Microsoft y el DOJ desmantelan red de malware Lumma Stealer en una operación global.

Microsoft, en colaboración con el Departamento de Justicia de los Estados Unidos, ha dado un paso importante para desmantelar una de las herramientas de cibercrimen más activas en la actualidad. La Unidad de Delitos Digitales de Microsoft trabajó junto al DOJ, Europol y diversas empresas de ciberseguridad para interrumpir la red del malware Lumma Stealer, un servicio de malware que ha estado implicado en cientos de miles de violaciones digitales en todo el mundo. Según Microsoft, entre marzo y mediados de mayo de 2025, Lumma Stealer infectó más de 394,000 equipos con Windows. Esta herramienta ha sido especialmente utilizada por cibercriminales para robar credenciales de acceso y datos financieros sensibles, que incluyen billeteras de criptomonedas. También se ha empleado en campañas de extorsión dirigidas a escuelas, hospitales y proveedores de infraestructura. Según un comunicado del DOJ, "el FBI ha identificado al menos 1.7 millones de instancias en las que LummaC2 fue utilizado para robar este tipo de información".

Con una orden judicial del Tribunal de Distrito de EE. UU. para los Distritos Norte de Georgia, Microsoft logró desactivar aproximadamente 2,300 dominios maliciosos relacionados con la infraestructura de Lumma. Simultáneamente, el DOJ clausuró cinco dominios críticos de LummaC2, que funcionaban como centros de comando y control para los cibercriminales que desplegaban el malware. Ahora, estos dominios redirigen a un aviso de confiscación gubernamental. La asistencia internacional provenía del Centro Europeo de Cibercriminalidad de Europol (EC3) y del JC3 de Japón, que coordinaron esfuerzos para bloquear servidores regionales. Empresas como Bitsight, Cloudflare, ESET, Lumen, CleanDNS y GMO Registry colaboraron en la identificación y desmantelamiento de la infraestructura web.

La operación Lumma, también conocida como LummaC2, ha estado en funcionamiento desde 2022, y posiblemente antes, ofreciendo su malware para robar información a la venta a través de foros encriptados y canales de Telegram. Este malware ha sido diseñado para ser fácil de usar y a menudo se ofrece junto a herramientas de ofuscación que ayudan a evadir el software antivirus. Las técnicas de distribución incluyen correos electrónicos de phishing específicos, sitios web de marcas suplantadas y anuncios maliciosos conocidos como "malvertising". Los investigadores en ciberseguridad aseguran que Lumma es especialmente peligroso debido a que permite a los criminales escalar ataques rápidamente. Los compradores pueden personalizar los paquetes, rastrear datos robados e incluso recibir soporte al cliente a través de un panel de usuario dedicado. Microsoft Threat Intelligence ha vinculado anteriormente a Lumma con la infame banda Octo Tempest, también llamada "Scattered Spider". En una campaña de phishing realizada a principios de este año, los hackers lograron suplantar a Booking.com y usaron Lumma para obtener credenciales financieras de víctimas desprevenidas.

Las autoridades creen que el desarrollador de Lumma se identifica con el alias "Shamel" y opera desde Rusia. En una entrevista de 2023, Shamel afirmó tener 400 clientes activos y se jactó de haber marcado a Lumma con un logo de paloma y el lema: "Ganar dinero con nosotros es muy fácil".

A pesar de la importancia de esta desactivación, los expertos advierten que Lumma y herramientas similares rara vez son erradicadas por completo. Sin embargo, tanto Microsoft como el DOJ aseguran que estas acciones obstaculizan gravemente las operaciones criminales al cortar su infraestructura y fuentes de ingresos. Microsoft planea utilizar los dominios confiscados como "sinkholes" para recopilar información y proteger mejor a las víctimas. Esta situación subraya la necesidad de cooperación internacional en la aplicación de la ley contra el cibercrimen. Funcionarios del DOJ enfatizaron el valor de las asociaciones público-privadas, mientras que el FBI destacó que las desactivaciones autorizadas por la corte siguen siendo una herramienta crítica en el enfoque de ciberseguridad del gobierno. A medida que la Unidad de Delitos Digitales de Microsoft continúa su trabajo, esta operación contra Lumma sienta un fuerte precedente sobre lo que se puede lograr cuando los especialistas de la industria y del gobierno colaboran para eliminar amenazas.