Los infostealers son un tipo de código malicioso que buscan robar información de manera silenciosa y
que se convirtieron en una herramienta altamente utilizada por los ciberatacantes. Desde el laboratorio
de ESET, compañía líder en detección proactiva de amenazas, se identificaron múltiples campañas que
tienen como carga útil (payload) final un infostealer. Dentro de las identificadas AsyncRAT es la más
frecuente, pero también se utilizan familias como HoudRAT, Agent Tesla, LummaStealer o FormBook. Sin
embargo, y según el ESET Threat Report H12025, SnakeStealer es la familia que mayor detección ha
tenido en lo que va del 2025.
Esta familia hizo sus primeras apariciones en 2019. En sus primeras versiones utilizaba la plataforma
Discord para alojar el stealer, que se descargaba luego de que la víctima interactuara con un archivo
adjunto a un correo de phishing. Un factor en común en todos los años de vida de SnakeStealer es su
modelo de negocio, basado en lo que se conoce como malware-as-a-service (MaaS) en el que los
atacantes alquilan o venden el acceso a malware listo para usar, similar a un software comercial, pero
en el mercado negro. Esto facilita que incluso personas con pocos conocimientos técnicos puedan lanzar
campañas maliciosas aprovechando la infraestructura y soporte de desarrolladores especializados.
“SnakeStealer volvió a ganar popularidad en el ambiente cibercriminal, y no por casualidad: tras la caída
de Agent Tesla, otro infostealer popular, sus propios operadores recomendaron a SnakeStealer como
reemplazo en los canales de Telegram donde lo ofrecían como MaaS. Esto podría explicar por qué
SnakeStealer pasó a ocupar el primer puesto en las detecciones de infostealers de manera tan rápida,
siendo responsable de 1/5 de las mismas a nivel mundial, según la telemetría de ESET.”, comenta
Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.
Durante 2020 y 2021 este código malicioso vio su pico en cuanto a campañas desplegadas asociadas a
él, pero, según ESET, sin ningún tipo de preferencia aparente con respecto a su geografía. El malware
fue descubierto en distintos países del mundo, sin reportes de campañas completas en Latinoamérica.
Snakestealer: el infostealer que lidera el robo de contraseñas en 2025
ESET analiza el malware que roba contraseñas y datos sensibles, y es el infostealer más detectado en 2025.
Los infostealers son un tipo de código malicioso que buscan robar información de manera silenciosa y
que se convirtieron en una herramienta altamente utilizada por los ciberatacantes. Desde el laboratorio
de ESET, compañía líder en detección proactiva de amenazas, se identificaron múltiples campañas que
tienen como carga útil (payload) final un infostealer. Dentro de las identificadas AsyncRAT es la más
frecuente, pero también se utilizan familias como HoudRAT, Agent Tesla, LummaStealer o FormBook. Sin
embargo, y según el ESET Threat Report H12025, SnakeStealer es la familia que mayor detección ha
tenido en lo que va del 2025.
Esta familia hizo sus primeras apariciones en 2019. En sus primeras versiones utilizaba la plataforma
Discord para alojar el stealer, que se descargaba luego de que la víctima interactuara con un archivo
adjunto a un correo de phishing. Un factor en común en todos los años de vida de SnakeStealer es su
modelo de negocio, basado en lo que se conoce como malware-as-a-service (MaaS) en el que los
atacantes alquilan o venden el acceso a malware listo para usar, similar a un software comercial, pero
en el mercado negro. Esto facilita que incluso personas con pocos conocimientos técnicos puedan lanzar
campañas maliciosas aprovechando la infraestructura y soporte de desarrolladores especializados.
“SnakeStealer volvió a ganar popularidad en el ambiente cibercriminal, y no por casualidad: tras la caída
de Agent Tesla, otro infostealer popular, sus propios operadores recomendaron a SnakeStealer como
reemplazo en los canales de Telegram donde lo ofrecían como MaaS. Esto podría explicar por qué
SnakeStealer pasó a ocupar el primer puesto en las detecciones de infostealers de manera tan rápida,
siendo responsable de 1/5 de las mismas a nivel mundial, según la telemetría de ESET.”, comenta
Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.
Durante 2020 y 2021 este código malicioso vio su pico en cuanto a campañas desplegadas asociadas a
él, pero, según ESET, sin ningún tipo de preferencia aparente con respecto a su geografía. El malware
fue descubierto en distintos países del mundo, sin reportes de campañas completas en Latinoamérica.
ESET -Nota de Prensa
Pie de imagen: Hashes relacionadas con SnakeStealer, reportados por año. Fuente: MalwareBazaar
Con el correr de los años, la forma en la que el payload llegaba a la víctima se fue diversificando, aunque
el primer contacto se sigue dando mayormente mediante un adjunto vía phishing: desde el mismo
payload comprimido con contraseña, pasando por archivos de tipo menos usuales (como RTF o ISO)
como downloaders, o incluso empaquetado con otras amenazas. Desde ESET comentan que existen
algunos casos reportados de SnakeStealer camuflado bajo cracks o aplicaciones falsas en la web, aunque
parecen ser ocasiones esporádicas.
Entre las capacidades más utilizadas por SnakeStealer, ESET destaca:
? Funcionalidades evasivas, como matar procesos asociados con herramientas de seguridad, de
análisis de malware o debuggers en el equipo víctima, así como verificaciones de hardware para
descartar el uso de una máquina virtual.
? Persistencia mediante la modificación de registros de arranque de Windows.
? Robo de credenciales almacenadas en navegadores, bases de datos, clientes de correo o chat (como
Discord) y de redes WiFi.
? Captura del portapapeles y keylogging.
? Toma de capturas de pantalla.
En cuanto a los mecanismos de exfiltración, el malware ofrece al atacante una variedad de métodos
como la carga a un servidor usando el protocolo FTP, la publicación a un canal de Telegram mediante
HTTP, o el envío de la información comprimida en un adjunto mediante correo electrónico.
Desde ESET comparten algunas buenas prácticas para reducir el riesgo de infección:
? Mantener el sistema operativo y las aplicaciones actualizadas.
? Utilizar software de seguridad tanto en computadoras como dispositivos móviles.
? Desconfiar de adjuntos y enlaces en correos o mensajes no solicitados. Si provienen de alguna
entidad o marca reconocida, contactarnos mediante algún medio oficial para determinar la
veracidad del mensaje.
? Activar la autenticación multifactor (MFA) en servicios y programas que lo permitan, para evitar un
acceso indebido en caso de que nuestra contraseña sea robada.
ESET -Nota de Prensa
? En caso de sospecha de infección, cambiar todas las contraseñas desde otro dispositivo, revocar
sesiones ya abiertas y mantenerse alerta ante movimientos sospechosos en cuentas.
Para saber más sobre seguridad informática visite el portal corporativo de ESET:
https://www.welivesecurity.com/es/malware/snake-stealer-robo-contrasenas-infostealer/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el
mundo de la seguridad informática. Para escucharlo ingrese a:
https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
Visítanos en:
@ESETLA /company/eset-latinoamerica /esetla /ESETLA /@esetla
Publicada por; Sean Levy Garcia Crespo
