- Auge de los infostealers como principal malware de robo de datos en usuarios, gamers y profesionales IT
- Crecimiento drástico de siniestros cibernéticos en España y Europa, con el correo como puerta de entrada clave
- Uso de IA generativa para crear y propagar infostealers a gran escala, también contra plataformas de IA como ChatGPT
- Medidas prácticas para reducir el riesgo: 2FA, higiene de credenciales, descargas seguras y monitorización de endpoints
El robo silencioso de datos ha dejado de ser un argumento de película de hackers con capucha para convertirse en el pan de cada día en la red. Mientras revisas tus redes sociales, juegas una partida online o respondes correos del trabajo, puede haber un programa oculto en tu ordenador copiando credenciales, tarjetas y sesiones activas sin levantar sospechas.
Ese programa tiene nombre y apellidos: infostealers. Este tipo de malware especializado en el robo de información se ha consolidado como una de las herramientas favoritas del cibercrimen, tanto en el entorno doméstico como en el profesional. Y, según los últimos informes, su impacto se está disparando en España, Europa y el resto del mundo impulsado, entre otros factores, por la inteligencia artificial.
Un auge preocupante: más siniestros y ataques más sigilosos
Los datos apuntan en la misma dirección: los incidentes de ciberseguridad relacionados con malware y robo de información no paran de crecer. El Informe de Siniestros Cibernéticos de Stoïk, insurtech especializada en ciberseguros, refleja que la frecuencia de siniestros declarados por sus asegurados en España prácticamente se ha triplicado en un año: ha pasado de un 4,34% al borde del 11%, lo que supone un incremento del 143% en tan solo un ejercicio.
Según explica Juan Ignacio Ramallo, Country Manager de Stoïk en España, este repunte no responde solo a que los delincuentes estén atacando más, sino también a que las empresas son cada vez más conscientes del riesgo y reportan más incidentes. Detrás de buena parte de esos casos se encuentran campañas donde el robo de credenciales y sesiones mediante malware discreto está a la orden del día.
El correo electrónico continúa siendo la puerta de entrada por excelencia: en torno al 59% de los ataques que terminan en siniestro se inician a través del email, habitualmente mediante phishing o documentos adjuntos maliciosos que camuflan infostealers o descargadores de malware. Les siguen el compromiso de activos expuestos en Internet (12%) y de activos internos (7%), en intrusiones más técnicas pero igualmente críticas.
Aunque el ransomware mantiene un papel relevante por su capacidad de paralizar compañías, supone en torno al 5% del total de incidentes por categoría en el informe de Stoïk, mientras que el robo masivo y silencioso de datos mediante infostealers gana terreno como motor de muchas brechas.
Qué es un infostealer y por qué es tan difícil detectarlo
Los infostealers son programas maliciosos diseñados específicamente para extraer información sensible de un dispositivo infectado. A diferencia de otras amenazas que rompen, cifran o bloquean el sistema, estos bichos van a lo sigiloso: su función es recopilar todo lo que tenga valor económico o estratégico y enviarlo al atacante sin hacer ruido.
Una vez logran colarse en el equipo, revisan a fondo aquello que el usuario suele olvidar que está ahí: contraseñas guardadas en el navegador, cookies de sesión, datos de tarjetas, credenciales de banca online, accesos a redes sociales, plataformas de videojuegos, servicios en la nube o herramientas corporativas. Con frecuencia también capturan sesiones abiertas, de modo que el delincuente puede entrar directamente a las cuentas sin conocer la contraseña.
La víctima suele darse cuenta cuando ya es tarde: compras no autorizadas, inicios de sesión sospechosos desde otros países, bloqueo de cuentas o cambios inesperados de contraseña. Hasta ese momento, el ordenador parece funcionar con normalidad, lo que hace que estos ataques pasen desapercibidos durante semanas o meses.
De acuerdo con análisis de NordVPN y su plataforma NordStellar, en 2025 se identificaron casi 500 millones de registros vinculados a campañas de infostealers en todo el mundo. Cientos de variantes, gestionadas por distintos grupos criminales, se distribuyen a través de publicidad maliciosa, software falso, páginas de descargas pirata, cracks, mods y enlaces compartidos en mensajería o redes sociales.
