En los últimos años, los infostealers, malware especializado en el robo de información sensible como credenciales y datos financieros, se han consolidado como una de las amenazas más persistentes y lucrativas. Este malware tuvo un aumento significativo en su actividad, especialmente en países como Brasil, México y Argentina.
Al respecto, la empresa de ciberseguridad, ESET Latinoamérica analizó la situación en Latinoamérica y repasa las familias de infostealers más detectadas en durante la primera mitad de 2025, que son los tipos de malware diseñados para robar información sensible de manera sigilosa, sin dejar rastro. Una vez que se infiltran en un sistema o red corporativa, capturan cualquier pieza de información que pueda ser útil para para comprometer cuentas, escalar privilegios, facilitar otro ciberataque o comerciarla en mercados clandestinos. El mismo infostealer empaqueta la información robada y la envía a los servidores de los ciberatacantes.
“La actividad de infostealers en América Latina no solo creció en volumen, sino también en diversidad. Algunas familias tienen años de presencia sostenida, otras surgieron recientemente y ganaron protagonismo por su velocidad de evolución o por su integración con otros componentes maliciosos. Desde troyanos bancarios, como Amavaldo o Guildma -con gran actividad en Brasil- hasta RATs avanzados utilizados en ciberataques de gran calibre como Agent Tesla, se destacan por operar de manera sigilosa, facilitando rápida la monetización de la información robada.”, dicta Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.
Dio a conocer las familias más detectadas en Latinoamérica durante la primera mitad de 2025 y destaca las 6 principales: LummaStealer, Amadey, Rozena, Guildma, Formbook y Xloader.
LummaStealer: es una amenaza surgida alrededor del 2022 que evolucionó rápidamente bajo el modelo Malware-As-A-Service. Además de ser el infostealer más detectado por los sistemas de ESET -con más de 4000 detecciones únicas solamente en 2025 en la región-, es de los stealers más vendidos en los mercados clandestinos.
Al ser vendido como un “producto” que distintos atacantes pueden comprar, los posibles métodos de acceso inicial son altamente diversos. Su distribución suele ser a través de falsos instaladores de aplicaciones descargadas de sitios fraudulentos, malvertising, redes sociales y correos electrónicos infectados. Aunque, en campañas más complejas también se utilizó como payload final en equipos corporativos mediante loaders personalizados. En la región, este código malicioso ha tenido alta actividad en México, Brasil y Argentina, participando en campañas contra empresas de todo tamaño y capacidad.
Amadey: una amenaza activa desde al menos 2018 que sigue siendo relevante en 2025 por su capacidad de cumplir un doble rol, funciona tanto como infostealer básico como también loader de otras amenazas más destructivas. Con casi 2,500 detecciones únicas en la región es muy importante en el ecosistema del malware.
Su distribución suele estar vinculada al malspam: correos electrónicos que intentan engañar al usuario con señuelos de tipo factura, multa o aviso bancario, para inducirlo a descargar un adjunto malicioso o cliquear en enlaces a documentos infectados. También aparece como payload secundario, descargado por otros troyanos que comprometen inicialmente al sistema y luego lo utilizan como puente para nuevos ataques.
Rozena: una amenaza activa desde al menos 2015, que combina funciones de infostealer y backdoor. Se destaca por su versatilidad y por su uso en campañas localizadas con objetivos específicos. Su distribución se da principalmente a través de archivos “benignos” descargables vía phishing en formato de documentos maliciosos de Office (habitualmente con macros o exploits) o ejecutables falsos.
Entre sus capacidades se incluye el robo de información sensible, como credenciales y datos del sistema, además de la posibilidad de establecer shells inversas utilizando PowerShell, lo que le permite al atacante tomar control remoto del sistema comprometido.
Guildma: forma parte del ecosistema de troyanos bancarios originados en Brasil y ha estado activo durante varios años, con una evolución constante tanto en capacidades como en técnicas de distribución. Es una de las amenazas más representativas del malware financiero en América Latina, si bien Brasil es su territorio principal, en los últimos años se han observado campañas dirigidas a usuarios en casi todos los países latinoamericanos.
A nivel funcional, Guildma captura credenciales, monitoriza el teclado, toma capturas de pantalla y es capaz de interferir con sesiones bancarias en tiempo real. Su objetivo es robar información financiera y credenciales que permitan el acceso a cuentas bancarias de los usuarios afectados. Simula clics, manipulando formularios y adaptándose a las interfaces de entidades bancarias locales.
Formbook y Xloader: en el contexto regional, tanto Formbook como XLoader han sido detectados en campañas contra usuarios particulares y organizaciones por igual, muchas veces mediante campañas de malspam con archivos adjuntos ofuscados o enlaces a descargas directas. Su bajo perfil y facilidad de uso hacen que siga siendo una herramienta vigente para atacantes menos sofisticados, pero igualmente efectivos.
Se destaca de esta amenaza es su evolución directa en la forma de XLoader, una versión actualizada que amplía sus funcionalidades y cambia la estrategia de distribución. A diferencia de Formbook, que se dirigía sistemas Windows, XLoader sumó variantes capaces de atacar sistemas macOS, ampliando el espectro de objetivos. Además, XLoader añade mejoras en persistencia y técnicas anti-defensas. XLoader se ha comercializado como un sucesor más robusto, con mayor foco en campañas distribuidas a través de correos maliciosos, documentos infectados y sitios fraudulentos.