde procesos padre no estándar son un indicador confiable.
  • Conexiones salientes inesperadas a APIs de Telegram o almacenamiento en la nube. La exfiltración a api.telegram.org, Dropbox o GitHub desde endpoints que normalmente no usan estos servicios es un fuerte indicador de comportamiento, especialmente cuando se combina con la creación de archivos comprimidos o actividad de staging de datos.
  • Patrones de acceso a credenciales en la telemetría EDR. MITRE ATT&CK T1555.003 (Credenciales de navegadores web) y T1539 (Robo de cookies de sesión web) generan telemetría identificable cuando procesos fuera del navegador acceden a bases de datos de credenciales o almacenes de cookies.

La identificación temprana depende de correlacionar estas señales entre endpoint, identidad y red en lugar de depender de un solo indicador.

Errores comunes al defenderse de Infostealers

Incluso organizaciones con programas de seguridad maduros cometen errores evitables al responder a incidentes de infostealer.

  • Tratar hallazgos de infostealer como incidentes aislados de endpoint. Cuando usted detecta la infección, las credenciales robadas pueden estar ya en manos de un broker de acceso diferente con otra línea de tiempo. Una remediación de endpoint que omite la invalidación de credenciales y la búsqueda de  movimiento lateral deja el camino abierto para el ataque posterior.
  • Confiar solo en la rotación de contraseñas. Los cambios de contraseña no invalidan tokens de sesión activos. Si un infostealer recolectó cookies autenticadas, el atacante aún mantiene sesiones válidas independientemente de su nueva contraseña. Se requiere invalidación activa de sesiones en todas las cuentas afectadas.
  • Ignorar el monitoreo de credenciales en la dark web. Las credenciales robadas aparecen en mercados como Russian Market poco después del robo. Las organizaciones que no monitorean credenciales corporativas expuestas pierden la ventana entre el robo y la explotación por un actor posterior.
  • Descuidar el navegador como superficie de ataque principal. La advertencia de CISA documenta que Raccoon Stealer y Vidar roban credenciales de inicio de sesión, historial de navegación y cookies directamente de los navegadores. El navegador es simultáneamente su principal almacén de credenciales y su principal repositorio de tokens de sesión para aplicaciones en la nube, pero la telemetría a nivel de navegador es una señal que la mayoría de las empresas no recopila.
  • Omitir cobertura EDR para dispositivos de contratistas y desarrolladores. Las estaciones de trabajo de desarrolladores tienen acceso a secretos de producción, credenciales de despliegue e infraestructura de firma de código, mientras son menos monitoreadas que los servidores de producción. Extender la cobertura de endpoint a estos entornos cierra una de las brechas más explotadas.

Evitar estos errores es necesario pero no suficiente. Una estrategia de defensa estructurada debe abordar toda la cadena de ataque del infostealer.

Mejores prácticas para defenderse de Infostealers

Una estrategia de defensa en capas aborda la cadena de ataque del infostealer en múltiples etapas, desde el acceso inicial hasta la exfiltración.

  1. Implemente autenticación resistente al phishing. Las implementaciones FIDO2/passkey generan credenciales criptográficas únicas por servicio, y las claves privadas nunca salen de los dispositivos del usuario. Como se explica en autenticación sin contraseña, comprometer un servicio no produce credenciales utilizables en otros porque no existen secretos de contraseña compartidos. Priorice primero las cuentas privilegiadas con acceso a sistemas de producción.
  2. Desactive el almacenamiento de credenciales en el navegador. Utilice políticas de gestión de navegadores empresariales mediante Directiva de Grupo o MDM para evitar que los navegadores guarden contraseñas. Obligue el uso de gestores de contraseñas empresariales con cifrado respaldado por hardware. Configure alertas para navegadores que se inicien con flags de depuración remota (--remote-debugging-port), una técnica conocida de infostealer para enganchar procesos de navegador.
  3. Implemente protección de endpoint basada en IA y comportamiento. La investigación sobre malware en macOS lo afirma directamente: "Las soluciones de seguridad que emplean análisis dinámico tienen mejor éxito" porque los infostealers deben decodificarse y ejecutarse en texto claro independientemente de la ofuscación de entrega. Las firmas estáticas fallan ante payloads cifrados y polimórficos.
  4. Construya y pruebe playbooks de rotación de credenciales antes de los incidentes. Predefina cómo secuenciar la rotación sin afectar sistemas críticos. La rotación ad-hoc bajo presión de incidente es consistentemente demasiado lenta. Su playbook debe incluir aislamiento de red, determinación de la línea de tiempo de infección, rotación completa de todas las credenciales accesibles, invalidación activa de sesiones y revisión de logs de acceso durante todo el periodo de permanencia.
  5. Restrinja la ejecución de procesos desde rutas de alto riesgo. Configure políticas de control de aplicaciones (WDAC, AppLocker o perfiles MDM en macOS) para bloquear ejecutables no firmados desde directorios de Descargas, Temp y Perfil de Usuario. Extienda estos controles a estaciones de trabajo de desarrolladores y runners de CI.

Estas prácticas reducen la superficie de ataque, pero detener infostealers que eluden la prevención requiere una plataforma que conecte telemetría de endpoint, identidad y red en tiempo real.

Ciberseguridad impulsada por la IA

Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.

Demostración

Puntos clave

Los infostealers son malware de robo de credenciales que operan en silencio, exfiltran contraseñas y tokens de sesión rápidamente y alimentan una economía criminal que impulsa ransomware, toma de control de cuentas y fraude financiero. MFA por sí sola no detiene el robo de tokens de sesión. Los almacenes de credenciales del navegador son el objetivo principal. 

