Infostealer 2026: Por qué los cookies de sesión robados anulan la MFA
⏱ 8 Min. de lectura
Un desarrollador en una filial del índice DAX recibe en febrero un archivo ZIP aparentemente inocuo a través de LinkedIn. Lo abre, y nada ocurre. Dos semanas después, su SOC le avisa: sus cookies de sesión están a la venta en un mercado en ruso, incluyendo una sesión activa de Microsoft 365. MFA, Acceso Condicional, Geofencing… todo ha sido burlado. Bienvenidos a la realidad de 2026: los infostealers son ya la amenaza más subestimada para las empresas y se escapan precisamente de los controles en los que los CISO han invertido más durante los últimos cinco años.
Lo más importante en resumen
- El malware Infostealer roba de forma específica cookies de sesión, tokens y credenciales: RedLine, Lumma, Raccoon, Vidar y varios derivados llevan años activos y evolucionando como servicio.
- Las cookies de sesión robadas pueden eludir la autenticación multifactor (MFA): Quien posee una sesión válida ya no necesita autenticarse nuevamente. La autenticación condicional solo se activa cuando se inicia un nuevo flujo de inicio de sesión.
- Mercados como Russian Market y sus sucesores en Genesis comercializan millones de credenciales al mes: Los atacantes compran específicamente según el dominio, la industria o el país. El acceso a una empresa puede costar entre 10 y 300 euros.
- Los sistemas EDR suelen detectar los Infostealers demasiado tarde: Este tipo de malware permanece en el sistema apenas unos minutos, exfiltra la información y luego se elimina por sí mismo. Muchas detecciones tradicionales no se activan a tiempo.
- La defensa debe ser organizativa, no únicamente técnica: Limitar la duración de las sesiones, establecer confianza en los dispositivos, implementar evaluaciones continuas del acceso y utilizar métodos de autenticación resistentes al phishing son los componentes esenciales para 2026.
Cómo funciona realmente un infostealer en 2026
La ingeniería de los infostealers modernos no radica en la sofisticación del ataque individual, sino en la industrialización de la carga útil. Un creador de malware tipo RedLine o Lumma se ofrece como servicio a través de Telegram; las suscripciones mensuales oscilan entre 100 y 300 dólares. El cliente recibe un archivo ejecutable firmado de forma personalizada, una interfaz para configurar los destinos de exfiltración de datos, acceso a un panel de control con la información robada y, en muchos casos, incluso soporte mediante un chatbot impulsado por inteligencia artificial para resolver dudas sobre la distribución. Esto no es un hobby de aficionados. Es un mercado SaaS con servicio al cliente.
El proceso en el sistema de la víctima suele ser sencillo y, precisamente por eso, extremadamente efectivo. El infostealer se introduce mediante un cargador -a menudo, un programa descargado ilegalmente, un instalador falso de herramientas conocidas o un archivo ZIP compartido en redes sociales-. Una vez ejecutado, el malware busca en el equipo las rutas estándar de navegadores como Chromium y Firefox, así como de aplicaciones como Discord, Telegram, Steam, billeteras cripto y clientes FTP. Extrae las bases de datos cifradas de cookies, las descifra utilizando la clave DPAPI de Windows del usuario actual, las comprime en un archivo ZIP, envía este paquete a un servidor de comando y control y finaliza su ejecución. En la mayoría de los casos, todo el procedimiento dura menos de dos minutos.
Posteriormente, los datos aparecen en alguno de los mercados clandestinos más conocidos. Russian Market ha sido durante años el punto de referencia para credenciales corporativas; los sucesores del mercado Genesis, confiscado por el FBI en 2023, siguen abasteciendo ese mismo nicho. Los atacantes filtran allí según la extensión del dominio, la antigüedad de las cookies y el tipo de sesión disponible. Un conjunto de datos que incluya sesiones recientes de Microsoft 365 junto con una cuenta de dominio perteneciente a una filial del índice DAX puede alcanzar valores de tres o cuatro cifras, dependiendo de su calidad y contexto.
«En nuestra base de clientes observamos una y otra vez el mismo patrón: la autenticación multifactor está activada correctamente, el acceso condicional está implementado y existe registro de dispositivos; sin embargo, basta con un único portátil personal infectado con un infostealer para vulnerar por completo la barrera de seguridad. La problemática de las cookies de sesión aún no ha calado en la conciencia de la mayoría de los CISO.»
— Comentario típico de equipos alemanes de respuesta a incidentes, 2025
Por qué la autenticación multifactor no resuelve el problema por sí sola
La creencia de que la autenticación multifactor (MFA) hace inmunes a los ataques de phishing es, en realidad, errónea. La MFA tradicional -SMS, notificaciones push y códigos TOTP- únicamente autentica un proceso de inicio de sesión. Una vez que este proceso se completa con éxito, el sistema genera una sesión. Por lo general, esa sesión permanece activa entre ocho horas y 90 días, dependiendo de la configuración. Quien durante ese período robe las cookies de sesión y las inserte en su propio equipo podrá acceder directamente a la cuenta sin necesidad de ningún otro paso de autenticación: ni un mensaje emergente de MFA, ni preguntas de seguridad, ni controles de acceso condicional.
En 2024, Microsoft introdujo la Evaluación Continua del Acceso (CAE) para Entra ID con el objetivo de cerrar precisamente esta brecha. CAE implica que el proveedor de identidades y las aplicaciones supervisan continuamente diversas condiciones y pueden invalidar las sesiones en cuestión de segundos si detectan comportamientos anómalos. Sin embargo, en la práctica, CAE aún no está completamente desplegado en 2026. Aunque muchos clientes empresariales ya la han habilitado, la compatibilidad por parte de las aplicaciones sigue siendo limitada. Implementar CAE en Office 365, Teams, Exchange Online y SharePoint permite cerrar numerosos vectores de ataque, pero no todos.
La solución más eficaz radica en una autenticación resistente al phishing basada en FIDO2. Las claves de acceso y las llaves de seguridad físicas detienen los ataques que se apoyan en el robo de credenciales justo donde deben hacerlo: vinculan criptográficamente la autenticación al dispositivo y evitan el reutilización de las credenciales simplemente porque estas estén disponibles. No obstante, las claves de acceso no protegen contra las cookies de sesión ya robadas. La combinación ideal consiste en un inicio de sesión resistente al phishing, una duración breve de la sesión y una invalidación continua.
Por qué las soluciones EDR no cierran completamente la brecha
En teoría, los productos modernos de EDR son capaces de detectar comportamientos propios de los infostealers. Sin embargo, en la práctica, las tasas de detección de nuevas variantes de estos programas suelen ser decepcionantes durante las primeras semanas. La razón radica en el modelo de polimorfismo: los creadores de infostealers cifran los archivos ejecutables cada vez que se distribuyen, lo que hace que cada instancia tenga un hash único. En este escenario, la detección basada en firmas falla por completo, y la detección basada en el comportamiento también se ve dificultada debido al corto período de ejecución.
Además, muchas infecciones ocurren en dispositivos personales. El BYOD (traer tu propio dispositivo), el teletrabajo, el uso de portátiles para proyectos personales o incluso equipos de gaming con software pirateado -todos ellos constituyen canales que quedan fuera del alcance de la protección EDR de una empresa. A pesar de ello, las credenciales y cookies robadas acaban en mercados clandestinos, y las sesiones siguen funcionando incluso si el dispositivo corporativo original permanece limpio.
Esto nos lleva a una verdad incómoda: en un mundo dominado por los infostealers, ya no es suficiente asumir que un sistema EDR moderno combinado con autenticación multifactorial (MFA) y cumplimiento de políticas de seguridad de los dispositivos sea suficiente. Los CISO deben partir del principio de que, en cualquier momento, una cookie de sesión válida de uno de sus usuarios podría reutilizarse en un dispositivo ajeno, y la infraestructura debe estar preparada para detectar y responder ante ese tipo de situaciones.
La pila de defensa para 2026
Mantener corta la duración de la sesión. La medida más sencilla es también la más agresiva. Microsoft, Okta, Google y otros grandes proveedores de identidad permiten políticas de sesión con una duración máxima de entre horas y días. Quien establezca una duración de cuatro a ocho horas y exija una nueva autenticación para acciones privilegiadas reduce el intervalo durante el cual las cookies robadas pueden ser utilizadas a una fracción mínima.
Activar la evaluación continua del acceso. Cuando está disponible, la evaluación continua del acceso (CAE) es la medida más eficaz contra el robo de sesiones. En Entra ID, CAE es configurable y, en 2026, la mayoría de las cargas de trabajo de Microsoft 365 ya admiten la invalidación basada en CAE. La condición indispensable es que todas las aplicaciones cliente sean compatibles con CAE, lo que en entornos heterogéneos constituye una tarea de auditoría.
