Una nueva investigación de Kaspersky Digital Footprint (DFI) ha descubierto que más de un tercio de las infecciones por infostealers comienzan cuando los usuarios ejecutan archivos directamente desde carpetas temporales del navegador, lo que demuestra que el comportamiento del usuario sigue siendo un factor clave detrás del robo de credenciales. Solo el 32% de los ataques de infostealers utilizan técnicas de inyección de procesos y living-off-the-land, un comportamiento típico de familias de malware avanzado.
Los investigadores de Kaspersky DFI analizaron 5 millones de archivos de registro (logs) de infostealers descubiertos en la dark web en 2025. Estos registros, que contienen datos robados de dispositivos comprometidos como credenciales de cuentas, cookies del navegador y metadatos del sistema, también revelaron las ubicaciones originales de los archivos maliciosos en las máquinas infectadas.
La ubicación más común fue el directorio temporal de Windows, C:\Users\AppData\Local\Temp\, que representó aproximadamente el 35% de todos los casos observados. Esta carpeta se utiliza habitualmente para almacenar archivos descargados de Internet antes de que el usuario los guarde explícitamente: una parte significativa de las infecciones ocurre cuando los usuarios ejecutan directamente los archivos descargados, sin que los atacantes dependan de técnicas sofisticadas de evasión.
La segunda ubicación más común, responsable de aproximadamente el 32% de los casos, fue C:\Windows\Microsoft.NET\Framework\. Esta ruta está asociada con técnicas de inyección de procesos y living-off-the-land, en las cuales el malware abusa de procesos legítimos del sistema para evadir la detección. Este comportamiento se observa comúnmente en familias de infostealers más avanzadas, incluyendo Lumma.
El análisis indica que las infecciones a menudo están vinculadas a dos acciones de riesgo del usuario: descargar software de fuentes no confiables e intentar activar software ilegalmente. En muchos casos, las víctimas siguen las instrucciones proporcionadas por los actores de amenazas y desactivan el software de seguridad antes de ejecutar archivos maliciosos. Según la investigación, muchos archivos maliciosos estaban disfrazados de instaladores de software legítimos, activadores o modificaciones de juegos (mods). Si bien los mods de juegos siguen siendo un señuelo común, los atacantes adaptan con frecuencia las mismas técnicas para distribuir prácticamente cualquier tipo de software.
«Los infostealers surgieron con fuerza en 2025, con un aumento de las infecciones del 59% año tras año. Nuestro análisis muestra que el comportamiento del usuario sigue siendo un factor clave detrás de muchos de estos compromisos. El volumen de infostealers ejecutados desde carpetas de descarga temporales sugiere que los usuarios a menudo los inician inmediatamente después de descargarlos. En muchos casos, los atacantes no necesitan técnicas sofisticadas, simplemente necesitan convencer al usuario de que ejecute un archivo», dijo Joao Brandao, Digital Footprint Analyst en Kaspersky.
Más allá de los rasgos de comportamiento, también se observaron patrones de nomenclatura distintos en las diferentes familias de infostealers. Lumma tiende a favorecer nombres de instaladores genéricos, ofuscación de .NET e inyección de procesos. Vidar, a su vez, aparece típicamente como variantes de Bootstrapper.exe que dependen de cargadores convencionales. Stealc sigue una estrategia mixta, utilizando tanto nombres significativos como Licence_Version_Loader.exe como nombres de archivo generados aleatoriamente. RisePro, por el contrario, destaca por convenciones recurrentes como MPGPH.exe y MSIUpdater.exe.
Para reducir el riesgo de infecciones por infostealers, Kaspersky recomienda a las empresas hacer lo siguiente:
- Adoptar un servicio integral de protección contra riesgos digitales que supervise los activos digitales de las organizaciones y detecte amenazas en la web superficial, profunda y oscura, como Kaspersky Digital Footprint Intelligence.
- Proporcionar a sus profesionales de InfoSec una visibilidad profunda de las ciberamenazas que se dirigen a su organización. El último Kaspersky Threat Intelligence les proporciona un contexto amplio y significativo a lo largo de todo el ciclo de gestión de incidentes y les ayuda a identificar los ciberriesgos de manera oportuna.
Para mantenerse seguros, se recomienda a los usuarios:
- Descargar software únicamente de fuentes oficiales y confiables, evitando software pirata, cracks, activadores e instaladores no oficiales.
- Utilizar una solución de seguridad sólida en todas las computadoras y dispositivos móviles, como Kaspersky Premium. Esta le advertirá sobre posibles amenazas y evitará la infección.
- Gestionar los datos sensibles de forma segura: evitar almacenar contraseñas o frases de recuperación en su galería de fotos o notas ; en su lugar, utilizar un administrador de contraseñas dedicado y confiable, como Kaspersky Password Manager.
- Nunca desactivar el antivirus ni las herramientas de seguridad para instalar software y tener precaución al descargar mods de juegos, trucos (cheats) o utilidades de terceros.
- Mantener actualizados los sistemas operativos y las aplicaciones, utilizar contraseñas sólidas y únicas, y habilitar la autenticación de múltiples factores siempre que sea posible.
El informe completo está disponible aquí.
