- Colaboración global entre autoridades de EE. UU., Europa y Japón, junto a empresas tecnológicas, desactivó la infraestructura de Lumma Stealer.
- Lumma Stealer es considerado uno de los infostealers más extendidos y peligrosos, operando bajo un modelo MaaS.
- Más de 394.000 dispositivos Windows se detectaron como infectados en solo dos meses, con un alcance global.
- Los responsables detrás de Lumma siguen intentando reconstruir la red, aunque la operación ha supuesto un duro golpe a su ecosistema.
La lucha contra el cibercrimen ha dado un paso de gigante tras la operación conjunta liderada por Europol y Microsoft que ha logrado desmantelar la infraestructura principal de Lumma Stealer, uno de los programas maliciosos más utilizados por ciberdelincuentes para el robo masivo de datos a nivel global. En esta acción internacional han participado organismos de Estados Unidos, la Unión Europea, Japón y varias empresas tecnológicas especializadas en ciberseguridad, marcando un precedente en la coordinación público-privada para combatir amenazas digitales sofisticadas.
Lumma Stealer representa una de las amenazas más relevantes de los últimos años en el panorama de la ciberdelincuencia. Con orígenes en Rusia y operando bajo el modelo «Malware-as-a-Service» (MaaS), este malware ofrecía a sus clientes la posibilidad de personalizar los ataques y distribuir versiones adaptadas del software, facilitando así el acceso a actividades criminales, incluso para usuarios con poca experiencia técnica. A través de mercados clandestinos y canales como Telegram, Lumma Stealer se comercializaba entre hackers y grupos organizados desde 2022.
El alcance y funcionamiento de Lumma Stealer
El malware Lumma se ha consolidado como uno de los más utilizados para el robo de credenciales, datos financieros y accesos a monederos de criptomonedas. Esta herramienta no solo permitía el acceso a información de particulares, sino que también fue empleada en ataques dirigidos a sectores como la educación, sanidad, banca, finanzas, telecomunicaciones y manufactura. Se calcula que, entre marzo y mayo de 2025, más de 394.000 equipos Windows resultaron infectados. Solo en el año anterior, se estima que el número de dispositivos comprometidos superó el millón y medio, según diversas fuentes especializadas.
Usando estrategias como campañas de phishing y publicidad engañosa, los operadores de Lumma se camuflaban como empresas legítimas, llegando incluso a suplantar la imagen de marcas reconocidas como Booking.com o Microsoft para engañar a los usuarios e instalar el software malicioso. Una vez infiltrado en el sistema, recolectaba y transfería datos sensibles a servidores controlados por los ciberdelincuentes. Posteriormente, estos datos eran puestos a la venta a través de mercados dedicados al comercio ilegal de información robada.
La operación internacional y su impacto
La intervención se centró en neutralizar la infraestructura que daba soporte a Lumma Stealer. Bajo la coordinación de Microsoft, el Departamento de Justicia de Estados Unidos, Europol, el Centro de Control de la Ciberdelincuencia de Japón (JC3) y empresas como Cloudflare, ESET, Bitsight o Lumen, se llevaron a cabo acciones judiciales y técnicas que permitieron bloquear y tomar el control de unas 2.300 direcciones de Internet, incluidas páginas utilizadas para administrar el malware y gestionar la reventa de datos robados.
El propio Departamento de Justicia de EE. UU. se hizo con el mando de los servidores centrales desde los que se coordinaba Lumma, cortando así la comunicación entre los dispositivos infectados y los operadores del software. De este modo, no solo se interrumpe la distribución de nuevas infecciones sino también la gestión y venta de la información previamente sustraída.
Las autoridades señalaron que, a pesar de la magnitud del golpe, los desarrolladores de Lumma intentan restablecer su infraestructura. Sin embargo, el éxito de esta operación ha supuesto una merma significativa en los recursos y capacidades de los ciberdelincuentes responsables.
Orígenes y evolución de la amenaza
El desarrollador principal de Lumma Stealer, conocido como «Shamel» y radicado en Rusia, ofrecía distintos niveles de servicio en foros clandestinos y mediante canales cifrados, permitiendo a sus aproximadamente 400 clientes crear variantes propias del malware. Shamel no solo ideó el software, sino que también impulsó su marca con un logotipo distintivo: un ave blanca sobre fondo azul, símbolo de su estrategia de marketing en la dark web.
La facilidad de personalización y difusión convirtió a Lumma en una herramienta preferida por grupos de ciberdelincuentes, incluidos actores de alto perfil como Scattered Spider u Octo Tempest, especializados en ataques de ransomware y robo de credenciales a gran escala.
Entre las tácticas empleadas para evadir la detección, Lumma aprovechaba servicios legítimos y plataformas de almacenamiento en la nube para dificultar su rastreo. Se han documentado incluso intentos del malware para sortear las medidas de protección implementadas por empresas como Cloudflare, lo que pone en relieve su capacidad de evolución y adaptación.
Implicaciones y futuro de la ciberseguridad
Esta intervención coordinada, además de representar un importante avance frente al cibercrimen, demuestra la necesidad de colaboración constante entre organismos públicos y privados. Según han remarcado tanto responsables de Europol como de Microsoft, las acciones en red y la agilidad de respuesta son claves para cortar de raíz las operaciones de software malicioso de última generación.
Expertos en ciberseguridad advierten que, aunque la infraestructura de Lumma ha sido desmantelada, la amenaza puede resurgir bajo nuevas formas o nombres. Por eso, la vigilancia y la cooperación internacional seguirán siendo imprescindibles para mitigar futuros riesgos y responder con rapidez a nuevas variantes.
Soy un apasionado de la tecnología que ha convertido sus intereses «frikis» en profesión. Llevo más de 10 años de mi vida utilizando tecnología de vanguardia y trasteando todo tipo de programas por pura curiosidad. Ahora me he especializado en tecnología de ordenador y videojuegos. Esto es por que desde hace más de 5 años que trabajo redactando para varias webs en materia de tecnología y videojuegos, creando artículos que buscan darte la información que necesitas con un lenguaje entendible por todos.
Si tienes cualquier pregunta, mis conocimientos van desde todo lo relacionado con el sistema operativo Windows así como Android para móviles. Y es que mi compromiso es contigo, siempre estoy dispuesto a dedicarte unos minutos y ayudarte a resolver cualquier duda que tengas en este mundo de internet.