Cada hallazgo de infostealer exige invalidación de credenciales, búsqueda de movimiento lateral y protocolos de precursor de ransomware. La  protección basada en IA, protección de identidad y playbooks de respuesta predefinidos forman la base defensiva.

Preguntas frecuentes

Un infostealer es un tipo de malware diseñado para extraer de manera silenciosa datos sensibles de los sistemas infectados, incluyendo contraseñas guardadas, cookies de sesión, datos de autocompletado del navegador y archivos de billeteras de criptomonedas. 

Los infostealers empaquetan los datos robados en registros estructurados y los venden en mercados clandestinos, donde otros delincuentes utilizan las credenciales obtenidas para lanzar ataques posteriores como ransomware, toma de control de cuentas y compromiso del correo electrónico empresarial.

Los infostealers llegan a los endpoints a través de correos electrónicos de phishing con archivos adjuntos maliciosos, campañas de malvertising que redirigen a sitios que alojan cargas útiles, descargas de software troyanizado y ataques ClickFix que engañan a los usuarios para que peguen comandos en Ejecutar de Windows o PowerShell. Algunas campañas utilizan envenenamiento SEO para posicionar páginas de descarga falsas de software popular. 

El modelo de Malware-as-a-Service implica que operadores con habilidades técnicas mínimas pueden lanzar campañas de distribución a través de plataformas por suscripción con generadores de cargas útiles listos para usar.

Los indicadores comunes incluyen credenciales corporativas que aparecen en mercados de la dark web, inicios de sesión desde ubicaciones geográficas inesperadas o nuevas huellas digitales de dispositivos, procesos de navegador que se inician con flags inusuales como --remote-debugging-port, conexiones salientes inesperadas a APIs de Telegram o servicios de almacenamiento en la nube, y patrones de acceso a credenciales en la telemetría de EDR que apuntan a bases de datos de navegadores o almacenes de cookies. 

Debido a que los infostealers se ejecutan y salen rápidamente, detectar una infección generalmente depende de reconocer estos efectos posteriores en lugar de identificar el malware durante su ejecución.

Los infostealers no vulneran la MFA. Roban cookies de sesión que se emitieron después de que la MFA se completó correctamente. Cuando un atacante reutiliza esa cookie, la aplicación de destino detecta una sesión ya autenticada y concede acceso sin volver a solicitar la MFA. 

La autenticación FIDO2/passkey resiste la reutilización de contraseñas porque genera credenciales criptográficas únicas por sitio en lugar de secretos compartidos reutilizables.

Los infostealers recolectan credenciales que los brokers de acceso venden a los operadores de ransomware. El SANS Institute documenta que los grupos de ransomware suelen obtener acceso inicial a través de credenciales obtenidas por infostealers. 

La infección por infostealer y el despliegue de ransomware suelen estar separados en el tiempo y ser ejecutados por actores de amenazas completamente diferentes.

Tras las interrupciones por parte de las fuerzas del orden a Lumma y RedLine, el ecosistema cambió rápidamente. Vidar, StealC, Acreed y Rhadamanthys se mencionan en los informes actuales como familias activas o en crecimiento. 

El modelo MaaS garantiza que la interrupción de una familia acelera el desarrollo y la adopción de sucesoras.

Sí. Investigaciones de SentinelLabs documentan infostealers para macOS como Amos Atomic, Banshee Stealer, Cuckoo Stealer y Poseidon. Estas familias apuntan a credenciales de Keychain, datos del navegador y monederos de criptomonedas. 

Los dispositivos empresariales con macOS requieren la misma protección de endpoint basada en comportamiento que los sistemas Windows.

Aísle el endpoint afectado, determine la línea de tiempo de la infección, rote todas las credenciales accesibles desde ese dispositivo, invalide todas las sesiones activas y revise los registros de acceso durante todo el periodo de permanencia. No lo trate como un evento contenido en el endpoint. 

Busque movimiento lateral utilizando las credenciales robadas.

Descubre más sobre Ciberseguridad

Estadísticas de ataques DDoSCiberseguridad

Estadísticas de ataques DDoS

Los ataques DDoS son cada vez más frecuentes, breves y difíciles de ignorar. Nuestra publicación sobre estadísticas de ataques DDoS le muestra quiénes están siendo atacados actualmente, cómo se desarrollan las campañas y más.

Seguir leyendo
Estadísticas de amenazas internasCiberseguridad

Estadísticas de amenazas internas

Obtenga información sobre tendencias, novedades y más acerca de las últimas estadísticas de amenazas internas para 2026. Descubra a qué peligros se enfrentan actualmente las organizaciones, quiénes han sido afectados y cómo mantenerse protegido.

Seguir leyendo
Estadísticas de ciberseguroCiberseguridad

Estadísticas de ciberseguro

Las estadísticas de ciberseguro para 2026 revelan un mercado de rápido crecimiento. Se observan cambios en los patrones de reclamaciones, una suscripción más estricta y una ampliación de las brechas de protección entre grandes empresas y pequeñas firmas.

Seguir leyendo
¿Qué es la seguridad de aplicaciones? Guía completaCiberseguridad

¿Qué es la seguridad de aplicaciones? Guía completa

La seguridad de aplicaciones protege el software a lo largo del SDLC utilizando herramientas como SAST, DAST, SCA y defensas en tiempo de ejecución. Descubra cómo construir un programa de AppSec.

Seguir leyendo
Experimente la plataforma de ciberseguridad más avanzada

Experimente la plataforma de ciberseguridad más avanzada

Vea cómo la plataforma de ciberseguridad más inteligente y autónoma del mundo puede proteger su organización hoy y en el futuro.

Demostración
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español