{"id":209615,"date":"2025-05-26T14:10:10","date_gmt":"2025-05-26T17:10:10","guid":{"rendered":"https:\/\/corrientesdetarde.com\/?p=209615"},"modified":"2025-05-26T14:10:20","modified_gmt":"2025-05-26T17:10:20","slug":"interpol-y-microsoft-desarticularon-lumma-la-herramienta-de-robo-de-datos-mas-usada-por-ciberdelincuentes","status":"publish","type":"post","link":"https:\/\/corrientesdetarde.com\/index.php\/tecnologia\/interpol-y-microsoft-desarticularon-lumma-la-herramienta-de-robo-de-datos-mas-usada-por-ciberdelincuentes\/","title":{"rendered":"Interpol y Microsoft desarticularon Lumma, la herramienta de robo de datos m\u00e1s usada por ciberdelincuentes"},"content":{"rendered":"\n

La infraestructura del famoso malware infostealer hab\u00eda infectado m\u00e1s de 394.000 computadoras con Windows en todo el mundo. As\u00ed funcionaba.<\/a><\/p>\n\n\n\n

Microsoft e Interpol<\/strong>\u00a0anunciaron esta semana la\u00a0desarticulaci\u00f3n<\/strong>\u00a0de la infraestructura del\u00a0malware Lumma Stealer<\/strong>, una de las\u00a0herramientas m\u00e1s utilizadas en todo el mundo por\u00a0ciberdelincuentes<\/strong>\u00a0para robar informaci\u00f3n<\/strong>\u00a0sensible como contrase\u00f1as, datos bancarios, tarjetas de cr\u00e9dito y billeteras digitales de criptomonedas.<\/p>\n\n\n\n

El operativo se llev\u00f3 a cabo tras una\u00a0acci\u00f3n legal iniciada por la Unidad de Delitos Digitales (DCU) de Microsoft\u00a0<\/strong>el 13 de mayo de 2025, que permiti\u00f3 incautar y\u00a0bloquear aproximadamente 2300 dominios\u00a0<\/strong>maliciosos que formaban la columna vertebral del\u00a0infostealer<\/strong><\/em>.<\/p>\n\n\n\n

Disponible desde 2022, Lumma fue desarrollado por un programador radicado en Rusia que se hace llamar Shamel<\/strong>. Entre marzo y mayo de 2025, este malware infect\u00f3 m\u00e1s de 394.000 computadoras<\/strong> con Windows en todo el mundo, principalmente en Europa, Estados Unidos, Brasil y M\u00e9xico.<\/p>\n\n\n\n

\"Interpol<\/figure>\n\n\n\n

La propagaci\u00f3n se facilit\u00f3 mediante\u00a0campa\u00f1as de\u00a0<\/strong>phishing\u00a0<\/strong><\/em>que suplantaban dominios leg\u00edtimos<\/strong>\u00a0para\u00a0enga\u00f1ar a usuarios y robar sus datos.<\/strong><\/p>\n\n\n\n

En paralelo, el\u00a0Departamento de Justicia estadounidense incaut\u00f3 la estructura de mando central del malware\u00a0<\/strong>y desarticul\u00f3 los mercados donde se vend\u00eda esta herramienta. As\u00ed, consigui\u00f3 hacerse con el control de la entidad central del ecosistema\u00a0Lumma<\/strong>, lo que obstaculiz\u00f3 el uso de la plataforma dedicada a la reventa de los\u00a0datos robados<\/strong>\u00a0por el virus.<\/p>\n\n\n\n

C\u00f3mo funcionaba el malware infostealer Lumma<\/h3>\n\n\n\n

Lumma era un malware avanzado\u00a0dise\u00f1ado para el robo de informaci\u00f3n<\/strong>, que permit\u00eda a los ciberdelincuentes\u00a0extraer datos sensibles de dispositivos infectados<\/strong>, como contrase\u00f1as,\u00a0cookies\u00a0<\/strong>de sesi\u00f3n o datos bancarios. Lo que lo hac\u00eda especialmente\u00a0peligroso\u00a0<\/strong>no era solo su capacidad t\u00e9cnica, sino su\u00a0accesibilidad<\/strong>: estaba pensado para que\u00a0incluso personas con pocos conocimientos t\u00e9cnicos pudieran usarlo.<\/strong><\/p>\n\n\n\n