Prácticamente el 99% de las infecciones detectadas se concentran en equipos con Windows. No es que el sistema sea intrínsecamente inseguro, sino que es el más extendido en ordenadores personales y de trabajo y, por tanto, el objetivo más rentable para campañas a gran escala.
Usuarios de redes sociales, gamers y profesionales IT: las víctimas favoritas
Los estudios recientes coinciden en que el perfil de la víctima ya no es el directivo de una gran multinacional, sino cualquiera que mantenga una vida digital intensa. NordVPN identifica tres grupos especialmente expuestos a los infostealers, tanto en Europa como en Latinoamérica, que son perfectamente extrapolables al contexto español.
En primer lugar, están los usuarios cotidianos de internet y redes sociales. Personas que pasan buena parte del día conectadas a plataformas como Instagram, Facebook, Discord o X, servicios de streaming o tiendas online. Solo en 2025, se detectaron alrededor de 65 millones de registros robados asociados a redes sociales, 28 millones vinculados a servicios de streaming y más de 26 millones procedentes de marketplaces como Amazon o eBay.
El valor para los delincuentes es muy claro: una sesión de navegador robada puede bastar para entrar al correo, a las tiendas digitales o incluso a servicios de pago, sin necesidad de adivinar la contraseña. Si, además, el usuario reutiliza claves en distintos servicios, el efecto dominó es inmediato.
El segundo gran bloque son los gamers. Más de 53 millones de registros comprometidos en 2025 estaban relacionados con plataformas como Steam, Epic Games, Fortnite, Twitch, Riot, Roblox o Minecraft. Estas cuentas suelen estar vinculadas a métodos de pago, compras in-game y objetos virtuales con un alto valor de reventa en mercados ilegales.
Las infecciones, en este caso, suelen llegar disfrazadas de mods, trucos, juegos pirateados o lanzadores no oficiales, a menudo descargados desde foros y páginas poco fiables. El riesgo se multiplica en ordenadores compartidos en los que un único archivo malicioso puede comprometer cuentas de toda la familia.
El tercer grupo lo constituyen los profesionales de tecnología y desarrollo. En 2025 se contabilizaron cerca de 27 millones de registros afectados en perfiles ligados a herramientas de programación, servicios en la nube, accesos remotos y portales corporativos. Un solo inicio de sesión robado en este entorno puede abrir la puerta a infraestructuras críticas, bases de datos internas o redes empresariales completas, elevando el impacto de un simple infostealer a un incidente mayor para toda la organización.
Infostealers en el punto de mira de la IA: de documentos falsos a credenciales de ChatGPT
La consolidación de los infostealers coincide con el salto de la IA generativa al terreno del cibercrimen. Tanto Stoïk como firmas como IBM X-Force o NTT Data advierten de que la inteligencia artificial se ha convertido en un acelerador de este tipo de ataques, multiplicando su alcance y eficacia.
Por un lado, los delincuentes utilizan la IA para generar documentos y archivos casi indistinguibles de los legítimos: PDFs que parecen informes corporativos, extensiones de navegador aparentemente inofensivas, instaladores “normales” o incluso campañas de phishing con un lenguaje muy pulido y adaptado al contexto de la víctima. Todo ello se integra en flujos de trabajo habituales, lo que les permite esquivar muchos controles de seguridad tradicionales.
Por otro, la IA también se ha convertido en objetivo. El Índice de Inteligencia de Amenazas X-Force 2026 de IBM apunta que los infostealers expusieron el año pasado más de 300.000 credenciales de ChatGPT y otros servicios de OpenAI. Esto no solo abre la puerta al uso fraudulento de cuentas de pago, sino también a la manipulación de conversaciones y a la obtención de datos sensibles introducidos por los usuarios en estas plataformas.
Los expertos de IBM subrayan que las credenciales de los grandes servicios de IA han alcanzado ya un nivel de riesgo similar al de otras soluciones SaaS corporativas. Es decir, para muchos atacantes, robar accesos a un chatbot avanzado es tan atractivo como comprometer una herramienta de colaboración o un CRM empresarial.
Además, los grupos criminales recurren a la inteligencia artificial para identificar vulnerabilidades con mayor rapidez, optimizar sus campañas de explotación de aplicaciones públicas y automatizar tareas tradicionalmente manuales, desde el análisis de grandes volúmenes de datos robados hasta la generación de nuevas variantes de malware.
