Por Steven Masada, Consejero General Adjunto, Unidad de Delitos Digitales de Microsoft
La Unidad de Delitos Digitales de Microsoft (DCU) y sus partners internacionales están desarticulando la principal herramienta utilizada para robar indiscriminadamente información personal y organizativa sensible y facilitar la ciberdelincuencia. El martes 13 de mayo, la DCU de Microsoft interpuso una acción legal contra Lumma Stealer («Lumma»), que es el principal malware de robo de información que utilizan cientos de actores de ciberamenazas. Lumma roba contraseñas, tarjetas de crédito, cuentas bancarias y monederos de criptomonedas y ha permitido a los delincuentes pedir rescates a centros educativos, vaciar cuentas bancarias e interrumpir servicios críticos.
Mediante una orden judicial concedida en el Tribunal de Distrito de los Estados Unidos del Distrito Norte de Georgia, la DCU de Microsoft incautó y facilitó el desmantelamiento, la suspensión y el bloqueo de la columna vertebral de la infraestructura de Lumma. Al mismo tiempo, el Departamento de Justicia incautó la estructura de mando central de Lumma y interrumpió la actividad en los mercados en los que se vendía la herramienta a otros ciberdelincuentes. (EC3) y el Centro de Control de la Ciberdelincuencia (JC3) de Japón facilitaron la suspensión de la infraestructura local de Lumma.
Entre el 16 de marzo de 2025 y el 16 de mayo de 2025, Microsoft identificó más de 394.000 ordenadores Windows en todo el mundo infectados por el malware Lumma. En colaboración con las fuerzas del orden y partners del sector, hemos cortado las comunicaciones entre la herramienta maliciosa y las víctimas. Además, más de 1.300 dominios fueron incautados o transferidos a Microsoft, entre los que se incluyen 300 dominios intervenidos por EC3, que serán redirigidos a Microsoft sinkholes. Esto permitirá a la Unidad de Delitos Digitales de Microsoft proporcionar información procesable para seguir reforzando la seguridad de sus servicios y ayudar a proteger a los usuarios online. Esta información también ayudará a los socios de los sectores público y privado a seguir rastreando, investigando y corrigiendo esta amenaza. Esta acción conjunta está diseñada para ralentizar la velocidad a la que estos actores pueden lanzar sus ataques, minimizar la eficacia de sus campañas y obstaculizar sus beneficios ilícitos, cortando una importante fuente de ingresos.
¿Qué es Lumma?
Lumma es un Malware-as-a-Service (MaaS), comercializado y vendido a través de foros clandestinos desde al menos 2022. A lo largo de los años, los desarrolladores lanzaron múltiples versiones para mejorar continuamente sus capacidades. Microsoft Threat Intelligence compartió más detalles sobre las técnicas de distribución y las capacidades de Lumma en un blog reciente.
Por lo general, el objetivo de los que manejan Lumma es monetizar la información robada o explotarla para diversos fines. Lumma es fácil de propagar, difícil de detectar y puede programarse para eludir ciertas defensas de seguridad, lo que lo convierte en una herramienta a la que recurren los ciberdelincuentes y los actores de amenazas online, como los prolíficos actores de ransomware como Octo Tempest (Scattered Spider). El malware se hace pasar por marcas de confianza, como Microsoft, y se distribuye a través de correos electrónicos de spear-phishing y malvertising, entre otros vectores.
Por ejemplo, en marzo de 2025, Microsoft Threat Intelligence identificó una campaña de phishing que se hacía pasar por la agencia de viajes online Booking.com. La campaña utilizaba múltiples malwares de robo de credenciales, incluido Lumma, para llevar a cabo fraudes y robos con fines lucrativos. Lumma también se ha utilizado para atacar a comunidades de jugadores y sistemas educativos y supone un riesgo constante para la seguridad mundial, con informes de múltiples empresas de ciberseguridad que describen su uso en ataques contra infraestructuras críticas, como los sectores de manufacturing, las telecomunicaciones, la logística, las finanzas y la sanidad.
En una entrevista con el analista de ciberseguridad «g0njxa» en noviembre de 2023, Shamel contó que tenía «unos 400 clientes activos». Como ejemplo de la evolución de la ciberdelincuencia para incorporar prácticas comerciales establecidas, creó de forma efectiva una marca Lumma, utilizando un logotipo distintivo de un pájaro para comercializar su producto, calificándolo de símbolo de «paz, ligereza y tranquilidad», y añadiendo el eslogan «ganar dinero con nosotros es igual de fácil.»
La capacidad de Shamel para operar abiertamente subraya la importancia de que los países de todo el mundo aborden la cuestión de los refugios seguros y aboguen por el cumplimiento riguroso de las obligaciones de diligencia debida que impone el Derecho internacional.
Seguir colaborando para desarticular las prolíficas herramientas de la ciberdelincuencia
La interrupción de las herramientas que los ciberdelincuentes utilizan con frecuencia puede tener un impacto significativo y duradero en la lucha contra la ciberdelincuencia, ya que la reconstrucción de la infraestructura maliciosa y la obtención de nuevas herramientas de ataque lleva tiempo y cuesta dinero. Al cortar el acceso a los mecanismos que utilizan los ciberdelincuentes, como Lumma, podemos interrumpir significativamente las operaciones de innumerables actores maliciosos con una sola acción.
La colaboración continua entre la industria y el gobierno es fundamental. Estamos muy agradecidos por la colaboración con otros actores de la administración y la industria, incluidas las empresas de ciberseguridad ESET, Bitsight, Lumen, Cloudflare, CleanDNS y GMO Registry. Todas ellas han prestado una valiosa ayuda en la rápida desmantelación de la infraestructura online.
Por último, sabemos que los ciberdelincuentes son persistentes y creativos. Nosotros también debemos evolucionar para identificar nuevas formas de interrumpir las actividades maliciosas. La DCU de Microsoft seguirá adaptándose e innovando para contrarrestar la ciberdelincuencia y ayudar a garantizar la seguridad de las infraestructuras críticas, los clientes y los usuarios en la Red.
Las organizaciones y los particulares pueden protegerse de programas maliciosos como Lumma utilizando la autenticación multifactor, ejecutando las últimas versiones de software antimalware y siendo cautelosos con los archivos adjuntos y los enlaces de correo electrónico. Puede encontrar más información para profesionales de la seguridad aquí.