A través del mercado ilícito Lumma Market, alojado en la dark web, se comercializa un paquete que incluye 209 contraseñas y 5,133 cookies de internautas mexicanos, datos que fueron extraídos de servicios populares como Facebook, Instagram, Twitter, TikTok, OKX, LinkedIn, Pinterest, YouTube y Google.
Las cookies permiten a los atacantes acceder a cuentas sin necesidad de contraseñas, facilitando fraudes y accesos no autorizados.
De acuerdo con la startup de ciberseguridad, SILIKN, la filtración de estos datos evidencia la sofisticación y peligrosidad de Lumma Infostealer, un malware que opera bajo el modelo Malware-as-a-Service (MaaS) y que ha ganado protagonismo en el panorama de ciberseguridad en México.
De hecho, durante 2024 y 2025, México ha sido uno de los países más afectados por campañas de Lumma Infostealer.
Según la unidad de investigación de SILIKN, hay tácticas específicas dirigidas al país, incluyendo el phishing localizado, que son correos que imitan servicios nacionales para generar confianza.
Asimismo, han visualizado ataques al sector educativo, es decir, instituciones han sido comprometidas para distribuir malware a través de sitios legítimos.
Igualmente, el crecimiento del uso de activos digitales ha motivado campañas dirigidas a robar credenciales de plataformas como OKX. Además, se emplean páginas falsas de reCAPTCHA alojadas en servicios de nube confiables, dificultando la detección por soluciones de seguridad tradicionales.
SILIKN resaltó que, en mayo pasado, la Europol, el FBI y otras agencias internacionales coordinaron una operación para desmantelar parte de la infraestructura de Lumma. En la operación se confiscaron más de 2,500 dominios utilizados como servidores C2 y paneles de administración.
No obstante, no se logró neutralizar por completo las capacidades del malware.
Los servidores alojados en Rusia permanecieron activos, y el 23 de mayo, el desarrollador principal de Lumma confirmó que no se realizaron arrestos y que el servicio había sido restaurado.
Para el 29 de mayo, un bot en Telegram ya ofrecía 406 registros robados de 41 países, lo que demuestra la resiliencia de esta amenaza.
La firma de ciberseguridad resaltó que, aunque los datos robados se comercializan a bajo costo, la estrategia de los ciberdelincuentes responde a un modelo de negocio basado en el volumen: vender grandes cantidades de datos robados a precios mínimos para obtener ganancias significativas.
En este contexto, la unidad de investigación de SILIKN advirtió que interactuar con sitios como lumma-market.ru, donde se aloja este tipo de contenido, puede exponer a los usuarios a nuevas infecciones o fraudes adicionales.
er
