Un infostealer (o stealer) es un tipo de malware diseñado para robar credenciales, cookies de sesión, datos de autocompletado, carteras de criptomonedas y tokens de aplicaciones de un dispositivo infectado, empaquetarlos y enviarlos al atacante en cuestión de segundos. A diferencia del ransomware, no busca hacer ruido: su objetivo es entrar, exfiltrar todo lo valioso y desaparecer. El resultado de cada infección es un stealer log, un paquete de datos que alimenta hoy buena parte de la cadena de suministro del cibercrimen, desde el fraude hasta las intrusiones que terminan en cifrado y extorsión.
En 2026 el robo de credenciales mediante infostealers se ha convertido en el vector inicial más rentable y escalable para actores con recursos limitados. La razón es sencilla: una sola cookie de sesión válida de un panel corporativo puede valer más, y costar mucho menos esfuerzo, que descubrir y explotar una vulnerabilidad de día cero.
Lo esencial
- Un infostealer roba credenciales, cookies, autocompletado, carteras cripto y tokens, y genera un stealer log que se vende o reutiliza.
- El robo de cookies de sesión permite el pass-the-cookie: el atacante reutiliza tu sesión ya autenticada y se salta el MFA sin conocer la contraseña.
- Las familias dominantes operan como malware as a service: Lumma, RedLine, Vidar, StealC y Raccoon, más Atomic (AMOS) en macOS.
- Los vectores típicos son software pirata y keygens, malvertising en buscadores, instaladores falsos y el señuelo ClickFix (pegar un comando en PowerShell).
- La defensa combina EDR con telemetría de comportamiento, monitorización de credenciales filtradas, MFA resistente al phishing (FIDO2) y sesiones cortas con token binding.
Qué es un infostealer
Un infostealer es un programa malicioso especializado en la recolección masiva de secretos almacenados en el equipo de la víctima. No cifra, no destruye y, en la mayoría de los casos, no persiste: ejecuta una rutina de robo, transmite el botín a un servidor de mando y control y a menudo se autoelimina para dificultar el análisis forense. Encaja dentro de la familia del spyware, una de las categorías clásicas que repasamos en nuestra guía de tipos de malware, pero con una industrialización que lo distingue del espía tradicional.
La pieza clave es entender que el infostealer no ataca sistemas: ataca datos ya legítimos. Extrae lo que tu navegador y tus aplicaciones guardan para tu comodidad. Ahí está su eficacia y también su discreción.
Qué roba exactamente: la anatomía de un stealer log
Un stealer log típico contiene:
- Credenciales de navegador: usuarios y contraseñas guardados en Chrome, Edge, Firefox y navegadores basados en Chromium, extraídos de la base de datos SQLite
Login Data. - Cookies de sesión: incluidas las de sesiones activas ya autenticadas, que son el activo más valioso del paquete.
- Datos de autocompletado y tarjetas: direcciones, teléfonos y datos de pago.
- Carteras de criptomonedas: ficheros
wallet.daty datos de extensiones como MetaMask. - Tokens de aplicaciones: sesiones de Discord, Telegram, Steam y clientes de correo.
- Información del sistema y capturas: nombre de máquina, IP, software instalado y, a veces, una captura de pantalla del escritorio en el momento del robo.
Ese conjunto se comprime, se estructura en carpetas legibles (passwords.txt, cookies, autofills) y se sube al atacante. Un operador con un panel de control recibe miles de estos paquetes al día.
Cómo funcionan los stealer logs paso a paso
El ciclo de vida de una infección por infostealer es rápido y repetible:
- Entrega. La víctima ejecuta el binario creyendo que es un instalador, un crack o una actualización.
- Ejecución y evasión. El stealer comprueba entornos de análisis (máquinas virtuales, sandboxes), a veces se descifra en memoria y arranca la rutina de recolección.
- Recolección. Lee las bases de datos de los navegadores, las carteras y los directorios de configuración de aplicaciones conocidas.
- Exfiltración. Empaqueta todo y lo envía por HTTPS, Telegram o un panel de control propio.
- Monetización. El log se usa directamente, se vende en un mercado o se cede a un intermediario que revenderá el acceso.
Todo esto puede ocurrir en menos de un minuto tras el doble clic. La víctima rara vez percibe nada.