Un cambio de táctica global: ataques más lentos, discretos y persistentes
El contexto internacional muestra que los infostealers forman parte de una estrategia más amplia de ataques sigilosos. El informe “Compromise Report 2026” de la empresa de ciberseguridad Lumu, centrado en Latinoamérica pero extrapolable a otras regiones, describe un escenario en el que los delincuentes han pasado de operaciones ruidosas a tácticas “low-and-slow”, basadas en la evasión continua.
Según este análisis, herramientas como anonymizers (Tor, VPN privadas), droppers, downloaders e infostealers lideran las técnicas empleadas, junto con el ransomware. El foco está en permanecer dentro de las redes el máximo tiempo posible, camuflándose en el tráfico legítimo y utilizando técnicas de Living-off-the-Land, que aprovechan herramientas ya instaladas en los sistemas en lugar de introducir utilidades externas fácilmente detectables.
Los datos del marco MITRE ATT&CK muestran que las tácticas de Comando y Control han ganado peso frente a la simple ejecución de código, lo que indica que los adversarios priorizan mantener canales de comunicación discretos con los equipos comprometidos para seguir extrayendo información, distribuir infostealers adicionales o preparar ataques posteriores.
A nivel sectorial, Lumu detecta que Telecomunicaciones, Gobierno, Educación y ciertos servicios críticos concentran buena parte del impacto de los infostealers y del ransomware, especialmente en Centroamérica, el Caribe, Sudamérica y México. Todo ello pone de relieve que el robo de información ya no es un problema aislado de usuarios individuales, sino una amenaza transversal que afecta a cadenas de suministro completas.
Incluso tras operaciones de desmantelamiento de ciertos proyectos de malware como Lumma Stealer, los sensores de la compañía han seguido detectando nuevas variantes más resilientes y la aparición de otros ladrones de credenciales financieras, como MagentoCore, Remo o Ramnit, que continúan alimentando el mercado negro de datos.
La IA como arma de doble filo y la banalización del malware
Las investigaciones de NTT Data insisten en que las herramientas de ataque son cada vez más accesibles, incluso para delincuentes con conocimientos técnicos limitados. Gracias a la IA, es posible lanzar campañas sofisticadas con un esfuerzo mucho menor, automatizando parte del proceso y personalizando los mensajes para que resulten más convincentes.
Los deepfakes son el ejemplo más vistoso, con vídeos y audios manipulados casi imposibles de distinguir de los reales, utilizados para fraudes financieros o suplantaciones de identidad. Sin embargo, cuando estas técnicas se combinan con infostealers, el resultado es un escenario en el que un vídeo falso puede servir como anzuelo, mientras el malware se encarga en segundo plano de recopilar credenciales y sesiones.
Expertos como Diego Turiegano de las Heras advierten de que en 2026 veremos un uso aún más habitual de estas falsificaciones en tiempo real, especialmente en entornos profesionales con un alto grado de confianza en la comunicación por videollamada. Paralelamente, se espera la aparición de las primeras campañas masivas de malware generado con ayuda de IA, algo que encaja con la proliferación de nuevos infostealers detectados por distintas firmas.
Todo ello plantea un reto claro para empresas y administraciones europeas: aprovechar las ventajas de la IA para mejorar la detección y respuesta a incidentes sin abrir nuevas brechas de seguridad por una adopción apresurada o sin análisis de riesgos.
En este contexto, los infostealers se convierten en el síntoma de un problema más amplio: la facilidad con la que cualquiera puede convertir un ordenador doméstico, un portátil corporativo o incluso una consola de videojuegos en una fuente silenciosa de contraseñas y accesos para el crimen digital.
Cómo se propagan los infostealers y por qué afectan tanto a España y Europa
Los vectores de entrada más habituales de los infostealers no son especialmente sofisticados, y ahí radica parte de su éxito. En entornos empresariales españoles y europeos, como refleja Stoïk, el email es la vía principal de compromiso, ya sea mediante enlaces a páginas falsas, documentos ofimáticos que incluyen macros maliciosas o facturas simuladas que descargan un dropper.
