Recientemente, un anuncio publicado en el mercado ilÃcito Lumma Market, alojado en la dark web, expuso la venta de un lote de datos robados desde un dispositivo con dirección IP mexicana (201.119.8.84). Este caso, analizado por la unidad de investigación de SILIKN, evidencia la sofisticación y peligrosidad de Lumma Infostealer, un malware que opera bajo el modelo Malware-as-a-Service (MaaS) y que ha ganado protagonismo en el panorama de ciberseguridad en México.
Datos robados: cookies y contraseñas al alcance de un dólar
VÃctor Ruiz, fundador de SILIKN, informó que el anuncio, fechado el 10 de junio de 2025, ofrece por apenas un dólar un paquete que incluye 209 contraseñas y 5,133 cookies extraÃdas de servicios populares como Facebook, Instagram, Twitter, TikTok, OKX, LinkedIn, Pinterest, YouTube y Google. Estas cookies permiten a los atacantes acceder a cuentas sin necesidad de contraseñas, facilitando fraudes y accesos no autorizados. Entre las contraseñas comprometidas, se identificaron accesos a plataformas como Facebook y Battle.net. A pesar del bajo costo, esta estrategia responde a un modelo de negocio basado en el volumen: vender grandes cantidades de datos robados a precios mÃnimos para obtener ganancias significativas.
VÃctor Ruiz, fundador de SILIKN, informó que el anuncio, fechado el 10 de junio de 2025, ofrece por apenas un dólar un paquete que incluye 209 contraseñas y 5,133 cookies extraÃdas de servicios populares como Facebook, Instagram, Twitter, TikTok, OKX, LinkedIn, Pinterest, YouTube y Google. Estas cookies permiten a los atacantes acceder a cuentas sin necesidad de contraseñas, facilitando fraudes y accesos no autorizados. Entre las contraseñas comprometidas, se identificaron accesos a plataformas como Facebook y Battle.net. A pesar del bajo costo, esta estrategia responde a un modelo de negocio basado en el volumen: vender grandes cantidades de datos robados a precios mÃnimos para obtener ganancias significativas.
La unidad de investigación de SILIKN advierte que interactuar con sitios como lumma-market.ru, donde se aloja este tipo de contenido, puede exponer a los usuarios a nuevas infecciones o fraudes adicionales.
Lumma Infostealer: amenaza persistente
El directivo de SILIKN explicó que Infostealer funciona mediante un esquema MaaS, donde los desarrolladores alquilan el software a otros cibercriminales. Su operación incluye las siguientes etapas:
El directivo de SILIKN explicó que Infostealer funciona mediante un esquema MaaS, donde los desarrolladores alquilan el software a otros cibercriminales. Su operación incluye las siguientes etapas:
– Infección inicial: se logra mediante técnicas de ingenierÃa social, como correos electrónicos de phishing que simulan notificaciones de servicios mexicanos (CFE, Telmex, bancos) o archivos maliciosos disfrazados de facturas, PDFs o software crackeado, distribuidos en canales como YouTube y Telegram.- Exfiltración de datos: Una vez instalado, el malware recolecta cookies, contraseñas, tokens de autenticación y datos de criptomonedas.
– EnvÃo a servidores de comando y control (C2): los datos se transmiten a infraestructuras en su mayorÃa ubicadas en Rusia.
– Venta en mercados ilÃcitos: los datos son comercializados en plataformas como Lumma Market, alimentando el ecosistema del cibercrimen.
México: objetivo prioritario para los operadores de Lumma
Durante 2024 y 2025, México ha sido uno de los paÃses más afectados por campañas de Lumma Infostealer. La unidad de investigación de SILIKN ha detectado tácticas especÃficas dirigidas al paÃs, incluyendo:
Durante 2024 y 2025, México ha sido uno de los paÃses más afectados por campañas de Lumma Infostealer. La unidad de investigación de SILIKN ha detectado tácticas especÃficas dirigidas al paÃs, incluyendo:
– Phishing localizado: correos que imitan servicios nacionales para generar confianza.
– Ataques al sector educativo: instituciones han sido comprometidas para distribuir malware a través de sitios legÃtimos.
РInter̩s en criptomonedas: el crecimiento del uso de activos digitales ha motivado campa̱as dirigidas a robar credenciales de plataformas como OKX.
– Uso de técnicas sofisticadas: se emplean páginas falsas de reCAPTCHA alojadas en servicios de nube confiables, dificultando la detección por soluciones de seguridad tradicionales.
Operación internacional contra Lumma
El 15 de mayo de 2025, Europol, el FBI y otras agencias internacionales coordinaron una operación para desmantelar parte de la infraestructura de Lumma. Se confiscaron más de 2,500 dominios utilizados como servidores C2 y paneles de administración. Esto generó quejas de cibercriminales en foros de la dark web por la interrupción del servicio. Sin embargo, la operación no logró neutralizar por completo las capacidades del malware. Los servidores alojados en Rusia permanecieron activos, y el 23 de mayo, el desarrollador principal de Lumma confirmó que no se realizaron arrestos y que el servicio habÃa sido restaurado. Para el 29 de mayo, un bot en Telegram ya ofrecÃa 406 registros robados de 41 paÃses, lo que demuestra la resiliencia de esta amenaza.
El 15 de mayo de 2025, Europol, el FBI y otras agencias internacionales coordinaron una operación para desmantelar parte de la infraestructura de Lumma. Se confiscaron más de 2,500 dominios utilizados como servidores C2 y paneles de administración. Esto generó quejas de cibercriminales en foros de la dark web por la interrupción del servicio. Sin embargo, la operación no logró neutralizar por completo las capacidades del malware. Los servidores alojados en Rusia permanecieron activos, y el 23 de mayo, el desarrollador principal de Lumma confirmó que no se realizaron arrestos y que el servicio habÃa sido restaurado. Para el 29 de mayo, un bot en Telegram ya ofrecÃa 406 registros robados de 41 paÃses, lo que demuestra la resiliencia de esta amenaza.
Caso representativo: IP 201.119.8.84
El dispositivo ubicado en México, identificado por la dirección IP 201.119.8.84, representa un ejemplo concreto de cómo los datos robados se comercializan rápidamente en mercados ilÃcitos. Esto compromete la seguridad de usuarios individuales, asà como de las organizaciones cuyos empleados pueden ser vÃctimas de estas campañas.
El dispositivo ubicado en México, identificado por la dirección IP 201.119.8.84, representa un ejemplo concreto de cómo los datos robados se comercializan rápidamente en mercados ilÃcitos. Esto compromete la seguridad de usuarios individuales, asà como de las organizaciones cuyos empleados pueden ser vÃctimas de estas campañas.
