Estos programas maliciosos especializados en el robo de información se han disparado, transformándose en la principal amenaza y puerta de entrada a ataques más complejos, advierte un informe de ESET, la compañía de software de ciberseguridad global.
En este 2025, el panorama de la ciberseguridad en Latinoamérica se ha teñido de un color oscuro y preocupante: la imparable proliferación de los infostealers. Estos programas maliciosos, diseñados con una única y sigilosa misión —robar nuestra información más sensible—, no solo se han consolidado como la amenaza más persistente y lucrativa de la región, sino que su expansión está impulsando una nueva era de ataques cibernéticos sofisticados, desde el temido ransomware hasta el espionaje corporativo.
«La evolución y proliferación de los infostealers reflejan un panorama global de amenazas cada vez más sofisticado y con alta capacidad de adaptación», afirma Martina López, investigadora de seguridad informática de ESET Latinoamérica. El reciente análisis de la compañía no deja lugar a dudas: los infostealers han experimentado un crecimiento sin precedentes en volumen y diversidad durante la primera mitad del año, planteando desafíos inéditos para la protección de la información en toda la región.
Cuáles son los programas que dominan las amenazas en latinoamérica
El informe de ESET identifica a seis familias de infostealers que dominan con mano de hierro el panorama de amenazas en Latinoamérica este año: LummaStealer, Amadey, Rozena, Guildma, Formbook y Xloader. Estos programas, expertos en capturar credenciales y datos financieros, han mostrado una actividad particularmente intensa en Brasil, México y Argentina, países que concentran la mayor cantidad de detecciones.
Los infostealers operan con una astucia alarmante: se infiltran de forma casi imperceptible en sistemas individuales o redes corporativas para capturar cualquier dato útil que luego pueda ser utilizado para comprometer cuentas, escalar privilegios dentro de una red o, simplemente, ser comercializado en los oscuros mercados clandestinos de la dark web. Una vez que la información es robada, es empaquetada y enviada a los servidores de los atacantes o, en un giro más moderno, a cuentas de mensajería instantánea con alto nivel de anonimato como Discord o Telegram.
LummaStealer: Encabeza la lista como el infostealer más detectado por los sistemas de ESET, con más de 4.000 detecciones únicas solo en 2025. Surgido alrededor de 2022, su rápida evolución bajo el modelo de Malware-as-a-Service (MaaS) lo convierte en una herramienta accesible para diversos cibercriminales. Su distribución es variada y agresiva: desde falsos instaladores de aplicaciones en sitios fraudulentos y publicidad maliciosa (malvertising) hasta redes sociales y correos electrónicos infectados. Su arquitectura modular es particularmente atractiva, permitiendo añadir funcionalidades como keyloggers o exfiltración de datos vía FTP sin necesidad de recompilar todo el malware, lo que facilita su adaptación y persistencia. En mayo de 2025, ESET colaboró en una operación global para intentar interrumpir su actividad.
Amadey: Activo desde al menos 2018, mantiene su relevancia con casi 2.500 detecciones únicas. Su «doble función» es clave: opera tanto como un infostealer básico como un «loader» de otras amenazas mucho más destructivas, sirviendo de puerta de entrada para ransomware o troyanos bancarios. Su ligereza y bajo nivel de detección le permiten abrir el camino para ataques más complejos sin levantar demasiadas sospechas. Su distribución suele estar ligada al «malspam», con correos electrónicos que simulan facturas, multas o avisos bancarios para engañar a los usuarios.
Rozena: Presente desde al menos 2015, este programa combina funciones de infostealer y «backdoor», destacando por su versatilidad y uso en campañas dirigidas a objetivos específicos. Su distribución principal se realiza mediante archivos aparentemente benignos obtenidos a través de phishing, como documentos de Office con macros maliciosas o ejecutables falsos. Un aspecto relevante de Rozena es su comportamiento «file-less», lo que significa que el código malicioso puede ejecutarse directamente en memoria, reduciendo su huella en el sistema y dificultando enormemente su detección.
Guildma: Forma parte del ecosistema de troyanos bancarios originados en Brasil y ha evolucionado constantemente en sus capacidades y técnicas de distribución. Aunque Brasil sigue siendo su principal territorio de acción, en los últimos años se han registrado campañas dirigidas a usuarios en casi todos los países latinoamericanos. Guildma va más allá del simple robo de credenciales; monitorea el teclado, toma capturas de pantalla e incluso interfiere con sesiones bancarias en tiempo real, simulando clics y manipulando formularios para adaptarse a las interfaces de entidades bancarias locales. Se distribuye mediante campañas masivas de correo electrónico con señuelos como multas o facturas.
Formbook y Xloader: Estas dos familias amplían el alcance de los infostealers, atacando tanto a usuarios de Windows como de macOS.
Formbook, activo desde 2016, se distribuye como malware comercial en foros clandestinos bajo el modelo de Malware-as-a-Service. Su ligereza, accesibilidad y eficacia lo han hecho extremadamente popular entre los ciberatacantes. Su principal objetivo es el robo de credenciales a través de formularios web, capturas de teclado y exfiltración de datos desde navegadores y clientes de correo electrónico.
Xloader es la evolución directa de Formbook, una versión actualizada que amplía funcionalidades y modifica la estrategia de distribución. Mientras Formbook se dirigía principalmente a sistemas Windows, Xloader incorpora variantes capaces de atacar sistemas macOS, ampliando así el espectro de objetivos. Además, Xloader introduce mejoras en persistencia y técnicas anti-defensas, y se comercializa como un sucesor más robusto, con énfasis en campañas distribuidas mediante correos maliciosos, documentos infectados y sitios fraudulentos.
La proliferación y sofisticación de estas amenazas subrayan la necesidad urgente de fortalecer las medidas de seguridad digital en la región, tanto para usuarios individuales como para organizaciones. En este 2025, proteger nuestra privacidad y nuestros datos es más crítico que nunca.
