ESET analiza el malware que roba contraseñas y datos sensibles, y es el infostealer más detectado en 2025.
Los infostealers son un tipo de código malicioso que buscan robar información de manera silenciosa y que se han convertido en una herramienta altamente utilizada por los ciberatacantes. Desde el laboratorio de ESET, compañía líder en detección proactiva de amenazas, se identificaron múltiples campañas que tienen como carga útil final un infostealer. Dentro de las identificadas AsyncRAT es la más frecuente, pero también se utilizan familias como HoudRAT, Agent Tesla, LummaStealer o FormBook. Sin embargo, según el ESET Threat Report H12025 "SnakeStealer es la familia que mayor detección ha tenido en lo que va del 2025".
Esta familia hizo sus primeras apariciones en 2019. En sus primeras versiones utilizaba la plataforma Discord para alojar el stealer, que se descargaba luego de que la víctima interactuase con un archivo adjunto a un correo de phishing. Un factor en común en todos los años de vida de SnakeStealer es su modelo de negocio, basado en el malware-as-a-service (MaaS), en el que los atacantes alquilan o venden el acceso a malware listo para usar, similar a un software comercial, pero en el mercado negro. Esto facilita que incluso personas con pocos conocimientos técnicos puedan lanzar campañas maliciosas aprovechando la infraestructura y soporte de desarrolladores especializados.
SnakeStealer volvió a ganar popularidad en el ambiente cibercriminal, y no por casualidad: tras la caída de Agent Tesla, otro infostealer popular, sus propios operadores recomendaron a SnakeStealer como reemplazo en los canales de Telegram donde lo ofrecían como MaaS. Esto podría explicar por qué SnakeStealer pasó a ocupar el primer puesto en las detecciones de infostealers de manera tan rápida, siendo responsable de 1/5 de las mismas a nivel mundial, según la telemetría de ESET".
comenta Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.
Durante 2020 y 2021 este código malicioso vio su pico en cuanto a campañas desplegadas, pero sin preferencia aparente por geografía. El malware fue descubierto en distintos países del mundo, sin reportes de campañas completas en Latinoamérica.
Con el correr de los años, la forma en la que el payload llegaba a la víctima se diversificó, aunque el primer contacto sigue siendo mayormente mediante un adjunto vía phishing: desde el payload comprimido con contraseña, archivos RTF o ISO como downloaders, o empaquetado con otras amenazas. Desde ESET comentan que existen casos de SnakeStealer camuflado bajo cracks o aplicaciones falsas, aunque son esporádicos.
Capacidades de SnakeStealer
- Funcionalidades evasivas: matar procesos de seguridad, análisis de malware o debuggers, y verificaciones de hardware para descartar uso de máquina virtual.
- Persistencia mediante modificación de registros de arranque de Windows.
- Robo de credenciales en navegadores, bases de datos, clientes de correo o chat (Discord) y redes WiFi.
- Captura del portapapeles y keylogging.
- Toma de capturas de pantalla.
Mecanismos de exfiltración
El malware ofrece métodos como la carga a un servidor vía FTP, publicación en un canal de Telegram mediante HTTP o envío de información comprimida por correo electrónico.
Buenas prácticas de seguridad
- Mantener el sistema operativo y aplicaciones actualizadas.
- Utilizar software de seguridad en computadoras y dispositivos móviles.
- Desconfiar de adjuntos y enlaces en correos o mensajes no solicitados; contactar a la entidad de manera oficial para verificar veracidad.
- Activar autenticación multifactor (MFA) para proteger cuentas en caso de robo de contraseña.
- Si sospecha infección, cambiar todas las contraseñas desde otro dispositivo, revocar sesiones abiertas y monitorear movimientos sospechosos.
Para saber más, visite el portal corporativo de ESET: https://www.welivesecurity.com/es/malware/snake-stealer-robo-contrasenas-infostealer/
Conozca Conexión Segura, el podcast de ESET sobre seguridad informática: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw