Factum | Cylum

Keyloggers e infostealers: diferencias y detección

Pablo Nebreda

Pablo Nebreda - Concienciación en ciberseguridad

En ciberseguridad corporativa solemos asociar los ataques al ruido: sistemas bloqueados, archivos cifrados o servicios caídos. Sin embargo, una parte creciente de los incidentes más graves en empresas comienza de forma opuesta: en silencio.

El robo de credenciales se ha convertido en uno de los métodos más utilizados para comprometer organizaciones. En lugar de explotar vulnerabilidades complejas, muchos atacantes prefieren algo mucho más simple: robar la identidad digital de los empleados. Entre las herramientas más utilizadas para lograrlo destacan dos tipos de malware: keyloggers e infostealers.

Ambos permiten capturar información sensible (como usuarios, contraseñas, cookies de sesión o datos financieros) que posteriormente se utiliza para acceder a sistemas corporativos con identidades legítimas.

El auge del malware de robo de credenciales en España

El crecimiento del malware especializado en robo de información es una de las tendencias más claras en ciberseguridad. Según datos de INCIBE, en 2024 se gestionaron 97.348 incidentes de ciberseguridad en España, de los cuales 31.540 afectaron a empresas. Dentro de estos incidentes, el malware, incluyendo infostealers y keyloggers, concentró más de 42.000 casos.

La tendencia también se observa en Europa. En 2023 los infostealers infectaron más de 250.000 sistemas y 647.485 hosts, siendo España uno de los países más afectados por este tipo de amenazas, con un incremento interanual superior al 42 %.

Este malware suele robar:

  • credenciales guardadas en navegadores
  • cookies de sesión
  • datos bancarios
  • información de criptocarteras

Posteriormente, estos datos se utilizan para acceder a redes corporativas, cometer fraudes o vender credenciales en mercados criminales.

Qué es un keylogger

Un keylogger es un tipo de malware diseñado para registrar todas las pulsaciones de teclado realizadas por un usuario (y, en algunos casos, otros datos asociados). Su objetivo es capturar información introducida manualmente en el sistema, como:

  • usuarios y contraseñas
  • datos introducidos en formularios web
  • textos de correos electrónicos
  • comandos o información escrita en aplicaciones empresariales

Toda esta información se envía posteriormente al atacante. Esto significa que cualquier credencial introducida en un equipo comprometido puede quedar expuesta, incluso si el usuario no guarda contraseñas en el navegador.

Por ejemplo, cuando un empleado inicia sesión en la VPN corporativa, en el correo empresarial o en un ERP, el keylogger puede interceptar las credenciales en tiempo real.

Qué es un infostealer

Un infostealer es un tipo de troyano diseñado específicamente para robar información almacenada en el dispositivo.
A diferencia del keylogger, que captura lo que se escribe, el infostealer analiza el sistema en busca de datos guardados. Entre la información que suele extraer se encuentran:

  • contraseñas guardadas en navegadores
  • cookies de sesión activas
  • datos bancarios o tarjetas almacenadas
  • historiales de navegación
  • credenciales de aplicaciones
  • monederos de criptomonedas
  • archivos sensibles

Una vez recopilados, estos datos se envían a un servidor controlado por el atacante.

Por ejemplo, cuando un empleado abre una factura falsa recibida por correo, el malware se ejecuta y en cuestión de minutos extrae todas las contraseñas guardadas en el navegador y las cookies de sesión corporativas.

Diferencia entre keylogger e infostealer

Aunque ambos tipos de malware suelen confundirse, no cumplen exactamente la misma función.

AspectoKeyloggerInfostealer
DefiniciónRegistra las pulsaciones del teclado del usuario.Roba información almacenada en el sistema.
Qué información robaDatos introducidos por el usuario en tiempo real: contraseñas, mensajes, formularios, comandos, etc.Credenciales guardadas en navegadores, cookies de sesión, datos bancarios, historiales, monederos cripto, archivos y otra información sensible.
Cómo obtiene los datosIntercepta lo que el usuario escribe mientras utiliza el dispositivo.Analiza navegadores, aplicaciones y archivos del sistema para extraer información almacenada.
Objetivo principalCapturar credenciales que no están guardadas en el sistema.Extraer grandes volúmenes de información sensible en poco tiempo.
Uso en ataques modernosPuede actuar como malware independiente o como módulo dentro de otros malware.Suele funcionar como una plataforma completa de robo de información.
Capacidades adicionalesNormalmente se limita al registro de pulsaciones (aunque algunos también capturan portapapeles o pantalla).Puede incluir keylogging, capturas de pantalla, robo de cookies, monitorización del portapapeles y extracción de archivos sensibles.
Perspectiva empresarialTécnica concreta utilizada para capturar datos introducidos por el usuario.Suite de robo de información que combina varias técnicas para maximizar el impacto.

En los ataques actuales, keyloggers e infostealers suelen trabajar juntos. El infostealer extrae credenciales y datos almacenados en el sistema, mientras que el keylogger captura la información que el usuario introduce en tiempo real, permitiendo a los atacantes obtener más acceso y mantener persistencia en entornos corporativos.

Campañas activas de keyloggers e infostealers en España

En los últimos años se han detectado múltiples campañas dirigidas a empresas españolas. Entre las familias de malware más observadas destacan:

  • VIP Keylogger
  • Agent Tesla
  • Snake Keylogger
  • Lumma / LummaC2

Estas campañas suelen utilizar ingeniería social y suplantación de marcas conocidas para aumentar su tasa de éxito.

Se han detectado correos fraudulentos que simulan comunicaciones de organizaciones como:

  • Iberdrola
  • DHL
  • Correos
  • Banco Santander
  • Colegio de Registradores

En algunos casos recientes, campañas que suplantaban a Repsol o Banco Santander incluían documentos maliciosos que instalaban Snake Keylogger, permitiendo robar credenciales corporativas de correo, VPN o banca online.

Señales de que un equipo puede estar infectado

Detectar este tipo de malware no siempre es sencillo, ya que está diseñado para pasar desapercibido. Sin embargo, existen indicadores técnicos que pueden alertar de una posible infección.

Señales en el puesto de trabajo:

  • Equipo inusualmente lento o con lag al escribir o mover el ratón
  • Congelaciones breves al abrir navegador o aplicaciones
  • Picos anómalos de CPU o RAM sin motivo aparente
  • Procesos desconocidos ligados a navegador o correo
  • Nuevas tareas de inicio, servicios o claves Run / RunOnce no configuradas por IT
  • Cambios no autorizados en el navegador (página de inicio, buscador, extensiones)
  • Tráfico saliente frecuente hacia dominios o IPs desconocidos, incluso cuando el usuario no está trabajando

Señales en cuentas y aplicaciones

  • accesos sospechosos desde países o IPs inusuales
  • cambios de contraseña que el usuario no ha iniciado
  • bloqueos de cuenta por múltiples intentos fallidos
  • notificaciones de nuevos dispositivos conectados a servicios cloud

Indicadores específicos de infostealer

  • aparición repentina de credenciales corporativas filtradas en internet o en la dark web
  • sesiones activas desde múltiples ubicaciones para la misma cuenta
  • acceso a archivos de perfiles de navegador (Chrome, Edge, Firefox) para extraer contraseñas y cookies
  • ejecución de programas desde rutas inusuales como %AppData% o %Temp%
  • creación de archivos comprimidos (ZIP/7z) justo antes de conexiones salientes

Indicadores específicos de keylogger

  • retardo visible entre pulsar una tecla y que aparezca el texto, especialmente en formularios de login
  • drivers o hooks de teclado no firmados
  • DLLs inyectadas en procesos que gestionan entrada de usuario
  • pequeñas conexiones salientes poco voluminosas tras introducir credenciales o usar la VPN

Cómo prevenir el robo de credenciales en las empresas

La prevención frente a keyloggers e infostealers requiere una estrategia de seguridad en varias capas. Las medidas más efectivas incluyen:

Protección avanzada de endpoints

  • EDR o antimalware con análisis de comportamiento
  • detección de actividad típica de keylogging
  • monitorización de procesos sospechosos

Hardening y gestión de parches

  • sistemas operativos y aplicaciones actualizados
  • bloqueo de macros y código activo
  • restricción de ejecución de software no autorizado

Gestión segura de identidades

  • principio de mínimo privilegio
  • usuarios sin permisos de administrador local
  • autenticación multifactor (MFA) en servicios críticos
  • rotación periódica de credenciales

Cuando se implementa MFA correctamente, las credenciales robadas pierden gran parte de su valor para el atacante.

Entenderlos para reducir riesgos

Los atacantes modernos combinan técnicas: un infostealer roba credenciales almacenadas, mientras un keylogger captura lo que se teclea en tiempo real. Esta combinación amplía la superficie de exposición y puede comprometer cuentas y sistemas incluso cuando se aplican buenas prácticas.

Por eso, hoy no basta con proteger los endpoints: es crucial reforzar la identidad digital, el control de accesos y la gestión de credenciales. Entender cómo funcionan estas amenazas es el primer paso para minimizar riesgos y limitar el impacto de un robo de información.

La verdadera pregunta ya no es si este malware puede entrar, sino cuánto tiempo permanecerá sin ser detectado.

También te puede interesar

Apúntate a la newsleter

Cada quince días te enviamos contenidos y enlaces útiles para profesionales de ciberseguridad.

Resumen de privacidad
cylum-dark

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.

Cookies estrictamente necesarias

Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.

Cookies de terceros

Esta web utiliza Google Analytics para recopilar información anónima tal como el número de visitantes del sitio, o las páginas más populares.

Dejar esta cookie activa nos permite mejorar nuestra web.

Powered by  GDPR Cookie Compliance