El ladrón de Lumma recibe un golpe: una operación coordinada envía a los hackers a "vacaciones prolongadas"

En la primera mitad de mayo de 2025, una operación internacional dirigida a desmantelar la infraestructura de Lumma Stealer —uno de los servicios maliciosos de tipo "infostealer" más utilizados— logró resultados de gran envergadura. Gracias a las acciones coordinadas de varias empresas tecnológicas y organismos policiales, se incautaron alrededor de 2300 dominios vinculados a esta actividad maliciosa, así como se desmantelaron parte de los sistemas de control de Lumma en todo el mundo.

La empresa Microsoft desempeñó un papel clave en la operación, obteniendo una orden judicial para bloquear los dominios el 13 de mayo de 2025. Al mismo tiempo, el Departamento de Justicia de EE. UU. confiscó el panel de control de Lumma Stealer, una interfaz web utilizada por los ciberdelincuentes para gestionar los equipos infectados y vender los datos robados. Europol, a través del Centro Europeo de Ciberdelincuencia (EC3), y el Centro Japonés de Control de Amenazas Cibernéticas (JC3) prestaron asistencia técnica para eliminar los servidores de Lumma ubicados en Europa y Japón.

Según Microsoft, entre mediados de marzo y mediados de mayo de 2025, se detectaron más de 394 000 ordenadores con Windows infectados por Lumma. Tras la intervención, la mayoría de los canales de comunicación entre la infraestructura maliciosa y los sistemas de las víctimas fueron desconectados.

Cloudflare destacó que la infraestructura de Lumma utilizaba activamente sus servicios para ocultar las direcciones IP reales de los servidores receptores de datos. Aunque los dominios bloqueados fueron desactivados, el malware logró eludir los avisos intermedios de Cloudflare. En respuesta, la empresa fortaleció los filtros, introduciendo protección adicional mediante Turnstile —un mecanismo de verificación que impide que el tráfico automatizado ignore los avisos de advertencia.

La operación fue el resultado de la colaboración entre Microsoft, Cloudflare, ESET, CleanDNS, Bitsight, Lumen, GMO Registry y la firma jurídica internacional Orrick.

Lumma Stealer (o LummaC2) es un software malicioso de tipo "infostealer", distribuido bajo el modelo de Malware-as-a-Service. El alquiler de esta herramienta oscila entre los $250 y $1000 mensuales. Lumma es capaz de robar datos de sistemas Windows y macOS, incluyendo contraseñas, cookies, información de tarjetas de crédito, criptomonedas e historial de navegación. Entre las aplicaciones objetivo se encuentran Google Chrome, Microsoft Edge, Mozilla Firefox y otros navegadores basados en Chromium.

Lumma Stealer se distribuía mediante comentarios en GitHub, sitios con contenido deepfake y campañas publicitarias maliciosas (malvertising). Una vez infectado el dispositivo, los datos se agregaban, archivaban y enviaban a los servidores de control, siendo posteriormente utilizados en ataques adicionales o vendidos en foros clandestinos.

Lumma apareció por primera vez en plataformas cibercriminales en diciembre de 2022 y pronto se convirtió en uno de los infostealers más populares. Según el informe de IBM X-Force de 2025, durante el último año el volumen de datos robados mediante este tipo de programas aumentó un 12%, mientras que la entrega de infostealers por phishing creció un 84%, con Lumma como líder destacado.

Entre los ataques más notorios en los que se usaron datos robados por Lumma figuran incidentes con PowerSchool, HotTopic, CircleCI y Snowflake. Además de los hackeos corporativos, las credenciales robadas se usaron para redirigir rutas BGP y alterar configuraciones de RPKI, como ocurrió con la cuenta de Orange Spain en el sistema RIPE.

Adicionalmente, el FBI y la CISA publicaron una alerta conjunta con indicadores técnicos de compromiso y tácticas utilizadas por los atacantes que emplean Lumma, para que las empresas puedan detectar rápidamente signos de infección y corregir vulnerabilidades en sus infraestructuras.