Adem\u00e1s, no funcionaba solo como un software aislado, sino como\u00a0parte de una plataforma m\u00e1s amplia que facilitaba su distribuci\u00f3n y comercializaci\u00f3n.<\/strong>\u00a0Esta plataforma operaba en\u00a0mercados clandestinos<\/strong>, donde se ofrec\u00eda bajo un modelo de\u00a0malware\u00a0<\/em>como servicio (malware as a service<\/em>), es decir,\u00a0los atacantes pod\u00edan alquilar o comprar el malware como si se tratara de un producto comercial.<\/strong><\/p>\n\n\n\n

As\u00ed era la estructura y proceso de robo de datos de Lumma<\/h2>\n\n\n\n
    \n
  • 1. Un afiliado de Lumma Stealer,\u00a0<\/strong>es decir, alguien que usaba este malware, posiblemente alquil\u00e1ndolo o compr\u00e1ndolo a trav\u00e9s de un mercado clandestino,\u00a0espera que la v\u00edctima visite un sitio web comprometido<\/strong>.<\/li>\n\n\n\n
  • 2. Cuando la v\u00edctima entra al sitio, el atacante\u00a0utiliza una t\u00e9cnica llamada ClickFix<\/strong>, que implica\u00a0manipular al usuario con\u00a0ingenier\u00eda social<\/strong>\u00a0para que ejecute un comando sin saber que es malicioso.<\/li>\n\n\n\n
  • 3. Ese comando\u00a0descarga y lanza un c\u00f3digo malicioso<\/strong>\u00a0que estaba escondido o disfrazado para evitar ser detectado por antivirus u otras herramientas de seguridad.<\/li>\n\n\n\n
  • 4. Ese c\u00f3digo malicioso\u00a0descarga e instala el malware Lumma Stealer al dispositivo de la v\u00edctima<\/strong>.<\/li>\n\n\n\n
  • 5. Una vez instalado,\u00a0Lumma Stealer accede a las credenciales (como nombres de usuario y contrase\u00f1as) y otra informaci\u00f3n sensible<\/strong>\u00a0que encuentra en el dispositivo infectado.<\/li>\n\n\n\n
  • 6. Finalmente,\u00a0toda esa informaci\u00f3n robada se env\u00eda (se exfiltra) a trav\u00e9s de un canal de comando y control (C2)<\/strong>, que es una infraestructura controlada por los atacantes para recibir los datos robados y posiblemente dar instrucciones al malware.<\/li>\n<\/ul>\n\n\n\n

    Gracias a esta estructura, Lumma se convirti\u00f3 en una herramienta habitual para actividades delictivas como la suplantaci\u00f3n de identidad y el fraude financiero.<\/strong><\/p>\n\n\n\n

    En una entrevista con el bloguero de ciberseguridad g0onxja <\/em>a finales de 2023, Shamel afirmaba tener unos 400 clientes. <\/strong>Incluso cre\u00f3 un logotipo asociado a su software, que representa un p\u00e1jaro blanco sobre fondo azul.<\/p>\n\n\n\n

    \u201cEsta operaci\u00f3n es un claro ejemplo de c\u00f3mo la colaboraci\u00f3n p\u00fablico-privada est\u00e1 transformando la lucha contra los grupos de criminales digitales\u201d, coment\u00f3 al respecto Edvardas Sileris, jefe del Centro Europeo de Ciberdelincuencia de Europol, citado en un comunicado de la agencia europea.<\/p>\n","protected":false},"excerpt":{"rendered":"

    La infraestructura del famoso malware infostealer hab\u00eda infectado m\u00e1s de 394.000 computadoras con Windows en todo el mundo. As\u00ed funcionaba. Microsoft e Interpol\u00a0anunciaron esta semana la\u00a0desarticulaci\u00f3n\u00a0de la infraestructura del\u00a0malware Lumma… <\/p>\n","protected":false},"author":8,"featured_media":209616,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[24],"tags":[],"class_list":["post-209615","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/posts\/209615","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/comments?post=209615"}],"version-history":[{"count":1,"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/posts\/209615\/revisions"}],"predecessor-version":[{"id":209617,"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/posts\/209615\/revisions\/209617"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/media\/209616"}],"wp:attachment":[{"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/media?parent=209615"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/categories?post=209615"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/tags?post=209615"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}