En una operación internacional coordinada, el FBI, Europol y el Departamento de Justicia de Estados Unidos, junto a empresas tecnológicas como Microsoft, lograron desmantelar la columna vertebral de la infraestructura del malware Lumma Stealer, una herramienta utilizada por ciberdelincuentes para robar datos sensibles.

Mapa de calor que detalla la propagación global de las infecciones y encuentros con el malware Lumma Stealer en dispositivos con Windows.

https://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/

Bryan Vorndran, Director Adjunto de la División Cibernética del FBI, ha manifestado que: “Gracias a las asociaciones con el sector privado, pudimos desmantelar la infraestructura de LummaC2 y confiscar los paneles de usuario. Juntos, estamos dificultando y haciendo más dolorosa la operación de los ciberdelincuentes.

Lumma, desarrollado por un actor identificado como “Shamel”, operaba como un servicio de malware (Malware-as-a-Service) comercializado en foros clandestinos. Permitía robar credenciales, tarjetas de crédito, cuentas bancarias e incluso billeteras de criptomonedas. Su propagación se realizaba mediante campañas de spear phishing y publicidad maliciosa (malvertising), donde simulaba ser marcas legítimas como Microsoft o Booking.com.

En una acción coordinada entre la Unidad de Crímenes Digitales de Microsoft (Microsoft’s Digital Crimes Unit, DCU), el Departamento de Justicia de los Estados Unidos (DOJ), Centro Europeo de Ciberdelincuencia de Europol (EC3) y el Centro de Control de Cibercrimen de Japón han logrado la incautación de la estructura de comando central del malware, la interrupción de los mercados digitales donde se vendía, y el bloqueo de más de 2.300 dominios maliciosos vinculados a su operación.

¿Qué medidas recomiendan implementar las autoridades?

Para reducir el riesgo de infección por Lumma, el FBI y la Agencia de Ciberseguridad de EE.UU. (CISA) recomiendan:

  • Separar las cuentas de usuario y aquellas que posean privilegios.
  • Monitorear procesos sospechosos y llamadas a APIs que revelen intentos de obtener información del sistema.
  • Implementar control de aplicaciones.
  • Aplicar autenticación multifactor resistente al phishing.
  • Auditar cambios en el registro y las cuentas de usuario periódicamente.
  • Implementar autenticación, autorización y auditoría (AAA).
  • Auditar cuentas de usuarios y revocar las credenciales de ex empleados.
  • Asegurar los dispositivos de red.
  • Mantener los sistemas actualizados.
  • Segmentar redes, especialmente para proteger sistemas sensibles.

Desde Microsoft reconocen que la infraestructura maliciosa podría ser reconstruida, pero destacan que este tipo de operaciones afectan directamente la capacidad operativa de los ciberdelincuentes y representan un paso significativo en la lucha contra el cibercrimen global.

https://www.justice.gov/opa/pr/justice-department-seizes-domains-behind-major-information-stealing-malware-operation

https://www.microsoft.com/en-us/security/blog/2025/05/21/lumma-stealer-breaking-down-the-delivery-techniques-and-capabilities-of-a-prolific-infostealer/

https://therecord.media/lumma-infostealer-malware-takedown-microsoft-fbi

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-141b