El malware Lumma Infostealer opera en México y pone a la venta credenciales y cookies robadas, en la dark web, por un dólar
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.
Recientemente, un anuncio publicado en el mercado ilícito Lumma Market, alojado en la dark web, expuso la venta de un lote de datos robados desde un dispositivo con dirección IP mexicana (201.119.8.84). Este caso, analizado por la unidad de investigación de SILIKN, evidencia la sofisticación y peligrosidad de Lumma Infostealer, un malware que opera bajo el modelo Malware-as-a-Service (MaaS) y que ha ganado protagonismo en el panorama de ciberseguridad en México.
Datos robados: cookies y contraseñas al alcance de un dólar
El anuncio, fechado el 10 de junio de 2025, ofrece por apenas un dólar un paquete que incluye 209 contraseñas y 5,133 cookies extraídas de servicios populares como Facebook, Instagram, Twitter, TikTok, OKX, LinkedIn, Pinterest, YouTube y Google. Estas cookies permiten a los atacantes acceder a cuentas sin necesidad de contraseñas, facilitando fraudes y accesos no autorizados. Entre las contraseñas comprometidas, se identificaron accesos a plataformas como Facebook y Battle.net.
A pesar del bajo costo, esta estrategia responde a un modelo de negocio basado en el volumen: vender grandes cantidades de datos robados a precios mínimos para obtener ganancias significativas. La unidad de investigación de SILIKN advierte que interactuar con sitios como lumma-market.ru, donde se aloja este tipo de contenido, puede exponer a los usuarios a nuevas infecciones o fraudes adicionales.
El anuncio, fechado el 10 de junio de 2025, ofrece por apenas un dólar un paquete que incluye 209 contraseñas y 5,133 cookies extraídas de servicios populares como Facebook, Instagram, Twitter, TikTok, OKX, LinkedIn, Pinterest, YouTube y Google. Estas cookies permiten a los atacantes acceder a cuentas sin necesidad de contraseñas, facilitando fraudes y accesos no autorizados. Entre las contraseñas comprometidas, se identificaron accesos a plataformas como Facebook y Battle.net.
A pesar del bajo costo, esta estrategia responde a un modelo de negocio basado en el volumen: vender grandes cantidades de datos robados a precios mínimos para obtener ganancias significativas. La unidad de investigación de SILIKN advierte que interactuar con sitios como lumma-market.ru, donde se aloja este tipo de contenido, puede exponer a los usuarios a nuevas infecciones o fraudes adicionales.
Lumma Infostealer: amenaza persistente
Lumma Infostealer funciona mediante un esquema MaaS, donde los desarrolladores alquilan el software a otros cibercriminales. Su operación incluye las siguientes etapas:
- Infección inicial: Se logra mediante técnicas de ingeniería social, como correos electrónicos de phishing que simulan notificaciones de servicios mexicanos (CFE, Telmex, bancos) o archivos maliciosos disfrazados de facturas, PDFs o software crackeado, distribuidos en canales como YouTube y Telegram.
- Exfiltración de datos: Una vez instalado, el malware recolecta cookies, contraseñas, tokens de autenticación y datos de criptomonedas.
- Envío a servidores de comando y control (C2): Los datos se transmiten a infraestructuras en su mayoría ubicadas en Rusia.
- Venta en mercados ilícitos: Los datos son comercializados en plataformas como Lumma Market, alimentando el ecosistema del cibercrimen.
México: objetivo prioritario para los operadores de Lumma
Durante 2024 y 2025, México ha sido uno de los países más afectados por campañas de Lumma Infostealer. La unidad de investigación de SILIKN ha detectado tácticas específicas dirigidas al país, incluyendo:
- Phishing localizado: Correos que imitan servicios nacionales para generar confianza.
- Ataques al sector educativo: Instituciones han sido comprometidas para distribuir malware a través de sitios legítimos.
- Interés en criptomonedas: El crecimiento del uso de activos digitales ha motivado campañas dirigidas a robar credenciales de plataformas como OKX.
- Uso de técnicas sofisticadas: Se emplean páginas falsas de reCAPTCHA alojadas en servicios de nube confiables, dificultando la detección por soluciones de seguridad tradicionales.
Durante 2024 y 2025, México ha sido uno de los países más afectados por campañas de Lumma Infostealer. La unidad de investigación de SILIKN ha detectado tácticas específicas dirigidas al país, incluyendo:
- Phishing localizado: Correos que imitan servicios nacionales para generar confianza.
- Ataques al sector educativo: Instituciones han sido comprometidas para distribuir malware a través de sitios legítimos.
- Interés en criptomonedas: El crecimiento del uso de activos digitales ha motivado campañas dirigidas a robar credenciales de plataformas como OKX.
- Uso de técnicas sofisticadas: Se emplean páginas falsas de reCAPTCHA alojadas en servicios de nube confiables, dificultando la detección por soluciones de seguridad tradicionales.