Fiduciabilidad del dispositivo y vinculación del dispositivo. Los sistemas modernos de identidad admiten la vinculación del dispositivo para las sesiones. Una sesión vinculada a un dispositivo no puede reutilizarse en otro porque falta la clave criptográfica específica del dispositivo. Beyond Identity, Cisco Duo, Okta Device Trust y Microsoft Intune ofrecen esta funcionalidad en distintos niveles de implementación. Quien proteja las aplicaciones críticas mediante vinculación del dispositivo convierte los ataques de infostealers en inútiles para esos escenarios.
Monitorización de credenciales en fuentes de la dark web. Servicios como Recorded Future, Flare, Hudson Rock y KELA escanean continuamente los mercados relevantes en busca de dominios corporativos y envían alertas cuando aparecen nuevos conjuntos de datos. Quien integre este monitoreo en su SOC suele recibir la primera advertencia antes de que el atacante aproveche la sesión. La integración con SIEM y SOAR es una práctica estándar en 2026.
Autenticación resistente al phishing. Las claves de acceso y los tokens de hardware FIDO2 son la base de cualquier diseño Zero Trust para 2026. No resuelven por sí solas el problema de las cookies de sesión, pero reducen drásticamente la fase inicial de la cadena de ataque. Sin phishing de contraseñas, sin ataques de fatiga de MFA, sin códigos TOTP robados – y, por ende, menos acceso inicial para todo lo que venga después.
Lo que el BKA y el BSI prevén sobre la situación de los infostealers para 2025/26
Los informes de situación elaborados por las autoridades alemanas dibujan un panorama claro para 2025 y 2026: los ataques basados en infostealers se encuentran entre las amenazas más activas contra las empresas alemanas y son considerados por las fuerzas del orden y las autoridades de ciberseguridad como un problema estructural. La observación más importante es que casi todos los casos documentados de ransomware de los últimos doce meses que estaban sujetos a la obligación de notificación KRITIS no comenzaron con una intrusión directa en los sistemas empresariales. Por el contrario, se iniciaron con credenciales robadas mediante infostealers en sistemas de terceros y utilizadas semanas después como vector de entrada específico.
La desvinculación entre la compromisión inicial y el ataque real constituye el aspecto más complejo para el rastreo forense. Hoy en día, un infostealer puede infectar un portátil personal, extraer las cookies almacenadas del navegador de un usuario de Microsoft 365 y, semanas después, el atacante que adquiere esas cookies en un mercado clandestino no mantiene ninguna conexión técnica con la infección original. Los equipos de seguridad perciben el acceso como una sesión legítima de Office 365 procedente de una dirección IP geográficamente plausible y correctamente autenticada. Sin telemetría proveniente del entorno del mercado clandestino, este tipo de acceso no puede identificarse como malicioso.
Consecuencia para la organización interna: la defensa contra los infostealers no es un proyecto que pueda abordarse de forma aislada en el departamento de gestión de identidades y accesos (IAM), en el SOC o en el equipo de endpoints. Afecta simultáneamente a la gestión de identidades, la administración de endpoints, la telemetría del SOC, la obtención de inteligencia sobre amenazas, las políticas de recursos humanos y el departamento jurídico. Quien limite la lucha contra estos programas maliciosos únicamente a uno de esos silos perderá terreno.
En la práctica, esto implica que los CISO deben coordinar al menos cuatro áreas que, en muchas organizaciones, aún trabajan de manera estrictamente separada. En primer lugar, el equipo encargado de las políticas de sesiones y la configuración de CAE. En segundo lugar, el equipo de endpoints, responsable del control de confianza de los dispositivos y de la telemetría EDR. En tercer lugar, el SOC, para la correlación y el ingenierio de detección. Y, por último, el área de inteligencia sobre amenazas, dedicada al monitoreo de la web oscura y a la emisión de alertas sobre credenciales comprometidas. Aquellos que integren estas cuatro funciones en una matriz común de respuesta a incidentes mejoran de manera tangible su velocidad de reacción y reducen significativamente el tiempo promedio que una cookie robada permanece en el sistema productivo.
