La verificación "No soy un robot" resultó ser un virus: detectan nueva forma de robar datos mediante captchas

Entre bastidores de los ciberataques no solo hay código malicioso, sino toda una infraestructura sin la cual los ataques simplemente no funcionan. Una nueva investigación mostró cómo se distribuyen esos recursos en las redes rusas y por qué los atacantes vuelven una y otra vez a las mismas plataformas.

En tres meses, del 1 de enero al 1 de abril de 2026, los especialistas identificaron más de 1250 servidores de control de malware activos. Estos servidores se usan para comunicarse con dispositivos infectados y gestionar ataques. Toda la infraestructura está distribuida entre 165 proveedores, incluidos servicios de hosting, servicios en la nube y redes de telecomunicaciones.

El panorama resultó desigual. La mayor parte de la actividad maliciosa recae en los servidores de control: alrededor del 88,6% de todos los objetos detectados. Los sitios de phishing ocupan aproximadamente el 4,9%, los catálogos abiertos con contenido malicioso alrededor del 5,3%, y los indicadores de compromiso registrados públicamente apenas alcanzan el 1,2%.

Al mismo tiempo, una parte importante de la infraestructura se concentra en un número limitado de proveedores. Esa concentración permite a los atacantes ahorrar recursos y reutilizar herramientas ya desplegadas. No se trata de casos aislados, sino de una práctica sistemática.

El análisis mostró que en las redes rusas dominan varias familias de malware e instrumentos. Entre ellas Keitaro, Hajime, Tactical RMM, Cobalt Strike, Sliver y Ligolo-ng. Muchas de estas herramientas son plataformas listas que ayudan a desplegar ataques rápidamente y a escalar operaciones.

Destacan por separado las botnets dirigidas a dispositivos del internet de las cosas. Hajime, Mozi y Mirai siguen utilizando activamente routers comprometidos y dispositivos empotrados. Esa técnica permite crear redes distribuidas de dispositivos infectados que son difíciles de rastrear y desconectar.

La infraestructura no se utiliza solo para ataques masivos. Los especialistas registraron un amplio espectro de actividad: desde phishing y distribución de programas para el robo de datos hasta escaneos de redes e intrusiones puntuales. Además, una misma plataforma a menudo se emplea en diferentes etapas del ataque, desde el reconocimiento hasta el establecimiento de persistencia en el sistema.

Por ejemplo, en una de las campañas los atacantes camuflaban el código malicioso como una verificación de captcha y obligaban a los usuarios a ejecutar comandos que descargaban el programa malicioso Latrodectus. En otro caso difundieron Lumma Stealer mediante archivos comprimidos falsos y navegadores modificados. También se observaron ataques más complejos: los atacantes emplearon troyanos de acceso remoto, inyectaron código en sitios comprometidos y controlaron sistemas de forma oculta a través de canales cifrados.

Algunas operaciones se dirigieron a organizaciones concretas. En una de ellas se usaron las herramientas maliciosas PhantomHeart y PhantomProxyLite, que proporcionaban acceso oculto y tunelizaban el tráfico. En otra campaña los atacantes distribuyeron un ladrón de datos a través de cientos de repositorios en GitHub, camuflando archivos maliciosos como programas útiles y modificaciones para juegos.

A pesar del gran número de proveedores, la actividad maliciosa sigue un patrón claro. Los atacantes eligen infraestructuras con acceso cómodo, condiciones de pago flexibles y la posibilidad de desplegar servidores con rapidez. Como resultado, las mismas plataformas vuelven a estar en el centro de los ciberataques.

Ese enfoque permite a los equipos de defensa abordar el problema de manera más amplia. En lugar de perseguir archivos maliciosos individuales, es posible concentrarse en la infraestructura donde nacen y se desarrollan los ataques. Es justamente en ese nivel donde resulta más fácil detectar patrones recurrentes y dificultar las operaciones de los atacantes.