Fuera del ámbito corporativo, predominan las descargas de software pirata, cracks, keygens, mods de videojuegos y programas “gratuitos” que prometen funcionalidades extra. Muchos infostealers se infiltran también a través de extensiones de navegador fraudulentas que aparentan ofrecer servicios útiles (bloqueadores de anuncios, conversores, cupones de descuento) y acaban interceptando todo lo que pasa por el navegador.
En ambos casos, los atacantes se apoyan en campañas de publicidad maliciosa y posicionamiento en buscadores, de modo que un usuario que busque un programa determinado pueda terminar en una página trampa que distribuye malware. Con el apoyo de la IA, este tipo de señuelos resulta cada vez más verosímil y adaptado al idioma, sector o incluso país de la víctima.
Europa no es ajena a este fenómeno: el fuerte grado de digitalización de la economía, el uso masivo de plataformas SaaS y la generalización del teletrabajo han aumentado la superficie de ataque. Muchas pymes aún arrastran carencias en higiene de credenciales, segmentación de redes y monitorización de endpoints, lo que facilita que un infostealer que entra por una cuenta personal termine comprometiendo entornos corporativos.
Al mismo tiempo, las grandes plataformas europeas de servicios, comercio electrónico y banca online se han convertido en objetivos prioritarios para los grupos de ciberdelincuentes, que buscan acumular el máximo número posible de accesos aprovechando la reutilización de contraseñas y la costumbre de dejar sesiones siempre abiertas.
Medidas para frenar el impacto: de la 2FA a la formación continua
La buena noticia es que, pese a la sofisticación de muchas campañas, reducir el riesgo de los infostealers no exige ser experto en ciberseguridad. Una combinación de medidas técnicas básicas y cambios de hábito puede marcar una diferencia notable tanto para usuarios como para empresas.
Como primer paso, los especialistas recomiendan activar la verificación en dos pasos (2FA) en todas las cuentas que lo permitan: correo, redes sociales, servicios bancarios, plataformas de videojuegos y aplicaciones de trabajo. Incluso si un infostealer consigue robar la contraseña, el acceso seguirá bloqueado sin ese segundo factor.
También es clave evitar descargas de fuentes dudosas. Mods, cracks, “activadores” y software pirata concentran una gran parte de las infecciones. Lo más prudente es instalar aplicaciones únicamente desde sitios oficiales, tiendas reconocidas o repositorios verificados, aunque suponga renunciar a ciertas ventajas aparentemente gratuitas.
Otra medida sencilla consiste en revisar periódicamente las contraseñas guardadas en los navegadores y eliminar aquellas que ya no se utilizan o pertenecen a servicios poco relevantes. Cuanta menos información se almacene localmente, menor será el botín que un infostealer pueda extraer si logra entrar.
En el plano técnico, resulta imprescindible mantener el sistema operativo y las aplicaciones siempre actualizados. Muchas actualizaciones corrigen vulnerabilidades que este tipo de malware aprovecha para tener más facilidades a la hora de infiltrarse. Complementariamente, soluciones de monitorización de endpoints, antivirus de nueva generación y sistemas EDR ayudan a detectar comportamientos anómalos incluso en amenazas diseñadas para pasar desapercibidas.
Por último, tanto usuarios como empresas se benefician de algo tan simple como cerrar las sesiones que no se estén utilizando. Limitar el número de cuentas abiertas reduce las oportunidades para que un atacante abuse de tokens de sesión robados y dificulta los movimientos laterales desde una cuenta personal a otras más sensibles.
En un escenario en el que la economía se digitaliza a toda velocidad y nuestra vida diaria transcurre entre redes sociales, plataformas de juego, servicios en la nube y chatbots de IA, los infostealers se han convertido en la pieza discreta pero central del nuevo ecosistema del cibercrimen. Su capacidad para operar en segundo plano, combinada con herramientas de inteligencia artificial y malas prácticas de seguridad, explica el aumento de siniestros y brechas de datos que se observa en España, Europa y otras regiones. La respuesta pasa por asumir que la amenaza ya está dentro, reforzar la vigilancia sobre dispositivos y credenciales y adoptar hábitos digitales más prudentes, antes de que ese robo silencioso termine teniendo consecuencias muy ruidosas en nuestras finanzas, nuestro trabajo o nuestra identidad online.
