← Alertas
Phishing Activa

Los infostealers se consolidan como el payload preferido en campañas de phishing

Un análisis de Malwarebytes Labs publicado el 3 de junio confirma que los infostealers —software diseñado para robar contraseñas y sesiones activas— desplazaron a otras cargas maliciosas como el payload preferido en campañas de phishing por su bajo costo operativo y alta escalabilidad.

2026-06-03 · Monitoreo Telegram

Contexto

Malwarebytes Labs publicó el 3 de junio de 2026 un análisis sobre el cambio en la composición del ecosistema criminal de phishing. La conclusión es directa: los infostealers —malware diseñado para robar contraseñas guardadas, cookies de sesión, tokens de autenticación y datos del navegador— se convirtieron en la carga preferida de los atacantes que distribuyen phishing.

Un infostealer no cifra archivos ni pide rescate. Simplemente extrae silenciosamente todo lo que el navegador tiene guardado: contraseñas de correo, banca en línea, plataformas de trabajo, tokens de acceso a servicios como Google, Microsoft 365 y AWS. Luego envía esa información al atacante y desaparece sin levantar alarmas visibles.

La razón del desplazamiento es económica: los infostealers son más fáciles de operar, más difíciles de detectar y más fáciles de monetizar que el ransomware tradicional. Los datos robados se venden en mercados clandestinos en minutos.

Impacto potencial

Para personas

Si instalas sin querer un infostealer —por hacer clic en un enlace de phishing, descargar un archivo adjunto o instalar un programa de fuente dudosa— el atacante obtiene acceso a todo lo que tu navegador tiene guardado. Eso incluye contraseñas de correo personal, redes sociales, aplicaciones bancarias, servicios de streaming y cualquier otra cuenta donde hayas guardado la contraseña.

Con esas credenciales, el atacante puede:

Para organizaciones

Un empleado con un infostealer instalado en su equipo de trabajo es equivalente a una llave maestra entregada al atacante. Los infostealers extraen credenciales corporativas guardadas en el navegador: accesos a correo, ERP, CRM, plataformas de nómina, paneles de administración web, repositorios de código.

Las credenciales robadas se venden en mercados de acceso inicial. Otro actor criminal las compra y usa para entrar a la organización días o semanas después. El empleado nunca sabe que fue la fuente del compromiso.

Perspectiva GRC

La proliferación de infostealers como payload de phishing tiene una implicación directa para la gestión de identidades: las contraseñas guardadas en el navegador no son seguras. La práctica de “guardar la contraseña” que el navegador ofrece como conveniencia se convierte en inventario listo para robar.

El patrón de gobernanza que esto expone: la mayoría de las organizaciones pequeñas y medianas no tienen una política sobre cómo los empleados deben gestionar contraseñas de trabajo. Sin esa política, la superficie de robo es el total de contraseñas que cada empleado tiene guardadas en su navegador personal o corporativo.

Recomendaciones

Para personas

Para organizaciones

La pregunta que debes poder responder hoy: ¿tienen los equipos corporativos de tu empresa una política sobre el almacenamiento de contraseñas en navegadores?


El infostealer no es el fin del ataque. Es el principio. Lo que roba se convierte en material para el siguiente: acceso a correo que permite phishing interno, credenciales que permiten acceso a sistemas, sesiones activas que evitan el segundo factor de autenticación. La defensa más efectiva está en la capa de identidades: qué tienen acceso los empleados, cómo lo autentican y qué pasa cuando ese acceso se compromete.