Un informe detectó que muchos ataques para robar contraseñas, cookies y sesiones abiertas empiezan cuando los usuarios abren instaladores, cracks o mods recién descargados desde Internet.
Una investigación de especialistas en ciberseguridad reveló que el 35% de las infecciones en computadoras comienza cuando los usuarios ejecutan archivos directamente desde carpetas temporales de Windows.
Esas carpetas suelen almacenar los programas descargados desde Internet antes de que el usuario los guarde en otra ubicación del equipo. Por eso, el dato apunta a una conducta concreta: abrir de inmediato un instalador, activador, crack o mod recién descargado, sin verificar su origen ni pasar por controles de seguridad.
En muchos casos, esa acción alcanza para que los atacantes instalen virus del tipo infostealer, aquellos que son capaces de robar contraseñas, cookies del navegador, sesiones abiertas y otros datos sensibles.
El informe fue elaborado por Kaspersky Digital Footprint Intelligence a partir del análisis de 5 millones de registros encontrados en la dark web durante 2025. Esos archivos contenían información extraída de dispositivos comprometidos y también permitieron identificar desde qué ubicación se habían ejecutado los programas maliciosos.
La ruta más frecuente fue C:\Users\AppData\Local\Temp\, una carpeta temporal de Windows donde suelen quedar archivos descargados desde Internet.
Qué son los infostealers y por qué representan un riesgo
Los infostealers son programas maliciosos diseñados para extraer información sensible de una computadora infectada. Su objetivo es buscar datos guardados en el navegador, credenciales de acceso, cookies, información del sistema y sesiones abiertas en distintas plataformas.
Con esa información, los ciberdelincuentes pueden intentar ingresar a cuentas personales, correos electrónicos, redes sociales, billeteras digitales o servicios corporativos. Los datos robados también pueden terminar a la venta en foros clandestinos o ser usados para preparar nuevos ataques.
“Los infostealers surgieron con fuerza en 2025, con un aumento de las infecciones del 59% año tras año. Nuestro análisis muestra que el comportamiento del usuario sigue siendo un factor clave detrás de muchos de estos compromisos. El volumen de infostealersejecutados desde carpetas de descarga temporales sugiere que los usuarios a menudo los inician inmediatamente después de descargarlos. En muchos casos, los atacantes no necesitan técnicas sofisticadas, simplemente necesitan convencer al usuario de que ejecute un archivo”, explicó Joao Brandao, analista de Digital Footprint en Kaspersky, en un comunicado compartido con TN Tecno.
Instaladores falsos, cracks y mods: los señuelos más usados
El análisis vinculó muchas infecciones con dos hábitos de riesgo: bajar software desde sitios no confiables e intentar activar programas de manera ilegal.
Los archivos maliciosos suelen presentarse como instaladores, activadores, cracks, parches, utilidades o modificaciones de videojuegos. A simple vista pueden parecer herramientas reales. Una vez abiertos, quedan en condiciones de instalar el virus y comenzar el robo de información.
En varios casos, las víctimas siguieron instrucciones de los atacantes y apagaron sus herramientas de seguridad antes de ejecutar el archivo. Esa acción deja a la computadora expuesta justo en el momento en que debería bloquear la amenaza.
La segunda ubicación más común detectada por los investigadores fue C:\Windows\Microsoft.NET\Framework, con cerca del 32% de los casos. Esa ruta aparece asociada a ataques más avanzados, en los que el malware aprovecha procesos legítimos del sistema para ocultar su actividad y dificultar la detección.
Kaspersky identificó patrones en los nombres usados por distintas familias de estos virus. Lumma suele usar nombres genéricos de instaladores y técnicas vinculadas a .NET. Vidar aparece con variantes de Bootstrapper.exe . Stealc combina nombres reconocibles, como Licence_Version_Loader.exe , con archivos generados al azar. RisePro repite denominaciones como MPGPH.exe y MSIUpdater.exe .
Los mods de videojuegos siguen entre los anzuelos frecuentes. La misma estrategia puede aplicarse a supuestos parches, herramientas de productividad, instaladores de programas, cheats o utilidades descargadas desde páginas no oficiales.
Cómo evitar este tipo de infecciones
La principal recomendación es descargar programas únicamente desde sitios oficiales, tiendas reconocidas o fuentes confiables. También conviene evitar cracks, activadores, instaladores no oficiales, cheats y mods publicados en páginas desconocidas.
Una señal de alerta clara aparece cuando una web, un video o un supuesto instalador pide apagar el antivirus para continuar. Desactivar la protección del equipo puede facilitar la infección y dejar expuestas claves, cuentas y datos personales.
Kaspersky recomienda mantener actualizados el sistema operativo y las aplicaciones, usar contraseñas fuertes y únicas, activar la autenticación multifactor y guardar las claves en un administrador de contraseñas confiable.
Las frases de recuperación, claves privadas y accesos sensibles no deberían almacenarse en notas, capturas de pantalla o galerías de fotos. Si un atacante logra acceder al equipo, ese tipo de archivos puede convertirse en una vía directa hacia cuentas personales, billeteras digitales o servicios de trabajo.
Para las empresas, el informe aconseja reforzar el monitoreo de riesgos digitales, detectar posibles credenciales filtradas en la web superficial, profunda y oscura, y contar con información actualizada sobre campañas activas de robo de datos.
