LummaStealer lleva desde 2022 robando contraseñas, datos bancarios y monederos de criptomonedas. Pero si creías que el problema estaba resuelto, noticias frescas: volvió. Más rápido, más silencioso y con nuevos trucos que dejan en evidencia a buena parte del software de seguridad que la gente tiene instalado.
Lo confirmó Bitdefender en un informe publicado el 9 de febrero de 2026: LummaStealer resurge con una actividad disparada tras el desmantelamiento de su infraestructura en mayo de 2025. La clave de su regreso está en una técnica que explota un punto ciego de casi cualquier antivirus gratuito, incluido Windows Defender.
Qué es LummaStealer y qué te roba exactamente
LummaStealer es un infostealer, es decir, un programa diseñado específicamente para extraer información sensible del ordenador infectado. No destroza archivos ni pide rescate: trabaja en silencio. Su objetivo es tu contraseña guardada en Chrome, tus cookies de sesión, los datos de tu tarjeta bancaria y, si tienes, el acceso a carteras de criptomonedas.
El video anterior detalla con precisión cómo LummaStealer extrae credenciales en tiempo real antes de que el sistema operativo detecte actividad anómala.
Funciona bajo el modelo malware-as-a-service: los creadores lo alquilan en foros clandestinos a cualquier ciberdelincuente que pague la cuota. Eso explica por qué sus campañas son tan variadas y tan difíciles de rastrear. Quien lo lanza hoy puede no tener nada que ver con quien lo lanzó hace tres semanas.
Por qué explota ahora con el truco del «No soy un robot»
Frente a este escenario, el regreso de febrero de 2026 tiene nombre propio: ClickFix. Es la técnica que usa LummaStealer ahora mismo para colarse en tu equipo.
El mecanismo es sencillo y efectivo:
- Accedes a una web comprometida o recibes un enlace
- Aparece un CAPTCHA falso con el botón «No soy un robot»
- Al hacer clic, el sistema copia un comando malicioso en tu portapapeles
- Te pide que lo pegues en la consola de Windows (con instrucciones que parecen legítimas)
- En segundos, LummaStealer se instala ejecutando PowerShell o
mshta.exe
Bitdefender también detectó en su informe del 9 de febrero el uso de CastleLoader, un cargador que opera en memoria y usa ofuscación multicapa para que el antivirus no encuentre nada que escanear. Los precios de suscripción al servicio en foros oscilan entre 250 y 1.000 dólares al mes según el nivel de acceso.
Cómo afecta a tu seguridad real (y por qué el antivirus gratuito falla)
Las consecuencias son muy concretas una vez infectado. El problema se agrava cuando entiendes que LummaStealer no deja una firma reconocible para que el antivirus la intercepte. Usa técnicas como Add-MpPreference -ExclusionProcess para excluirse activamente del escáner de Windows Defender.
Este vídeo reciente ilustra exactamente cómo CastleLoader distribuye LummaStealer evadiendo las capas de protección convencionales.
El impacto va más allá de perder una contraseña. Con tus cookies de sesión, el atacante entra a tu cuenta bancaria sin necesitar tu contraseña ni el segundo factor. Los expertos de Bitdefender advierten que una infección puede derivar en fraude financiero, robo de identidad y extorsión. Los usuarios de Reddit consultados por la comunidad de seguridad coinciden: si te infectas, la única solución fiable es reinstalar Windows desde cero.
Qué implica esto más allá del malware de turno
Más allá del propio LummaStealer, esto revela un problema estructural de 2026: los antivirus gratuitos fueron diseñados para amenazas de otra era. Detectan firmas conocidas, pero LummaStealer cambia su cargador constantemente —Rugmi, DonutLoader, ahora CastleLoader— para que nunca haya una firma estable que bloquear.
El mecanismo detrás es técnicamente brillante y frustrantemente efectivo. CastleLoader ejecuta el malware directamente en memoria, sin escribir archivos en disco. Sin archivo, sin firma. Sin firma, sin detección. Los antivirus basados en análisis de disco —que son la mayoría de los gratuitos— simplemente no ven nada.
Esta tendencia se aceleró en 2025 y se consolida en 2026: el malware moderno no busca romper tus defensas, las rodea. El cambio de comportamiento del atacante es claro: menos fuerza bruta, más ingeniería social inteligente.
Disipando dudas que todos tenemos
Las preguntas se repiten cuando la gente escucha hablar de esto por primera vez.
P: ¿Windows Defender me protege del LummaStealer?
R: No de forma fiable; el malware usa comandos específicos para excluirse del escáner de Defender.
P: ¿Puedo eliminarlo con un antivirus si ya estoy infectado?
R: Los expertos desaconsejan confiar solo en el antivirus; la opción más segura es reinstalar Windows completamente.
P: ¿Cómo sé si el CAPTCHA es falso?
R: Un CAPTCHA legítimo nunca te pide abrir la consola de Windows ni pegar comandos en ningún sitio.
P: ¿Los usuarios de Mac están a salvo?
R: LummaStealer apunta principalmente a Windows, pero existen variantes de infostealers similares para macOS.
Qué pasará y cómo puedes protegerte ahora mismo
Mirando adelante, la tendencia es preocupante. LummaStealer ya sobrevivió a una operación internacional de desmantelamiento en mayo de 2025 y volvió más sofisticado en apenas nueve meses. Los próximos meses verán más variantes con CastleLoader y técnicas ClickFix refinadas, porque el modelo de negocio funciona y hay dinero detrás.
Lo que puedes hacer hoy es concreto. Activa la Protección contra manipulaciones en Windows Security (Tamper Protection), instala Malwarebytes como segunda capa de análisis y, sobre todo, desconfía de cualquier página que te pida demostrar que eres humano y luego te dé instrucciones para tu teclado.
El aviso real no es técnico: es de actitud. Un CAPTCHA que te pide abrir el «Ejecutar» de Windows no es un CAPTCHA. Es la puerta de entrada de alguien que ya lleva semanas esperando que hagas clic.
