Recientemente, un anuncio publicado en el mercado ilícito Lumma Market, alojado en la dark web, expuso la venta de un lote de datos robados desde un dispositivo con dirección IP mexicana (201.119.8.84). Este caso, analizado por la unidad de investigación de SILIKN, evidencia la sofisticación y peligrosidad de Lumma Infostealer, un malware que opera bajo el modelo Malware-as-a-Service (MaaS) y que ha ganado protagonismo en el panorama de ciberseguridad en México.
Datos robados: cookies y contraseñas al alcance de un dólar
Víctor Ruiz, fundador de SILIKN, informó que el anuncio, fechado el 10 de junio de 2025, ofrece por apenas un dólar un paquete que incluye 209 contraseñas y 5,133 cookies extraídas de servicios populares como Facebook, Instagram, Twitter, TikTok, OKX, LinkedIn, Pinterest, YouTube y Google. Estas cookies permiten a los atacantes acceder a cuentas sin necesidad de contraseñas, facilitando fraudes y accesos no autorizados. Entre las contraseñas comprometidas, se identificaron accesos a plataformas como Facebook y Battle.net. A pesar del bajo costo, esta estrategia responde a un modelo de negocio basado en el volumen: vender grandes cantidades de datos robados a precios mínimos para obtener ganancias significativas.
Víctor Ruiz, fundador de SILIKN, informó que el anuncio, fechado el 10 de junio de 2025, ofrece por apenas un dólar un paquete que incluye 209 contraseñas y 5,133 cookies extraídas de servicios populares como Facebook, Instagram, Twitter, TikTok, OKX, LinkedIn, Pinterest, YouTube y Google. Estas cookies permiten a los atacantes acceder a cuentas sin necesidad de contraseñas, facilitando fraudes y accesos no autorizados. Entre las contraseñas comprometidas, se identificaron accesos a plataformas como Facebook y Battle.net. A pesar del bajo costo, esta estrategia responde a un modelo de negocio basado en el volumen: vender grandes cantidades de datos robados a precios mínimos para obtener ganancias significativas.
La unidad de investigación de SILIKN advierte que interactuar con sitios como lumma-market.ru, donde se aloja este tipo de contenido, puede exponer a los usuarios a nuevas infecciones o fraudes adicionales.
Lumma Infostealer: amenaza persistente
El directivo de SILIKN explicó que Infostealer funciona mediante un esquema MaaS, donde los desarrolladores alquilan el software a otros cibercriminales. Su operación incluye las siguientes etapas:
El directivo de SILIKN explicó que Infostealer funciona mediante un esquema MaaS, donde los desarrolladores alquilan el software a otros cibercriminales. Su operación incluye las siguientes etapas:
– Infección inicial: se logra mediante técnicas de ingeniería social, como correos electrónicos de phishing que simulan notificaciones de servicios mexicanos (CFE, Telmex, bancos) o archivos maliciosos disfrazados de facturas, PDFs o software crackeado, distribuidos en canales como YouTube y Telegram.- Exfiltración de datos: Una vez instalado, el malware recolecta cookies, contraseñas, tokens de autenticación y datos de criptomonedas.
– Envío a servidores de comando y control (C2): los datos se transmiten a infraestructuras en su mayoría ubicadas en Rusia.
– Venta en mercados ilícitos: los datos son comercializados en plataformas como Lumma Market, alimentando el ecosistema del cibercrimen.
México: objetivo prioritario para los operadores de Lumma
Durante 2024 y 2025, México ha sido uno de los países más afectados por campañas de Lumma Infostealer. La unidad de investigación de SILIKN ha detectado tácticas específicas dirigidas al país, incluyendo:
Durante 2024 y 2025, México ha sido uno de los países más afectados por campañas de Lumma Infostealer. La unidad de investigación de SILIKN ha detectado tácticas específicas dirigidas al país, incluyendo:
– Phishing localizado: correos que imitan servicios nacionales para generar confianza.
– Ataques al sector educativo: instituciones han sido comprometidas para distribuir malware a través de sitios legítimos.
– Interés en criptomonedas: el crecimiento del uso de activos digitales ha motivado campañas dirigidas a robar credenciales de plataformas como OKX.
– Uso de técnicas sofisticadas: se emplean páginas falsas de reCAPTCHA alojadas en servicios de nube confiables, dificultando la detección por soluciones de seguridad tradicionales.
Operación internacional contra Lumma
El 15 de mayo de 2025, Europol, el FBI y otras agencias internacionales coordinaron una operación para desmantelar parte de la infraestructura de Lumma. Se confiscaron más de 2,500 dominios utilizados como servidores C2 y paneles de administración. Esto generó quejas de cibercriminales en foros de la dark web por la interrupción del servicio. Sin embargo, la operación no logró neutralizar por completo las capacidades del malware. Los servidores alojados en Rusia permanecieron activos, y el 23 de mayo, el desarrollador principal de Lumma confirmó que no se realizaron arrestos y que el servicio había sido restaurado. Para el 29 de mayo, un bot en Telegram ya ofrecía 406 registros robados de 41 países, lo que demuestra la resiliencia de esta amenaza.
El 15 de mayo de 2025, Europol, el FBI y otras agencias internacionales coordinaron una operación para desmantelar parte de la infraestructura de Lumma. Se confiscaron más de 2,500 dominios utilizados como servidores C2 y paneles de administración. Esto generó quejas de cibercriminales en foros de la dark web por la interrupción del servicio. Sin embargo, la operación no logró neutralizar por completo las capacidades del malware. Los servidores alojados en Rusia permanecieron activos, y el 23 de mayo, el desarrollador principal de Lumma confirmó que no se realizaron arrestos y que el servicio había sido restaurado. Para el 29 de mayo, un bot en Telegram ya ofrecía 406 registros robados de 41 países, lo que demuestra la resiliencia de esta amenaza.
Caso representativo: IP 201.119.8.84
El dispositivo ubicado en México, identificado por la dirección IP 201.119.8.84, representa un ejemplo concreto de cómo los datos robados se comercializan rápidamente en mercados ilícitos. Esto compromete la seguridad de usuarios individuales, así como de las organizaciones cuyos empleados pueden ser víctimas de estas campañas.
El dispositivo ubicado en México, identificado por la dirección IP 201.119.8.84, representa un ejemplo concreto de cómo los datos robados se comercializan rápidamente en mercados ilícitos. Esto compromete la seguridad de usuarios individuales, así como de las organizaciones cuyos empleados pueden ser víctimas de estas campañas.
