ZeroTrace — un representante típico de los robadores de información de nueva generación: una interfaz cómoda para el operador, soporte "actual" de navegadores y un conjunto de escenarios que convierte el perfil de usuario en un catálogo de trofeos. La leyenda de marketing sobre "herramienta de investigación" no oculta la realidad: el objetivo es extraer secretos de los navegadores y del entorno del sistema y enviarlos a un servidor controlado. Hablando con propiedad, no se trata de un "juguete de laboratorio", sino de una compilación lista de técnicas conocidas en un envoltorio ordenado.
A continuación — una reseña comprimida pero completa, en la que confiaría tanto un analista SOC como un especialista en protección de estaciones de trabajo. Sin romanticismos, solo lo que importa para evaluar el riesgo y planificar detecciones. Repositorio original: ZeroTrace en GitHub.
Qué es la herramienta y cómo se presenta
ZeroTrace es un proyecto abierto para Windows (.NET 4.8+) con arquitectura cliente-servidor. El cliente recopila artefactos en la máquina de la víctima; el servidor acepta conexiones, ordena los datos por "clientes" y los muestra en una interfaz gráfica. Es un panel con secciones como Dashboard, Administrador de contraseñas, Gestor de clientes, un explorador de archivos y un terminal simple: todo pensado para que el operador no tenga que lidiar con la línea de comandos ni con descargas manuales.
Existe un "Client Builder": un constructor donde se define la dirección del servidor, las categorías a recopilar y el comportamiento (compresión, programación, qué extraer de los perfiles). Los requisitos del sistema son neutrales: Windows 8/10/11, preferiblemente privilegios de administrador, .NET y poca memoria. En otras palabras, ese ejecutable no despierta sospechas por sí solo hasta que se observa la actividad.
Cómo se realiza el robo de datos y por qué mencionan «Chrome v20»
El botín principal son los secretos del navegador: contraseñas guardadas, cookies/sesiones, autocompletado (incluidas direcciones y tarjetas), historial, marcadores, lista de descargas y extensiones. El punto crítico es el trabajo con el esquema de cifrado moderno de Chrome (denominado "v20"): los datos en SQLite están protegidos con AES-GCM, y la clave maestra se guarda en "Local State" y en Windows se descifra mediante DPAPI en el contexto del usuario. Si el cliente se ejecuta bajo un usuario, obtiene la llave de sus secretos.
Un riesgo aparte son las cookies y los tokens de sesión. Importar ese conjunto de cookies en la herramienta adecuada da al operador autenticación lista sin necesidad de contraseña ni de pasar MFA. Por eso los incidentes con robadores de información rara vez se resuelven con solo "cambiar la contraseña": la compromisión suele requerir la revocación de todas las sesiones activas en servicios en la nube y paneles de administración.
Aparte de navegadores, ZeroTrace recopila resúmenes del sistema operativo, hardware, parámetros de red y software instalado: eso ayuda al operador a segmentar "clientes" y proporciona a los defensores marcadores de reconocimiento y preparación para acciones posteriores. En cuanto a tácticas, esto se alinea fácilmente con MITRE ATT&CK: T1555.003 (acceso a credenciales desde navegadores) y, posteriormente, T1041 (exfiltración sobre un canal C2).
Cómo se filtran los datos y qué huellas quedan
La comunicación son conexiones TCP habituales del cliente al servidor/panel. Desde el punto de vista de la observabilidad es una "exfiltración por canal controlado" con cifrado (a menudo indican AES-256 y validación de certificado), por lo que el DPI por contenido es casi inútil. Pero el comportamiento es su mejor aliado: grandes volúmenes de tráfico saliente se sincronizan con la preparación local de los datos recogidos.
La actividad en disco es predecible: procesos atípicos abren "Local State", "Login Data", "Cookies", "Web Data", "History" en los perfiles de Chrome/Edge/Brave; se observan bloqueos y lecturas características de SQLite y luego aparecen archivos temporales comprimidos. En una máquina "fría", donde el usuario no está activo en el navegador, estas operaciones resultan especialmente llamativas.
Los procesos suelen presentarse como hosts .NET, con una cadena que en uno o dos minutos queda clara: acceso a los perfiles → extracción y descifrado → compresión → conexión saliente. Si esto se repite según una programación, la telemetría muestra un pulso reconocible. Así es como se detectan clientes "vivos", no solo droppers que actúan una vez.
En el lado del servidor, el panel almacena y agrega lo recibido: dirección IP, cliente, first/last seen, volúmenes y categorías. Para una investigación, esto significa que el atacante dispone de una interfaz práctica para ordenar los trofeos; para la defensa, significa que las firmas del binario no bastan, es más importante detectar el propio patrón de operación.
Cómo minimizar el riesgo: pasos prácticos
Reduzca el valor de los perfiles. Prohíba a los navegadores almacenar contraseñas de servicios corporativos mediante políticas, haga que el personal (especialmente administradores) use gestores de secretos con anclaje hardware y MFA. Menos artefactos atractivos reduce el incentivo de explotación y acorta la cadena de post-explotación.
Detecte el acceso a perfiles. Cree reglas que detecten la lectura de "Local State" y de bases SQLite de Chrome/Edge/Brave por procesos no habituales, especialmente fuera del horario laboral. No es "ruido": la experiencia muestra que ese tipo de disparador precede a la captura de sesiones y a inicios de sesión inesperados en la nube.
Correlacione disco y red. Vincule: (1) acceso atípico a perfiles → (2) creación de ZIP/archivos temporales → (3) conexión saliente cifrada a un host nuevo. Es la cadena directa que rodea a T1555.003 y T1041 y el mejor formato para playbooks en SIEM/SOAR con respuesta rápida de revocación de tokens.
Endurezca el control de extensiones. Implemente listas de permitidos, desactive tiendas de terceros, inventaríe las extensiones instaladas y exporte ese listado regularmente: esto reduce la superficie para la captura de tokens y cookies del lado del navegador. Tenga en cuenta que ZeroTrace mismo recolecta la lista de extensiones, por lo que el operador ve dónde es más fácil asentarse.
Separe los contornos sensibles. Tareas administrativas y de desarrollo deben realizarse en perfiles/cuentas "estériles" sin autoguardados ni extensiones innecesarias; la rutina diaria, por separado. Ese cordón sanitario priva al robador de la propiedad de efecto dominó, en la que una sola compromisión abre la puerta a varios dominios.
Conclusión
ZeroTrace no es magia, sino una implementación cuidadosa de técnicas conocidas con énfasis en la experiencia para el atacante. Las fortalezas de la herramienta —soporte actual del cifrado de Chrome, recolección de sesiones y un panel cómodo— son al mismo tiempo puntos de detección: acceso a perfiles, pulso de exfiltración, correlación de acciones en disco y en red. Ganará el equipo que haya convertido esos marcadores en reglas, paneles y playbooks de respuesta a incidentes.
Es útil tener a mano: el código fuente ZeroTrace, descripciones de técnicas ATT&CK T1555.003 y ATT&CK T1041, así como instrucciones internas para la revocación de sesiones y el restablecimiento de vinculaciones MFA en servicios en la nube críticos: estas acciones son tan necesarias como las firmas.
Aviso: la información se proporciona con fines de investigación. No ejecute ni distribuya software malicioso. Cualquier experimento debe realizarse únicamente en entornos aislados y dentro del marco legal.
