El malware del robador ya no roba contraseñas. En 2025, roba sesiones en vivo, y los atacantes se mueven más rápido y de manera más eficiente que nunca.
Si bien muchas adquisiciones asociadas con servicios personales, la amenaza real se está desarrollando en la empresa. La última investigación de Flare, la economía de adquisición de cuentas y sesiones, analizada sobre 20 millones de registros de robador y rastreó la actividad del atacante en los canales de telegrama y los mercados web oscuros. Los hallazgos exponen cómo los ciberdelincuentes arman los puntos finales de los empleados infectados para secuestrar sesiones empresariales, a menudo en menos de 24 horas.
Aquí está la línea de tiempo real de un ataque moderno de secuestro de sesión.
Infección y robo de datos en menos de una hora
Una vez que una víctima ejecuta una carga útil maliciosa, disfrazada típicamente como software descifrado, actualizaciones falsas o accesorios de phishing, los robos de productos de productos modernos como Redline (44%de los registros), el mapache (25%) y LumMac2 (18%) se hacen cargo.
Estos kits de malware:
- Extraer cookies de navegador, credenciales guardadas, tokens de sesión y billeteras de criptografía
- Exfiltrate automáticamente los datos de telegrama o servidores de comando y control en cuestión de minutos
- Alimentar más de 16 millones de registros en solo 10 canales de telegrama solo, ordenados por tipo de sesión, ubicación y aplicación
Tokens de sesión: la nueva moneda
En cuestión de horas, los cibercriminales examinan los datos robados, centrándose en tokens de sesión de alto valor:
- El 44% de los registros contienen datos de sesión de Microsoft
- 20% incluye Google Sessions
- Más del 5% expone tokens de los servicios en la nube de AWS, Azure o GCP
Utilizando los comandos BOT de Telegram, los atacantes filtran registros por geografía, aplicación y nivel de privilegio. Los listados del mercado incluyen datos de huellas digitales del navegador y scripts de inicio de sesión preparados que evitan el MFA.
El precio de las sesiones robadas varía ampliamente, ya que las cuentas de consumo generalmente se venden por $ 5 a $ 20, mientras que las sesiones de AWS de nivel empresarial o Microsoft pueden obtener $ 1,200 o más.
Acceso completo a la cuenta en cuestión de horas
Una vez que se compran los tokens de sesión, los atacantes los importan a navegadores anti-detectados, obteniendo un acceso perfecto a plataformas críticas de negocios sin activar alertas de MFA o inicio de sesión.
No se trata de que las cuentas personales se usen mal. Se trata de atacantes que se infiltran en entornos corporativos, donde rápidamente:
- Acceda al correo electrónico comercial como Microsoft 365 o Gmail
- Ingrese herramientas internas como paneles de Slack, Confluence o Administr
- Exfiltrado datos confidenciales de plataformas en la nube
- Implementar ransomware o moverse lateralmente a través de los sistemas
Flare analizó un solo registro de robador que incluía acceso en vivo, listo para usar a Gmail, Slack, Microsoft 365, Dropbox, AWS y PayPal, todo atado a una sola máquina infectada. En las manos equivocadas, este nivel de acceso a la sesión puede convertirse en una violación grave en cuestión de horas.
Por qué esto importa: la escala de la amenaza
Esto no es atípico. Es un Mercado subterráneo masivo e industrializado habilitando pandillas de ransomware, estafadores y grupos de espionaje:
- Se roban millones de sesiones válidas y se venden semanalmente
- Los tokens permanecen activos durante días, permitiendo un acceso persistente
- El secuestro de sesiones evita MFA, dejando a muchas organizaciones ciegas a las violaciones
Estos ataques no resultan de las violaciones en Microsoft, Google, AWS u otros proveedores de servicios. En cambio, se derivan de usuarios individuales que se infectan por Malware de Stealer, que exfiltra silenciosamente sus credenciales y tokens de sesión en vivo. Luego, los atacantes explotan este acceso a nivel de usuario a los empleados de suplantación, roban datos y aumentan los privilegios.
Según el 2025 DBIR de Verizon, el 88% de las infracciones involucraban credenciales robadas, destacando cómo se han convertido los ataques centrales basados en la identidad.
Si solo está observando contraseñas robadas o intentos de inicio de sesión fallidos, se está perdiendo el vector de ataque más grande.
Cómo defender su organización
Los tokens de sesión son tan críticos como las contraseñas y requieren una nueva mentalidad de defensa:
- Revocar todas las sesiones activas inmediatamente después del compromiso de punto final; Restablecidos de contraseña por sí sola No detenga a los atacantes
- Monitorear el tráfico de red para dominios de telegrama, un canal de exfiltración clave
- Use huellas dactilares del navegador y detección de anomalías para marcar el uso sospechoso de la sesión de dispositivos o ubicaciones desconocidas
Adaptar las defensas a esta nueva realidad es esencial para detener a los actores de amenaza que se mueven rápidamente.
Sumergirse más profundo con la bengala
Nuestro informe completo cubre:
- Las familias de malware más comunes utilizadas en los ataques
- Precios de token detallados por tipo de acceso
- Capturas de pantalla de bots de telegrama y listados de mercado
- Recomendaciones procesables para la detección y respuesta
Explore nuestro extenso conjunto de datos usted mismo comenzando un prueba gratuita. Busque millones de registros de robadores, identifiquen sesiones expuestas y se adelanten a los atacantes.
Lea el informe completo | Comience su prueba gratuita
Nota: Este artículo es escrito y aportado por expertos por Eric Clay, quien tiene experiencia en gobernanza, riesgo y cumplimiento, análisis de datos de seguridad e investigación de seguridad. Actualmente se desempeña como CMO en Flare, una solución SaaS de gestión de exposición de amenazas.