Microsoft e Interpol anunciaron esta semana la desarticulación de la infraestructura del malware Lumma Stealer, una de las herramientas más utilizadas en todo el mundo por ciberdelincuentes para robar información sensible como contraseñas, datos bancarios, tarjetas de crédito y billeteras digitales de criptomonedas.
El operativo se llevó a cabo tras una acción legal iniciada por la Unidad de Delitos Digitales (DCU) de Microsoft el 13 de mayo de 2025, que permitió incautar y bloquear aproximadamente 2300 dominios maliciosos que formaban la columna vertebral del infostealer.
Disponible desde 2022, Lumma fue desarrollado por un programador radicado en Rusia que se hace llamar Shamel. Entre marzo y mayo de 2025, este malware infectó más de 394.000 computadoras con Windows en todo el mundo, principalmente en Europa, Estados Unidos, Brasil y México.
La propagación se facilitó mediante campañas de phishing que suplantaban dominios legítimos para engañar a usuarios y robar sus datos.
En paralelo, el Departamento de Justicia estadounidense incautó la estructura de mando central del malware y desarticuló los mercados donde se vendía esta herramienta. Así, consiguió hacerse con el control de la entidad central del ecosistema Lumma, lo que obstaculizó el uso de la plataforma dedicada a la reventa de los datos robados por el virus.
Cómo funcionaba el malware infostealer Lumma
Lumma era un malware avanzado diseñado para el robo de información, que permitía a los ciberdelincuentes extraer datos sensibles de dispositivos infectados, como contraseñas, cookies de sesión o datos bancarios. Lo que lo hacía especialmente peligroso no era solo su capacidad técnica, sino su accesibilidad: estaba pensado para que incluso personas con pocos conocimientos técnicos pudieran usarlo.
Además, no funcionaba solo como un software aislado, sino como parte de una plataforma más amplia que facilitaba su distribución y comercialización. Esta plataforma operaba en mercados clandestinos, donde se ofrecía bajo un modelo de malware como servicio (malware as a service), es decir, los atacantes podían alquilar o comprar el malware como si se tratara de un producto comercial.
Así era la estructura y proceso de robo de datos de Lumma
- 1. Un afiliado de Lumma Stealer, es decir, alguien que usaba este malware, posiblemente alquilándolo o comprándolo a través de un mercado clandestino, espera que la víctima visite un sitio web comprometido.
- 2. Cuando la víctima entra al sitio, el atacante utiliza una técnica llamada ClickFix, que implica manipular al usuario con ingeniería social para que ejecute un comando sin saber que es malicioso.
- 3. Ese comando descarga y lanza un código malicioso que estaba escondido o disfrazado para evitar ser detectado por antivirus u otras herramientas de seguridad.
- 4. Ese código malicioso descarga e instala el malware Lumma Stealer al dispositivo de la víctima.
- 5. Una vez instalado, Lumma Stealer accede a las credenciales (como nombres de usuario y contraseñas) y otra información sensible que encuentra en el dispositivo infectado.
- 6. Finalmente, toda esa información robada se envía (se exfiltra) a través de un canal de comando y control (C2), que es una infraestructura controlada por los atacantes para recibir los datos robados y posiblemente dar instrucciones al malware.
Gracias a esta estructura, Lumma se convirtió en una herramienta habitual para actividades delictivas como la suplantación de identidad y el fraude financiero.
En una entrevista con el bloguero de ciberseguridad g0onxja a finales de 2023, Shamel afirmaba tener unos 400 clientes. Incluso creó un logotipo asociado a su software, que representa un pájaro blanco sobre fondo azul.
“Esta operación es un claro ejemplo de cómo la colaboración público-privada está transformando la lucha contra los grupos de criminales digitales”, comentó al respecto Edvardas Sileris, jefe del Centro Europeo de Ciberdelincuencia de Europol, citado en un comunicado de la agencia europea.