Operación internacional contra Lumma
El 15 de mayo de 2025, Europol, el FBI y otras agencias internacionales coordinaron una operación para desmantelar parte de la infraestructura de Lumma. Se confiscaron más de 2,500 dominios utilizados como servidores C2 y paneles de administración. Esto generó quejas de cibercriminales en foros de la dark web por la interrupción del servicio.
Sin embargo, la operación no logró neutralizar por completo las capacidades del malware. Los servidores alojados en Rusia permanecieron activos, y el 23 de mayo, el desarrollador principal de Lumma confirmó que no se realizaron arrestos y que el servicio había sido restaurado. Para el 29 de mayo, un bot en Telegram ya ofrecía 406 registros robados de 41 países, lo que demuestra la resiliencia de esta amenaza.
El 15 de mayo de 2025, Europol, el FBI y otras agencias internacionales coordinaron una operación para desmantelar parte de la infraestructura de Lumma. Se confiscaron más de 2,500 dominios utilizados como servidores C2 y paneles de administración. Esto generó quejas de cibercriminales en foros de la dark web por la interrupción del servicio.
Sin embargo, la operación no logró neutralizar por completo las capacidades del malware. Los servidores alojados en Rusia permanecieron activos, y el 23 de mayo, el desarrollador principal de Lumma confirmó que no se realizaron arrestos y que el servicio había sido restaurado. Para el 29 de mayo, un bot en Telegram ya ofrecía 406 registros robados de 41 países, lo que demuestra la resiliencia de esta amenaza.
Caso representativo: IP 201.119.8.84
El dispositivo ubicado en México, identificado por la dirección IP 201.119.8.84, representa un ejemplo concreto de cómo los datos robados se comercializan rápidamente en mercados ilícitos. Esto compromete la seguridad de usuarios individuales, así como de las organizaciones cuyos empleados pueden ser víctimas de estas campañas.
El dispositivo ubicado en México, identificado por la dirección IP 201.119.8.84, representa un ejemplo concreto de cómo los datos robados se comercializan rápidamente en mercados ilícitos. Esto compromete la seguridad de usuarios individuales, así como de las organizaciones cuyos empleados pueden ser víctimas de estas campañas.
Recomendaciones para la prevención
Frente a esta amenaza, la unidad de investigación de SILIKN recomienda a usuarios y organizaciones mexicanas tomar medidas preventivas:
- Evitar enlaces y archivos sospechosos: No abrir correos no solicitados ni descargar archivos de fuentes desconocidas.
- Verificación de URLs: Asegurarse de que las direcciones web correspondan a sitios legítimos antes de ingresar credenciales.
- Cambio de contraseñas y uso de autenticación de dos factores (2FA): Especialmente en servicios comprometidos.
- Uso de antivirus actualizados: Para detectar y eliminar software malicioso como Lumma.
- Monitoreo de actividad en cuentas: Revisar movimientos sospechosos en servicios bancarios, redes sociales y plataformas de criptomonedas.
- Capacitación en ciberseguridad: Sensibilizar a empleados y usuarios sobre amenazas y buenas prácticas digitales.
- Reporte de incidentes: Informar a las autoridades correspondientes para facilitar la respuesta coordinada.
Lumma Infostealer representa una amenaza activa y persistente para México. Su capacidad de adaptación, su modelo de negocio basado en el volumen y la sofisticación de sus técnicas de ataque requieren una respuesta decidida por parte de usuarios, empresas y organismos de ciberseguridad. Casos como el del dispositivo con IP mexicana demuestran que nadie está exento de ser blanco de cibercriminales y que la prevención sigue siendo la mejor defensa.
Para mayor información, visite: https://www.silikn.com/
Frente a esta amenaza, la unidad de investigación de SILIKN recomienda a usuarios y organizaciones mexicanas tomar medidas preventivas:
- Evitar enlaces y archivos sospechosos: No abrir correos no solicitados ni descargar archivos de fuentes desconocidas.
- Verificación de URLs: Asegurarse de que las direcciones web correspondan a sitios legítimos antes de ingresar credenciales.
- Cambio de contraseñas y uso de autenticación de dos factores (2FA): Especialmente en servicios comprometidos.
- Uso de antivirus actualizados: Para detectar y eliminar software malicioso como Lumma.
- Monitoreo de actividad en cuentas: Revisar movimientos sospechosos en servicios bancarios, redes sociales y plataformas de criptomonedas.
- Capacitación en ciberseguridad: Sensibilizar a empleados y usuarios sobre amenazas y buenas prácticas digitales.
- Reporte de incidentes: Informar a las autoridades correspondientes para facilitar la respuesta coordinada.
Lumma Infostealer representa una amenaza activa y persistente para México. Su capacidad de adaptación, su modelo de negocio basado en el volumen y la sofisticación de sus técnicas de ataque requieren una respuesta decidida por parte de usuarios, empresas y organismos de ciberseguridad. Casos como el del dispositivo con IP mexicana demuestran que nadie está exento de ser blanco de cibercriminales y que la prevención sigue siendo la mejor defensa.
Para mayor información, visite: https://www.silikn.com/