La buena noticia es que esta transición no requiere nuevas herramientas ni presupuesto adicional. Lo que sí necesita es una asignación clara de responsabilidades, métricas compartidas y el compromiso de gestionar la defensa contra los infostealers como un programa independiente, en lugar de relegarlo a un segundo plano dentro de los equipos individuales.
Lo más importante en resumen
Familias típicas de stealer en 2026: RedLine, Lumma, Raccoon v2, Vidar, Stealc, Rhadamanthys. Todas disponibles como servicio (MaaS).
Canales típicos de exfiltración: Bots de Telegram, Cloudflare Workers, hosts web comprometidos, así como la infraestructura C2 directa.
Mercados: Russian Market, Exchange.sh, 2easy, además de diversos canales de Telegram para la reventa rápida.
Rango de precios por cada conjunto de datos corporativos: Entre 10 y 300 euros, con recargos adicionales por tokens de Office 365, accesos VPN y cuentas con privilegios elevados.
Tiempo medio hasta la detección sin monitoreo del dark web: Según los expertos en respuesta a incidentes, suele ser de varias semanas, a menudo hasta después de un ataque secundario.
Medidas de defensa efectivas: Sesiones de corta duración, CAE, confianza en el dispositivo, autenticación resistente al phishing, monitoreo de credenciales y acceso condicional con puntuación de riesgo.
Preguntas frecuentes
¿Por qué no basta con la autenticación multifactor (MFA) para detener los ataques de infostealers?
La MFA protege el proceso de inicio de sesión, pero no la sesión que se genera después. Un infostealer roba cookies de sesión válidas del sistema de la víctima. El atacante utiliza esas cookies en su propio dispositivo y toma el control de la sesión activa, sin que el sistema de identidad registre un nuevo inicio de sesión. La MFA solo vuelve a entrar en acción cuando la sesión caduca o es invalidada por un sistema de detección de sesiones comprometidas (CAE).
¿Son las claves de acceso una solución contra los infostealers?
Las claves de acceso protegen la autenticación inicial y eliminan el robo de credenciales como vector de entrada. Sin embargo, no resuelven el problema de las cookies de sesión ya robadas. Quien implementa claves de acceso reduce drásticamente la superficie de ataque, pero debe complementar esta medida con límites en la duración de las sesiones, sistemas de detección de sesiones comprometidas (CAE) y vinculación de dispositivos para cerrar la vía de reutilización de las cookies.
¿Con qué rapidez puede reaccionar un SOC ante un incidente relacionado con un infostealer?
Mediante la monitorización del dark web y la integración automatizada con SIEM, es posible responder en cuestión de horas. Sin estos componentes, un SOC suele detectar la compromisión solo cuando el atacante realiza actividades sospechosas, como configurar reglas de correo electrónico, realizar descargas inusuales o intentar ampliar sus privilegios. En esos casos, a menudo ya han transcurrido días o semanas.
¿Qué papel desempeñan los dispositivos personales en el problema de los infostealers?
Un papel muy importante. Según los datos actuales de respuesta a incidentes, la mayoría de las infecciones exitosas ocurren en dispositivos privados que también se utilizan para fines laborales. Limitarse a garantizar el cumplimiento de políticas de seguridad en los equipos corporativos no es suficiente mientras los usuarios puedan acceder a recursos empresariales desde sistemas personales. En 2026, la única estrategia realmente efectiva es mantener una estricta separación entre dispositivos personales y corporativos o implementar la vinculación de dispositivos.
¿Qué prioridad debería tener la defensa contra los infostealers en la hoja de ruta de seguridad para 2026?
Una prioridad alta. Esta modalidad de ataque es escalable, económica para los atacantes y evade las inversiones tradicionales en seguridad. Los CISO que en los últimos años han invertido mucho en MFA, EDR y gestión de identidades deben abordar ahora explícitamente el modelo de sesiones. Es decir, reducir la duración de las sesiones, activar sistemas de detección de sesiones comprometidas (CAE), introducir mecanismos de confianza en los dispositivos y establecer una vigilancia constante del dark web. Se requiere un enfoque integral, no solo un único componente.
Lectura recomendada
→ Ransomware 2026: Qué ocurre si las empresas pagan y qué si no lo hacen
→ Criptografía post-cuántica: Por qué las empresas deben actualizar ya su sistema de cifrado
Fuente de la imagen de portada: Pexels / Sora Shimazaki (px:5935787)
