Según la investigación más reciente de la empresa de ciberseguridad NordVPN, México ocupa un lugar preocupante en el ranking global de cookies filtradas, al posicionarse en el puesto 11 de 253 países. Casi 2.500 millones de cookies vinculadas a personas usuarias en Estados Unidos se han encontrado en la dark web.

Aunque las cookies suelen considerarse útiles para mejorar la experiencia online, muchas personas no saben que los hackers pueden aprovecharlas para robar datos personales y acceder a sistemas protegidos.

“Las cookies pueden parecer inofensivas, pero en las manos equivocadas, son llaves digitales a nuestra información más privada”, indicó Adrianus Warmenhoven, experto en Ciberseguridad de NordVPN. “Algo que se diseñó para brindar comodidad se ha convertido en una vulnerabilidad cada vez más explotada por ciberdelincuentes en todo el mundo.”

El riesgo oculto detrás de la navegación diaria

Las cookies son pequeños archivos de texto que las páginas web guardan en el navegador del usuario para recordar sus preferencias, datos de acceso y hábitos de navegación. Cumplen una función clave al hacer más fluida la experiencia online: ayudan a que las páginas carguen más rápido, mantienen los carritos de compra llenos y permiten que los usuarios permanezcan conectados entre sesiones. Sin cookies, la comodidad y personalización del internet actual se verían gravemente limitadas.

Sin embargo, conforme el entorno digital evoluciona, también lo hace el uso indebido de estas herramientas. Los ciberdelincuentes han aprendido a recolectar cookies para secuestrar sesiones, robar identidades y eludir medidas de seguridad.

“La mayoría de las personas no se da cuenta de que una cookie robada puede ser tan peligrosa como una contraseña expuesta”, afirmó Warmenhoven. “Una vez interceptada, una cookie puede dar a los hackers acceso directo a cuentas y datos sensibles, sin necesidad de iniciar sesión”.

Millones de datos personales quedaron expuestos

La investigación de NordVPN reveló una operación masiva de malware que robó casi 94 mil millones de cookies, un aumento drástico frente a los 54 mil millones del año pasado, lo que representa un incremento del 74%. Aún más preocupante es que el 20,55% de estas cookies sigue activo, lo que representa un riesgo constante para la privacidad en línea de los usuarios.

La mayoría de las cookies robadas provenía de plataformas populares, como Google (4.500 millones), YouTube (1.330 millones) y más de 1.000 millones tanto de Microsoft como de Bing.

El crecimiento también resulta alarmante al comparar la exposición de datos personales en los últimos años. En 2024, NordVPN identificó 10.500 millones de identificadores únicos, 739 millones de identificadores de sesión, 154 millones de tokens de autenticación y 37 millones de credenciales de acceso. En 2025, esas cifras aumentaron de forma considerable, con 18 mil millones de identificadores únicos y 1.200 millones de identificadores de sesión expuestos. Estos tipos de datos son fundamentales para identificar a los usuarios y proteger sus cuentas online, por lo que resultan muy valiosos para los ciberdelincuentes.

La información robada a menudo incluía nombres completos, correos electrónicos, ciudades, contraseñas y direcciones físicas, datos personales esenciales que pueden usarse para robo de identidad, fraude y acceso no autorizado a cuentas.

Los datos se recopilaron usando 38 tipos diferentes de malware, más del triple de los 12 tipos identificados el año pasado. Las variantes más activas fueron Redline (41.600 millones de cookies), Vidar (10 mil millones) y LummaC2 (9 mil millones). Estas familias de malware son conocidas por robar datos de acceso, contraseñas y otra información sensible.

• Redline es un potente software espía que extrae contraseñas guardadas, cookies y datos de autocompletar de los navegadores, lo que brinda a los hackers acceso directo a cuentas personales.
• Vidar funciona de manera similar, pero también descarga malware adicional, lo que lo convierte en una puerta de entrada para ataques más complejos.
• LummaC2 es muy difícil de detectar, pues actualiza sus tácticas con frecuencia para evadir las herramientas antivirus y propagarse por los sistemas sin ser descubierto.

Además de estas amenazas conocidas, los investigadores identificaron 26 nuevos tipos de malware que no aparecieron en 2024, lo que refleja la rápida evolución del panorama del crimen digital. Nuevas variantes como RisePro, Stealc, Nexus y Rhadamanthys resultan especialmente peligrosas. RisePro y Stealc roban credenciales de navegador y datos de sesión de forma rápida, mientras que Nexus apunta a información bancaria usando técnicas de emulación móvil. Rhadamanthys destaca por su diseño sigiloso y su capacidad para desplegar malware adicional, lo que lo convierte en una amenaza versátil capaz de causar daños graves.

Las cookies robadas provienen de usuarios de 253 países. Aunque México ocupó el puesto 11 en volumen total, solo el 9,13 % de las cookies estaban activas. Sin embargo, eso representa cerca de 221 millones de cookies vinculadas a la actividad real de los usuarios, lo que implica un riesgo potencial muy alto.

“Incluso un pequeño porcentaje de un conjunto de datos tan grande es enorme”, afirmó Warmenhoven. “Eso significa que cientos de millones de personas podrían estar expuestas al cibercrimen.”

Metodología

Los datos fueron analizados por la plataforma de gestión de amenazas NordStellar. La investigación se llevó a cabo entre el 23 y el 30 de abril (2025). Los investigadores utilizaron datos recopilados de canales de Telegram donde los hackers publicitan la información robada que está disponible para la venta. Esto dio como resultado un conjunto de datos con información sobre más de 93.76 mil millones de cookies. Los investigadores analizaron si las cookies estaban activas o inactivas, qué malware se usó para robarlas, de qué país provenían, así como qué datos contenían respecto a la empresa que creó la cookie, el sistema operativo del usuario y las categorías de palabras clave asignadas a los usuarios. NordVPN no compró cookies robadas, no accedió al contenido de las cookies y solo examinó los tipos de datos que contenían.