Muchos incidentes cibernéticos no comienzan con una brecha visible. En muchos casos, la primera vulneración ocurre meses antes, cuando los atacantes roban silenciosamente credenciales de dispositivos infectados.
Una de las herramientas frecuentemente utilizadas para este fin es Raccoon Infostealer, un malware diseñado para extraer datos confidenciales como contraseñas, cookies de sesión e información financiera.
Comprender cómo opera este malware ayuda a explicar por qué el robo de identidad y la suplantación de cuentas siguen creciendo a nivel mundial.
¿Qué es Raccoon Infostealer?
Raccoon Infostealer es un malware de robo de credenciales identificado por primera vez en 2019. Rápidamente se popularizó entre los ciberdelincuentes debido a su bajo costo y facilidad de uso.
El malware se distribuye mediante un modelo de Malware como Servicio (MaaS), lo que permite a los atacantes alquilar la herramienta y lanzar campañas de robo de datos sin desarrollar su propio malware.
Históricamente, las suscripciones han costado alrededor de:
- $75 por semana
- $200 por mes
Este modelo reduce significativamente la barrera de entrada para la actividad ciberdelictiva.
¿Qué datos roba?
Una vez instalado en un dispositivo, el malware escanea el sistema en busca de información almacenada en navegadores y aplicaciones.
Los datos que se suelen robar incluyen:
- Credenciales almacenadas en el navegador
- Cookies de sesión y tokens de autenticación
- Información de autocompletar
- Datos de tarjetas de crédito
- Credenciales de correo electrónico
- Carteras de criptomonedas
- Información del dispositivo y del sistema
Raccoon puede extraer información de más de 60 aplicaciones, lo que permite a los atacantes acceder a múltiples cuentas digitales.
¿Cómo funciona el ataque?
La cadena de ataque de Raccoon es relativamente simple pero efectiva.
1. Infección
Las víctimas suelen infectarse a través de:
- Correos electrónicos de phishing
- Instaladores de software falsos
- Descargas de software pirata
- Campañas de publicidad maliciosa
- Sitios web comprometidos
2. Recopilación de datos
Una vez ejecutado, el malware busca credenciales almacenadas, bases de datos del navegador e información del sistema.
3. Exfiltración de datos
La información recopilada se envía a un servidor de comando y control, donde los atacantes pueden revisar y descargar las credenciales robadas desde un panel de administración.
¿Por qué son tan peligrosos los ciberdelincuentes?
Los ciberdelincuentes operan silenciosamente, a menudo sin generar síntomas perceptibles en el dispositivo infectado.
En lugar de interrumpir el sistema como el ransomware, su objetivo es recopilar credenciales de forma silenciosa y continua.
Las credenciales robadas suelen:
- venderse en mercados clandestinos
- utilizarse para el robo de cuentas
- utilizarse en ataques posteriores, como filtraciones de datos corporativos o campañas de ransomware.
Muchos incidentes de seguridad a gran escala comienzan con el robo de credenciales por parte de ciberdelincuentes meses antes de que el ataque sea visible.
Impacto global
Raccoon Infostealer ha tenido un impacto significativo desde su aparición.
Las investigaciones vincularon este malware con decenas de millones de credenciales robadas e infecciones en cientos de miles de sistemas en todo el mundo.
Su asequibilidad y su modelo MaaS (Mail-to-Service) lo convirtieron en una de las herramientas de robo de credenciales más extendidas en los foros de ciberdelincuencia.
Evolución del malware
Aunque su desarrollo se detuvo brevemente en 2022, el malware regresó rápidamente con Raccoon Stealer 2.0, que introdujo código actualizado y capacidades mejoradas de exfiltración de datos.
Las actualizaciones posteriores han añadido nuevos módulos y técnicas de evasión, lo que demuestra la continua evolución del ecosistema de este malware.
Impacto en Latinoamérica
Las campañas de ciberdelincuencia también afectan a Latinoamérica, particularmente debido a:
- el uso generalizado de software pirateado
- campañas de phishing localizadas
- el rápido crecimiento de las fintech y los servicios digitales.
Las credenciales robadas a usuarios de la región suelen venderse en mercados clandestinos globales y utilizarse posteriormente en operaciones fraudulentas en todo el mundo.
Por qué es importante
El auge del malware de robo de información pone de manifiesto un cambio importante en el fraude digital.
Cuando los atacantes pueden reutilizar credenciales o tokens de sesión robados, los mecanismos de autenticación tradicionales pueden resultar insuficientes para detectar identidades comprometidas.
Las organizaciones necesitan cada vez más evaluar el contexto del dispositivo, el comportamiento de la sesión y los patrones de interacción para identificar riesgos que, a primera vista, parecen legítimos.
Anticípese al fraude