Microsoft ha anunciado que, en colaboración con el Departamento de Justicia de los Estados Unidos, Europol, el Centro de Control de Delitos Cibernéticos de Japón (JC3) y varias empresas de ciberseguridad, ha logrado desmantelar la infraestructura del malware Lumma Stealer, una de las herramientas de robo de información más utilizadas por ciberdelincuentes a nivel mundial. Esta operación representa un golpe significativo al cibercrimen, que ha afectado a cientos de miles de dispositivos y usuarios en todo el mundo.
Lumma Stealer, también conocido como LummaC2, es un malware de tipo «infostealer» (ladrón de información) que opera bajo el modelo de «Malware-as-a-Service» (MaaS). Desde su aparición en 2022, ha sido comercializado en foros clandestinos de habla rusa, con precios de suscripción que oscilan entre 250 y 1.000 dólares al mes, dependiendo de las funcionalidades adquiridas. Este malware es conocido por su facilidad de distribución y su capacidad para evadir las defensas de seguridad tradicionales, lo que lo ha convertido en una herramienta predilecta para actores maliciosos.
Lumma Stealer está diseñado para extraer datos sensibles de navegadores populares como Google Chrome, Microsoft Edge, Mozilla Firefox y otros basados en Chromium o Gecko.
Entre la información robada se encuentran:
- Contraseñas guardadas
- Cookies de inicio de sesión
- Datos de autocompletado
- Información de carteras de criptomonedas (como MetaMask, Electrum y Exodus)
- Archivos de configuración de VPN, clientes de correo electrónico y aplicaciones como Telegram
- Documentos en formatos como .pdf, .docx y .rtf
- Metadatos del sistema, como información de CPU, versión del sistema operativo e aplicaciones instaladas
Además, Lumma Stealer ha sido utilizado en campañas de extorsión, ataques de ransomware, fraudes financieros, compromisos de correo electrónico empresarial (BEC) y ciberespionaje, afectando a sectores como la educación, la salud, la manufactura, la logística y las infraestructuras críticas.
Entre el 16 de marzo y el 16 de mayo de 2025, Microsoft identificó que más de 394.000 ordenadores con Windows en todo el mundo fueron infectadas por Lumma Stealer. Según el FBI, se han registrado al menos 1,7 millones de instancias en las que este malware fue utilizado para robar información sensible. Un mapa de calor presentado por Microsoft mostró una alta concentración de infecciones en Norteamérica, Europa y partes de Asia, destacando la escala global de la amenaza.
Entre las tácticas de distribución empleadas por los operadores de Lumma Stealer se encuentran campañas de phishing (como una que suplantó la identidad de Booking.com), sitios web falsos y software pirateado. Estas técnicas de ingeniería social han permitido a los ciberdelincuentes propagar el malware de manera efectiva, engañando incluso a usuarios experimentados.
La operación para neutralizar Lumma Stealer fue liderada por la Unidad de Delitos Digitales (DCU) de Microsoft, que presentó una demanda el 13 de mayo de 2025 ante el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de Georgia. Esta acción legal permitió la incautación, suspensión y bloqueo de aproximadamente 2.300 dominios maliciosos que formaban la columna vertebral de la infraestructura de Lumma Stealer. Además, el Departamento de Justicia de EE. UU. tomó el control de cinco dominios clave que funcionaban como centros de comando y control (C2) del malware, mientras que socios internacionales como Europol y el JC3 de Japón facilitaron la desactivación de la infraestructura en sus respectivas jurisdicciones.
La operación contó con la colaboración de empresas de ciberseguridad como ESET, BitSight, Lumen Technologies, Cloudflare, CleanDNS y GMO Registry, que proporcionaron inteligencia y apoyo técnico. Según ESET, los desarrolladores de Lumma Stealer mantenían una operación altamente activa, con un promedio de 74 nuevos dominios creados cada semana para sostener su infraestructura.
Microsoft también planea utilizar los dominios incautados para recopilar inteligencia adicional, con el objetivo de fortalecer las defensas contra futuras amenazas. Esta acción no solo interrumpe las operaciones actuales de Lumma, sino que también impone costos operativos y financieros significativos a los operadores y sus clientes, quienes deberán reconstruir su infraestructura en otras plataformas.
Microsoft ha destacado que el crecimiento y la resiliencia de Lumma Stealer reflejan la evolución del cibercrimen, subrayando la necesidad de defensas por capas y una colaboración continua entre la industria y las autoridades. La compañía recomienda a los usuarios implementar las siguientes medidas de seguridad para protegerse contra amenazas como Lumma Stealer:
- Activar la autenticación multifactor (MFA) en todas las cuentas posibles.
- Mantener actualizado el software antivirus para detectar y mitigar amenazas.
- Evitar hacer clic en enlaces sospechosos o descargar archivos adjuntos de correos electrónicos no verificados.
- Revisar regularmente las extensiones del navegador y eliminar aquellas que no sean confiables.
- Realizar copias de seguridad periódicas de datos importantes para mitigar el impacto de posibles ataques.
Lumma Stealer ha sido descrito por Microsoft como «la familia de malware de robo de datos más ampliamente distribuida en el mundo», con posibles vínculos con actividades respaldadas por estados-nación, además de su uso en ataques de ransomware y fraudes financieros. Su modelo de negocio, basado en suscripciones y actualizaciones constantes, lo ha convertido en una herramienta altamente adaptable y persistente.