La economía clandestina del robo de credenciales
Lo que convierte al infostealer en una amenaza sistémica no es el malware en sí, sino el mercado que lo rodea. Los stealer logs se comercializan a escala industrial en canales de Telegram y en mercados especializados. Durante años, plataformas como Genesis Market (intervenida en 2023 por la Operación Cookie Monster) y Russian Market normalizaron la venta de logs frescos con buscador incluido: un comprador podía filtrar por dominio, por país o por presencia de una cookie concreta.
El modelo de negocio subyacente es el malware as a service (MaaS). El desarrollador vende suscripciones mensuales a afiliados que difunden el stealer y se quedan con los logs. El desarrollador no toca a las víctimas; solo alquila la herramienta y el panel. Esta división del trabajo, idéntica a la que describimos para el ransomware en España 2026, es la que permite el volumen.
Del stealer log al ransomware: los Initial Access Brokers
Aquí aparece el eslabón más peligroso para las empresas. Los Initial Access Brokers (IAB) compran o generan logs, identifican los que contienen credenciales o cookies de sesión de entornos corporativos (VPN, paneles de administración, Microsoft 365, consolas cloud) y revenden ese acceso a operadores de ransomware.
La secuencia es cada vez más habitual: un empleado infecta su equipo personal con un crack, ese equipo tenía guardada la sesión de la VPN corporativa, el log llega a un IAB y semanas después la organización sufre un incidente de cifrado. La credencial robada a una persona se transforma en una intrusión en toda una empresa. Por eso el robo de credenciales ya no es un problema individual: es un problema de cadena de suministro.
Familias dominantes en 2026
El ecosistema está dominado por unas pocas familias, con relevos constantes tras cada operación policial:
- Lumma (LummaC2): uno de los MaaS más activos, con actualizaciones frecuentes y técnicas para adaptarse a las defensas de los navegadores.
- RedLine: durante años el estándar de facto, golpeado en octubre de 2024 por la Operación Magnus, que desmanteló buena parte de su infraestructura junto con Meta (MetaStealer).
- Vidar: veterano, modular y con capacidad de descargar cargas adicionales.
- StealC: heredero de Vidar y Raccoon, popular por su bajo coste y su panel ágil.
- Raccoon Stealer: muy extendido hasta la imputación de su operador; sigue apareciendo en variantes.
- Atomic Stealer (AMOS): recordatorio de que macOS no es inmune, con distribución mediante instaladores falsos y anuncios maliciosos dirigidos a usuarios de Mac.
Ninguna familia es realmente novedosa en su técnica: su ventaja competitiva es operativa, precio, soporte y capacidad de esquivar los controles del navegador. Conviene no confundir estas familias con un troyano genérico: aunque muchos se entregan como troyanos, su especialización es el robo silencioso de datos.
Vectores de infección: cracks, malvertising e instaladores falsos
Los infostealers rara vez explotan vulnerabilidades. Explotan decisiones humanas. Los vectores dominantes son:
- Software pirata, cracks y keygens: activadores de programas de pago y trucos para videojuegos, a menudo promocionados en vídeos con enlaces en la descripción.
- Malvertising en buscadores: anuncios patrocinados que imitan las webs oficiales de herramientas populares (editores, clientes de reuniones, utilidades de sistema) y sirven un instalador troyanizado.
- Instaladores y actualizaciones falsas: falsas actualizaciones de navegador o de plugins que en realidad ejecutan el stealer.
- ClickFix y CAPTCHA falso: una técnica en auge donde una web pide a la víctima "verificar que es humano" copiando y pegando un comando en el cuadro Ejecutar de Windows o en PowerShell, que descarga el malware por su propia mano.
- SEO poisoning: posicionamiento de páginas maliciosas para búsquedas de software concreto.
Todos comparten un patrón: la víctima instala el malware voluntariamente. Muchos de estos señuelos coinciden con las técnicas de los virus informáticos clásicos, pero adaptadas a la distribución masiva actual.
Por qué el MFA no basta: robo de cookies de sesión
Este es el punto que más sorprende a los equipos que confían en el segundo factor. La autenticación multifactor protege el momento del inicio de sesión, pero una vez que te autenticas, la aplicación te entrega una cookie de sesión que representa a tu identidad ya validada. Mientras esa cookie sea válida, no vuelve a pedirte el MFA.
Un infostealer roba precisamente esas cookies. El atacante las importa en su propio navegador y ejecuta un pass-the-cookie: la aplicación ve una sesión legítima y no exige MFA, porque el factor ya se superó en el momento del robo. No necesita tu contraseña ni tu token. Por eso el MFA basado en OTP o push, aunque imprescindible, no es suficiente por sí solo frente a un stealer.
