Este es el malware que ha robado más contraseñas en 2025: cómo opera y qué hacer para protegerse

SnakeStealer se ha posicionado como el malware más detectado para el robo de contraseñas en 2025, de acuerdo con el informe ESET Threat Report H12025. Este software malicioso, clasificado como infostealer, ha superado a otras familias similares y se ha convertido en la principal preocupación para usuarios y especialistas en ciberseguridad, desplazando a alternativas como Agent Tesla y LummaStealer.

De acuerdo con el reporte, SnakeStealer es responsable de una quinta parte de las detecciones de infostealers a nivel mundial, lo que evidencia su alcance y peligrosidad.

Sin embargo, su auge no es reciente. Su primera aparición se remonta a 2019, cuando comenzó a circular en campañas de phishing que utilizaban la plataforma Discord para alojar el malware. Desde entonces, ha evolucionado tanto en métodos de distribución como en capacidades técnicas. Martina Lopez, investigadora de seguridad informática de ESET Latinoamérica, explica que la popularidad de SnakeStealer se incrementó tras la caída de Agent Tesla, otro infostealer ampliamente utilizado.

Funcionamiento y capacidades de SnakeStealer

El modelo de negocio detrás de SnakeStealer ha sido clave para su expansión. Se ofrece bajo la modalidad de malware-as-a-service (MaaS), lo que permite a cualquier persona, incluso sin conocimientos técnicos avanzados, acceder a este software y lanzar campañas maliciosas. Los desarrolladores proporcionan infraestructura y soporte, facilitando la proliferación del malware en el mercado negro digital. Aunque no se ha identificado campañas completas en Latinoamérica, la presencia de SnakeStealer se ha registrado en diversos países, sin una preferencia geográfica clara.

En cuanto a su funcionamiento, SnakeStealer se especializa en el robo silencioso de información. El primer contacto con la víctima suele producirse a través de archivos adjuntos en correos electrónicos de phishing. Estos archivos pueden estar comprimidos con contraseña, presentarse en formatos poco habituales como RTF o ISO, o camuflarse como cracks o aplicaciones falsas en la web. En algunos casos, el malware llega empaquetado junto a otras amenazas, lo que complica su detección.

Las capacidades técnicas de SnakeStealer incluyen la evasión de herramientas de seguridad y la persistencia en el sistema. El malware puede finalizar procesos asociados con antivirus o programas de análisis, realizar verificaciones de hardware para evitar entornos virtuales y modificar registros de arranque de Windows para asegurar su permanencia.

Entre los datos que busca extraer se encuentran credenciales almacenadas en navegadores, bases de datos, clientes de correo o chat como Discord, y redes WiFi. Además, puede capturar el portapapeles, registrar pulsaciones de teclado y tomar capturas de pantalla. Para la exfiltración de la información robada, ofrece múltiples métodos: carga a servidores mediante FTP, publicación en canales de Telegram a través de HTTP o envío de archivos comprimidos por correo electrónico.

Recomendaciones para protegerse

Frente a este panorama, ESET recomienda una serie de medidas para reducir el riesgo de infección:

• Mantener el sistema operativo y las aplicaciones actualizadas para corregir vulnerabilidades que puedan ser explotadas.
• Utilizar software de seguridad en computadoras y dispositivos móviles para detectar y bloquear amenazas.
• Desconfiar de archivos adjuntos y enlaces recibidos en correos electrónicos o mensajes no solicitados.
• Verificar la autenticidad de comunicaciones que aparenten ser de entidades reconocidas, siempre utilizando canales oficiales.
• Activar la autenticación multifactor en todos los servicios disponibles para incorporar una capa de protección adicional ante la posible filtración de contraseñas.
• En caso de sospecha de infección, cambiar todas las contraseñas utilizando un equipo diferente al comprometido.
• Cerrar todas las sesiones abiertas en servicios y cuentas personales.
• Supervisar cualquier actividad inusual en las cuentas para detectar accesos no autorizados tras un incidente de seguridad.