En el mundo de la ciberseguridad, no siempre menos significa mejor. Aunque durante el segundo semestre de 2025 se registró una disminución global del 18% en las detecciones de infostealers, este dato no refleja una mejora en el panorama. Por el contrario, estas amenazas han evolucionado, volviéndose más complejas, estratégicas y difíciles de detectar.
Los infostealers, programas maliciosos diseñados para robar información sensible como contraseñas, datos financieros o credenciales almacenadas en navegadores, continúan siendo una de las herramientas más utilizadas por los cibercriminales. Su capacidad para operar de forma silenciosa y recolectar grandes volúmenes de datos los convierte en un recurso altamente efectivo dentro del ecosistema delictivo digital.

De acuerdo con los análisis más recientes de ESET, el comportamiento de estas amenazas ha cambiado significativamente en el último año. Aunque el volumen de ataques parece haber disminuido, las campañas actuales están mucho mejor dirigidas, incorporando técnicas avanzadas de ingeniería social y apoyándose cada vez más en la inteligencia artificial para optimizar su alcance y efectividad.

Un ecosistema en transformación

Uno de los cambios más relevantes en 2025 fue la reconfiguración del panorama de malware tras el abandono del desarrollo de Agent Tesla por parte de sus creadores. Este vacío fue rápidamente ocupado por otras familias que ganaron protagonismo en el robo de información.

Entre ellas, destacan amenazas como Formbook y SnakeStealer, que han sabido adaptarse a las nuevas dinámicas del cibercrimen. Estas variantes no solo mantienen su capacidad de infiltración, sino que han mejorado sus métodos de distribución y evasión, lo que las hace aún más peligrosas. A pesar de la desaceleración de algunas familias históricas, otras continúan activas gracias a su integración con herramientas que facilitan su propagación. Este es el caso de Agent Tesla, que sigue circulando a través de descargadores de malware, demostrando que incluso las amenazas “antiguas” pueden mantenerse vigentes en nuevos formatos.

Las amenazas más activas en Latinoamérica

El análisis también revela que Latinoamérica se ha consolidado como una región clave para este tipo de ataques. Diversos países registran una actividad constante, con patrones que evidencian campañas cada vez más segmentadas.

Formbook lidera el ranking global de detecciones, representando más del 17% de los casos y propagándose principalmente mediante campañas de phishing. Por su parte, Lumma Stealer ha protagonizado ataques masivos, especialmente en México, enfocados en el robo de credenciales y datos almacenados en navegadores.

En el ámbito móvil, NGate, también conocido como PhantomCard, ha cobrado relevancia en Brasil, donde apunta directamente al ecosistema bancario. Este tipo de spyware no solo roba información financiera, sino también contactos y datos personales, ampliando el impacto de los ataques.

Otro actor importante es Spy.Banker, un conjunto de troyanos basados en JavaScript que afectan principalmente a usuarios de servicios financieros y mantienen una presencia constante a nivel global.

Un blanco claro: la región latinoamericana

Los datos muestran que los cibercriminales no operan al azar. Latinoamérica se ha convertido en un objetivo estratégico, con campañas diseñadas específicamente para los usuarios de la región.
México, por ejemplo, registró un evento particularmente llamativo en julio de 2025, cuando una campaña masiva de spam en español concentró la mayoría de las detecciones globales de Lumma Stealer en un solo día.

Brasil, en tanto, se posiciona como uno de los principales focos de fraude mediante tecnologías como NFC, donde el malware móvil suplanta aplicaciones bancarias y plataformas de comercio electrónico.

Otros países también reflejan actividad relevante. En Perú, se ha observado un aumento en ataques que utilizan la técnica ClickFix, mientras que en Chile se ha detectado la presencia de NGate en campañas de espionaje más avanzadas. Colombia y Argentina, por su parte, mantienen una presencia constante en los registros de detección, lo que evidencia la persistencia de estas amenazas en toda la región.

Cómo operan: métodos cada vez más convincentes

El éxito de los infostealers no solo radica en su tecnología, sino en su capacidad para engañar a los usuarios. Entre los métodos más utilizados destacan las campañas de phishing y spam, que emplean correos electrónicos con archivos adjuntos que simulan facturas o pedidos legítimos. A esto se suma el uso de técnicas como ClickFix, que consiste en mostrar falsos errores del sistema para convencer al usuario de ejecutar comandos maliciosos. Este tipo de ingeniería social aprovecha la confianza y la urgencia para lograr su objetivo.

También han ganado terreno los descargadores de malware, herramientas que actúan como intermediarios para instalar otras amenazas en los dispositivos. Además, los sitios web fraudulentos continúan siendo un vector clave, especialmente aquellos que imitan tiendas oficiales para distribuir aplicaciones maliciosas.

Un futuro más desafiante

El panorama de los infostealers deja una conclusión clara: aunque los números puedan sugerir una disminución, la amenaza está lejos de desaparecer. De hecho, su evolución hacia modelos más sofisticados, impulsados por la inteligencia artificial y el esquema de Malware-as-a-Service, plantea nuevos desafíos para usuarios y organizaciones.

De cara a 2026, los expertos coinciden en que será fundamental reforzar la protección de credenciales, mejorar los sistemas de detección temprana y prestar especial atención a la seguridad en dispositivos móviles y tecnologías emergentes como NFC.

En un entorno donde los ataques son cada vez más silenciosos y personalizados, la prevención y la conciencia digital se convierten en la primera línea de defensa. Porque, en el mundo actual, proteger la información personal ya no es solo una recomendación; es una necesidad urgente.