La respuesta de la industria ha ido en dos direcciones: por un lado, App-Bound Encryption en Chrome, que ata el descifrado de cookies al proceso del navegador para dificultar el robo (los stealers ya han empezado a adaptarse); por otro, estándares de token binding como DBSC (Device Bound Session Credentials), que vinculan la sesión al dispositivo mediante una clave privada no exportable, de forma que una cookie robada sea inservible en otra máquina.
Detección y prevención
La defensa eficaz asume que la infección es posible y se centra en detectarla pronto y en reducir el valor de lo que se pueda robar.
Para usuarios y equipos de TI
- No ejecutar software pirata ni de fuentes no oficiales, y descargar herramientas solo desde el dominio del fabricante, nunca desde un anuncio.
- EDR con telemetría de comportamiento: los infostealers dejan huellas detectables, como el acceso masivo al fichero
Login Data, la lectura de directorios de carteras cripto o procesos ofimáticos que lanzan PowerShell. Un buen EDR alerta sobre estos patrones aunque el binario sea desconocido. - Higiene del navegador: evitar guardar contraseñas en el navegador para cuentas críticas y usar un gestor de contraseñas dedicado con bloqueo automático.
- Segregación: no usar equipos personales para acceder a recursos corporativos, y viceversa.
Para responsables de seguridad
- Monitorización de credenciales filtradas y de logs en fuentes clandestinas, para detectar cuándo un dominio propio aparece en un stealer log y forzar la rotación antes de que un IAB lo explote.
- MFA resistente al phishing con FIDO2 y passkeys, que no depende de secretos reutilizables.
- Sesiones cortas y token binding: reducir la vida útil de las cookies y adoptar DBSC o DPoP allí donde sea posible, de modo que una cookie robada caduque rápido o no funcione fuera del dispositivo.
- Revocación centralizada de sesiones ante cualquier indicio de compromiso, sin esperar a la caducidad natural.
Preguntas frecuentes
¿Qué es un stealer?
Un stealer es la forma abreviada de information stealer o infostealer: un malware cuyo único propósito es robar información sensible (contraseñas, cookies, carteras, tokens) de un equipo y enviarla al atacante. El resultado de su ejecución es un stealer log, el paquete con todos los datos exfiltrados.
¿Qué es un infostealer y en qué se diferencia de un troyano?
Un infostealer es un malware especializado en robar credenciales y secretos. Muchos infostealers se distribuyen como troyanos, es decir, ocultos en un programa aparentemente legítimo, pero el troyano describe el método de entrega y el infostealer describe la función. Un troyano puede hacer muchas cosas; un infostealer se dedica en exclusiva al robo silencioso de datos.
¿El MFA me protege de un infostealer?
Solo en parte. El MFA protege el inicio de sesión, pero un infostealer roba la cookie de sesión ya autenticada y permite al atacante reutilizarla sin volver a pasar el segundo factor (pass-the-cookie). Para mitigarlo hacen falta sesiones cortas, token binding y MFA resistente al phishing como FIDO2.
¿Cómo sé si mis credenciales están en un stealer log?
A nivel personal, servicios de aviso de filtraciones pueden indicar si tu correo aparece en brechas conocidas. A nivel corporativo, la monitorización especializada de credenciales y logs en fuentes clandestinas permite detectar cuándo un dominio propio aparece expuesto y forzar la rotación de contraseñas y la revocación de sesiones.
¿Los infostealers afectan solo a Windows?
No. Windows sigue siendo el objetivo principal por volumen, pero macOS es un blanco creciente con familias como Atomic Stealer (AMOS), distribuido mediante instaladores falsos y malvertising. También existen variantes que roban credenciales en Android.
Recursos relacionados
- Tipos de malware
- Qué es un troyano
- Tipos de virus informáticos
- Ransomware en España 2026
- Seguridad de ChatGPT en empresas y riesgos 2026
Protección frente a infostealers con Secra
En Secra ayudamos a las organizaciones a cortar la cadena que va del robo de credenciales al incidente grave: monitorización de credenciales y stealer logs en fuentes clandestinas, endurecimiento de la autenticación con MFA resistente al phishing y token binding, revisión de la política de sesiones y despliegue de detección basada en comportamiento. Lo integramos dentro de nuestro servicio de ciberseguridad gestionada, pensado para detectar la exposición antes de que un Initial Access Broker la convierta en una intrusión.
Solicita una evaluación inicial y planifiquemos juntos la defensa frente a infostealers de tu organización.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

