malware como servicio (MaaS) implicada en cientos de miles de violaciones digitales en todo el mundo.
Según Microsoft, Lumma Stealer infectó más de 394.000 máquinas Windows entre marzo y mediados de mayo de 2025. El malware ha sido una herramienta favorita entre los ciberdelincuentes para robar credenciales de inicio de sesión e información financiera confidencial, incluidas las billeteras de criptomonedas. Se ha utilizado para campañas de extorsión contra escuelas, hospitales y proveedores de infraestructura. Según el sitio web del Departamento de Justicia, «el FBI ha identificado al menos 1,7 millones de casos en los que se utilizó LummaC2 para robar este tipo de información».
Con una orden judicial del Tribunal de Distrito de EE. UU. para los Distritos del Norte de Georgia, Microsoft eliminó aproximadamente 2.300 dominios maliciosos asociados con la infraestructura de Lumma. El Departamento de Justicia desmanteló simultáneamente cinco dominios críticos de LummaC2, que actuaban como centros de comando y control para los ciberdelincuentes que desplegaban el malware. Estos dominios ahora redirigen a un aviso de incautación del gobierno.
La ayuda internacional provino del Centro Europeo de Ciberdelincuencia (EC3) de Europol y del JC3 de Japón, que coordinaron los esfuerzos para bloquear los servidores regionales. Empresas de ciberseguridad como Bitsight, Cloudflare, ESET, Lumen, CleanDNS y GMO Registry ayudaron a identificar y desmantelar la infraestructura web.
Dentro de la operación Lumma
Lumma, también conocido como LummaC2, ha estado operando desde 2022, posiblemente antes, y pone a la venta su malware de robo de información a través de foros encriptados y canales de phishing, sitios web de marcas falsificados y anuncios maliciosos en línea conocidos como «publicidad maliciosa».
Los investigadores de ciberseguridad dicen que Lumma es particularmente peligroso porque permite a los delincuentes escalar rápidamente los ataques. Los compradores pueden personalizar las cargas útiles, rastrear los datos robados e incluso obtener atención al cliente a través de un de dedicado. Microsoft Threat Intelligence vinculó previamente a Lumma con la notoria pandilla Octo Tempest, también conocida como «Scatter Spider».
En una campaña de phishing a principios de este año, los piratas informáticos pudieron falsificar Booking.com y utilizaron Lumma para recopilar credenciales financieras de víctimas desprevenidas.
¿Quién está detrás?
Las autoridades creen que el desarrollador de Lumma se hace llamar «Shamel» y opera desde Rusia. En una entrevista de 2023, Shamel afirmó tener 400 clientes activos e incluso se jactó de haber marcado Lumma con el logotipo de una paloma y el eslogan: «Ganar dinero con nosotros es igual de fácil».
Disrupción a largo plazo, no un nocaut
Si bien la eliminación es significativa, los expertos advierten que Lumma y herramientas similares rara vez se erradican para siempre. Aún así, Microsoft y el Departamento de Justicia dicen que estas acciones obstaculizan e interrumpen gravemente las operaciones criminales al cortar su infraestructura y flujos de ingresos. Microsoft utilizará los dominios incautados como sumideros para recopilar inteligencia y proteger aún más a las víctimas.
Esta situación pone de manifiesto la necesidad de cooperación internacional en la aplicación de la ley contra el delito cibernético. Los funcionarios del Departamento de Justicia enfatizaron el valor de las asociaciones público-privadas, mientras que el FBI señaló que las interrupciones autorizadas por los tribunales siguen siendo una herramienta crítica en el libro de jugadas de ciberseguridad del gobierno.
A medida que la DCU de Microsoft continúa su trabajo, esta ofensiva de Lumma establece un fuerte precedente de lo que se puede lograr cuando los especialistas de la industria y el gobierno colaboran para eliminar las amenazas.
A medida que más de estas organizaciones se descubren e interrumpen, recuerde protegerse cambiando sus contraseñas con frecuencia y evite hacer clic en enlaces de remitentes desconocidos.
