Una nueva investigación de Kaspersky Digital Footprint Intelligence (DFI) descubrió que más de un tercio de las infecciones por infostealers comienzan cuando los usuarios ejecutan archivos directamente desde carpetas temporales del navegador.
Esto demuestra que el comportamiento del usuario sigue siendo un factor clave detrás del robo de credenciales.
Solo el 32% de los ataques de infostealers utiliza técnicas de inyección de procesos y living-off-the-land, un comportamiento típico de familias de malware avanzado.
Los investigadores de Kaspersky DFI analizaron 5 millones de archivos de registro de infostealers descubiertos en la dark web en 2025.
Estos registros, que contienen datos robados de dispositivos comprometidos como credenciales de cuentas, cookies del navegador y metadatos del sistema, también revelaron las ubicaciones originales de los archivos maliciosos en las máquinas infectadas.
Las dos ubicaciones más comunes
La ubicación más común fue el directorio temporal de Windows, que representó aproximadamente el 35% de todos los casos observados.
Esta carpeta se utiliza habitualmente para almacenar archivos descargados de internet antes de que el usuario los guarde explícitamente. Una parte significativa de las infecciones ocurre cuando los usuarios ejecutan directamente los archivos descargados, sin que los atacantes dependan de técnicas sofisticadas de evasión.
La segunda ubicación más común, responsable de aproximadamente el 32% de los casos, está asociada con técnicas de inyección de procesos y living-off-the-land, en las cuales el malware abusa de procesos legítimos del sistema para evadir la detección.
Este comportamiento se observa comúnmente en familias de infostealers más avanzadas, incluyendo Lumma.
El análisis indica que las infecciones a menudo están vinculadas a dos acciones de riesgo del usuario: descargar software de fuentes no confiables e intentar activar software ilegalmente.
En muchos casos, las víctimas siguen las instrucciones proporcionadas por los actores de amenazas y desactivan el software de seguridad antes de ejecutar archivos maliciosos.
Según la investigación, muchos archivos maliciosos estaban disfrazados de instaladores de software legítimos, activadores o modificaciones de juegos. Si bien los mods de juegos siguen siendo un señuelo común, los atacantes adaptan con frecuencia las mismas técnicas para distribuir prácticamente cualquier tipo de software.
Joao Brandao, Digital Footprint analyst en Kaspersky, señala que “los infostealers surgieron con fuerza en 2025, con un aumento de las infecciones del 59% año tras año. Nuestro análisis muestra que el comportamiento del usuario sigue siendo un factor clave detrás de muchos de estos compromisos”.
“El volumen de infostealers ejecutados desde carpetas de descarga temporales sugiere que los usuarios a menudo los inician inmediatamente después de descargarlos. En muchos casos, los atacantes no necesitan técnicas sofisticadas, simplemente necesitan convencer al usuario de que ejecute un archivo”, continuó.
Patrones de nomenclatura por familia de malware
Más allá de los rasgos de comportamiento, también se observaron patrones de nomenclatura distintos en las diferentes familias de infostealers.
Lumma tiende a favorecer nombres de instaladores genéricos, ofuscación de .NET e inyección de procesos.
Vidar, a su vez, aparece típicamente como variantes de Bootstrapper.exe que dependen de cargadores convencionales.
Stealc sigue una estrategia mixta, utilizando tanto nombres significativos como Licence_Version_Loader.exe como nombres de archivo generados aleatoriamente.
RisePro, por el contrario, destaca por convenciones recurrentes como MPGPH.exe y MSIUpdater.exe.
Para reducir el riesgo de infecciones por infostealers, Kaspersky recomienda a las empresas:
- Adoptar un servicio integral de protección contra riesgos digitales que supervise los activos digitales de las organizaciones y detecte amenazas en la web superficial, profunda y oscura.
- Proporcionar a sus profesionales de InfoSec una visibilidad profunda de las ciberamenazas que se dirigen a su organización, con contexto amplio a lo largo del ciclo de gestión de incidentes.
Para mantenerse seguros, se recomienda a los usuarios:
- Descargar software únicamente de fuentes oficiales y confiables, evitando software pirata, cracks, activadores e instaladores no oficiales.
- Utilizar una solución de seguridad sólida en todas las computadoras y dispositivos móviles que advierta sobre posibles amenazas y evite la infección.
- Gestionar los datos sensibles de forma segura: evitar almacenar contraseñas o frases de recuperación en la galería de fotos o notas, y utilizar en su lugar un administrador de contraseñas dedicado y confiable.
- Nunca desactivar el antivirus ni las herramientas de seguridad para instalar software, y tener precaución al descargar mods de juegos, trucos o utilidades de terceros.
- Mantener actualizados los sistemas operativos y las aplicaciones, utilizar contraseñas sólidas y únicas, y habilitar la autenticación de múltiples factores siempre que sea posible.
