La Policía Cibernética de Ucrania informó que identificó a un joven de 18 años en Odesa como presunto administrador de una operación de malware del tipo infostealer relacionada con el robo de datos de 28.000 cuentas de clientes de una tienda en línea en California. Según detallaron las autoridades ucranianas, la investigación se desarrolló en coordinación con organismos de Estados Unidos y apunta a una estructura que habría operado entre 2024 y 2025.
De acuerdo con el comunicado oficial citado por la Policía ucraniana, el esquema consistía en infectar dispositivos para extraer credenciales, sesiones de navegador y otros datos sensibles que luego eran procesados y comercializados en recursos especializados de internet y bots de Telegram. Las autoridades indicaron además que 5.800 de las cuentas afectadas habrían sido utilizadas para compras no autorizadas por unos 721.000 dólares, mientras que las pérdidas directas reportadas ascienden a unos 250.000 dólares.
Cómo operan los infostealers y por qué representan un riesgo mayor
Los infostealers son programas maliciosos diseñados para recolectar información sensible desde equipos comprometidos. Entre los datos que suelen capturar se encuentran contraseñas, cookies del navegador, tokens de sesión, información de pago y billeteras de criptomonedas. Ese tipo de malware se ha convertido en una pieza central del cibercrimen porque permite tomar control de cuentas sin necesidad de vulnerar directamente los sistemas de una empresa.
Según explicó la Policía Cibernética de Ucrania, los atacantes no solo obtenían credenciales tradicionales, sino también datos de sesión. Ese punto es especialmente delicado porque, en algunos casos, esos tokens pueden permitir el acceso a una cuenta sin volver a introducir usuario y contraseña, e incluso reducir la efectividad de ciertos controles de autenticación multifactor.
La investigación apunta a la infraestructura de venta y uso de datos robados
Las autoridades ucranianas señalaron que el sospechoso tenía un rol central en la administración de la infraestructura en línea utilizada para procesar, vender y explotar la información obtenida de las víctimas. En el procedimiento se realizaron dos allanamientos en inmuebles vinculados al caso, donde se incautaron teléfonos móviles, equipos informáticos, tarjetas bancarias, soportes de almacenamiento y otros elementos digitales.
Entre las evidencias mencionadas por la Policía figuran accesos a recursos empleados para comercializar datos sustraídos, sistemas de gestión de cuentas comprometidas, registros de actividad de servidores y cuentas en plataformas de intercambio de criptomonedas. La información oficial no menciona, por ahora, una detención formal, lo que sugiere que la causa continúa en etapa de consolidación probatoria.
Un caso que refleja el peso global del robo de sesiones y credenciales
Más allá del expediente concreto, el caso vuelve a poner el foco sobre una tendencia creciente en ciberseguridad: el valor criminal de las sesiones activas y de las credenciales listas para ser revendidas. En la práctica, estos datos alimentan fraudes de comercio electrónico, toma de cuentas, suplantación digital y circuitos de reventa en mercados clandestinos.
La coordinación entre la Policía Cibernética de Ucrania y autoridades de Estados Unidos también muestra que este tipo de operaciones rara vez queda limitado a un solo país. Aunque el presunto operador fue identificado en Odesa, las víctimas estaban asociadas a una plataforma comercial en California, lo que confirma el carácter transnacional de las redes que distribuyen malware y monetizan información robada.
El siguiente paso del caso dependerá de las actuaciones judiciales y del análisis forense de los equipos incautados. Mientras tanto, la investigación deja una señal clara para empresas y usuarios: proteger sesiones, revisar accesos sospechosos y reforzar la seguridad de navegadores y dispositivos sigue siendo clave frente a campañas de robo de credenciales cada vez más especializadas.
