Microsoft ha emitido una alerta crítica ante la proliferación de un nuevo malware que ha comprometido a cientos de miles de equipos en todo el mundo. Se trata de Lumma Stealer, un troyano especializado en el robo de información confidencial, como contraseñas, credenciales bancarias y billeteras de criptomonedas. Su rápida propagación y capacidad de evasión han encendido las alarmas no solo dentro de la propia compañía, sino también en otras organizaciones especializadas en ciberseguridad.
-Una amenaza activa y en expansión
La Unidad de Delitos Digitales de Microsoft ha iniciado una ofensiva directa contra Lumma Stealer, desplegando una campaña para identificar y desmantelar su infraestructura. En una publicación reciente, la compañía advierte que este malware se ha convertido en una de las herramientas más utilizadas por ciberdelincuentes para acceder a información sensible de los usuarios, incluyendo datos bancarios, credenciales de correo electrónico y otros archivos personales.
Lumma Stealer opera bajo un modelo de malware como servicio (MaaS), disponible en foros clandestinos por una suscripción mensual que varía entre 250 y 1.000 dólares. Aunque comenzó a comercializarse en 2022, su impacto ha crecido de forma drástica durante los primeros meses de 2025. Microsoft ha confirmado que, en solo dos meses, este troyano logró infectar más de 394.000 dispositivos, lo que demuestra su alcance y efectividad.
-Un diseño pensado para el robo y la evasión
El objetivo de quienes operan Lumma Stealer es monetizar la información robada o utilizarla como punto de entrada para otros ataques. Su éxito radica en varios factores: facilidad de distribución, capacidad para evadir herramientas de detección tradicionales, y adaptabilidad a diferentes entornos. Estas características lo convierten en una opción especialmente atractiva para actores maliciosos que buscan resultados rápidos y discretos.
-Vías de infección: cómo entra Lumma en los sistemas
A diferencia de otros troyanos convencionales, Lumma emplea métodos variados para lograr su instalación en los equipos de las víctimas. Microsoft detalla que, entre las técnicas más comunes, se encuentran los correos de phishing, descargas de archivos contaminados desde sitios legítimos y una práctica conocida como malvertising, que consiste en anuncios engañosos en motores de búsqueda que redirigen al usuario a páginas falsas que ofrecen software o actualizaciones gratuitas.
Estas estrategias multivectoriales hacen que el malware sea especialmente difícil de identificar en las etapas tempranas de infección. Una vez instalado, Lumma accede a los navegadores web para extraer contraseñas almacenadas, cookies de sesión y datos de formularios. Este comportamiento afecta a navegadores basados tanto en Chromium (como Google Chrome, Microsoft Edge o Brave) como en Gecko (Firefox).
Además, si el usuario posee extensiones de monederos de criptomonedas, Lumma intentará localizar los archivos asociados y las claves privadas vinculadas. Su alcance no se limita al navegador: también puede sustraer documentos en formatos PDF, DOC o RTF, así como información de telemetría del sistema, incluyendo detalles sobre aplicaciones instaladas, con el fin de facilitar futuros ataques personalizados. Incluso servicios como VPNs o mensajería privada en Telegram quedan expuestos, ya que Lumma recopila las credenciales para enviarlas de forma automática a los atacantes.
-Detección y eliminación: las claves para proteger el sistema
Ante la sospecha de una posible infección, Microsoft recomienda desconectar el equipo de internet de forma inmediata y ejecutar un análisis completo con herramientas de seguridad actualizadas. Microsoft Defender, por ejemplo, es capaz de detectar Lumma Stealer bajo múltiples denominaciones, incluyendo variantes como:
- Behavior:Win32/LuammaStealer
- Trojan:JS/LummaStealer
- Trojan:MSIL/LummaStealer
- Trojan:Win32/LummaStealer
- Trojan:Win64/LummaStealer
- TrojanDropper:Win32/LummaStealer
- Trojan:PowerShell/Powdow
- Trojan:Win64/Shaolaod
- Behavior:Win64/Shaolaod
- Behavior:Win32/MaleficAms
- Behavior:Win32/ClickFix
- Behavior:Win32/SuspClickFix
- Trojan:Win32/ClickFix
- Trojan:Script/ClickFix
- Behavior:Win32/RegRunMRU
- Trojan:HTML/FakeCaptcha
- Trojan:Script/SuspDown
La diversidad de firmas utilizadas refleja la capacidad del malware para mutar y adaptarse a nuevos entornos. Por ello, es fundamental mantener siempre actualizado el antivirus, evitar abrir mensajes sospechosos y abstenerse de descargar software desde fuentes no oficiales, por más atractivo que parezca.
Microsoft subraya que los atacantes pueden manipular incluso páginas legítimas mediante la inyección de código JavaScript malicioso, lo que refuerza la necesidad de aplicar medidas preventivas rigurosas y mantener una postura defensiva activa frente a cualquier actividad inusual.
-Conclusión, una amenaza persistente en un entorno cada vez más vulnerable
El caso de Lumma Stealer evidencia la sofisticación creciente del cibercrimen y la importancia de una respuesta coordinada para contenerlo. Su capacidad para vulnerar sistemas de forma sigilosa y explotar múltiples vectores de ataque plantea nuevos desafíos tanto para usuarios individuales como para grandes organizaciones. Frente a amenazas de esta magnitud, la prevención, la concienciación y el uso de herramientas de seguridad confiables son las mejores armas para proteger la información en la era digital.