SnakeStealer se posiciona como la familia de malware más detectada en el segmento de robo de contraseñas durante 2025, de acuerdo con el ESET Threat Report H12025. Este tipo de software malicioso, conocido como infostealer, está diseñado para sustraer información confidencial de los dispositivos de las víctimas mediante mecanismos silenciosos y automatizados.
La aparición de SnakeStealer se remonta a 2019, cuando en sus primeras versiones utilizaba la plataforma Discord para alojar el malware, que era descargado tras la interacción del usuario con archivos adjuntos en correos de phishing. El modelo de negocio de SnakeStealer se basa en el esquema malware-as-a-service (MaaS), permitiendo que atacantes alquilen o vendan el acceso a la herramienta, lo que facilita su proliferación aun entre personas con limitados conocimientos técnicos.
Según Martina Lopez, investigadora de seguridad informática en ESET Latinoamérica, la popularidad de SnakeStealer se incrementó notablemente tras la caída de Agent Tesla. “SnakeStealer volvió a ganar popularidad en el ambiente cibercriminal, y no por casualidad: tras la caída de Agent Tesla, otro infostealer popular, sus propios operadores recomendaron a SnakeStealer como reemplazo en los canales de Telegram donde lo ofrecían como MaaS. Esto podría explicar por qué SnakeStealer pasó a ocupar el primer puesto en las detecciones de infostealers de manera tan rápida, siendo responsable de 1/5 de las mismas a nivel mundial, según la telemetría de ESET.”
Entre 2020 y 2021, SnakeStealer registró un aumento en campañas asociadas, sin preferencia geográfica y sin reportes de campañas completas en Latinoamérica. Los principales métodos de distribución continúan siendo los correos de phishing con archivos adjuntos, aunque se han detectado casos de propagación mediante cracks y aplicaciones falsas.
Las capacidades de SnakeStealer incluyen evasión de sistemas de seguridad, persistencia por modificación de registros de arranque de Windows, robo de credenciales almacenadas en navegadores, bases de datos, clientes de correo o chat y redes WiFi, así como captura del portapapeles, registro de teclas (keylogging) y toma de capturas de pantalla. La exfiltración de datos se realiza por FTP, canales de Telegram o correo electrónico.
La compañía recomienda mantener sistemas y aplicaciones actualizadas, utilizar software de seguridad, desconfiar de adjuntos y enlaces no solicitados, activar la autenticación multifactor y, ante sospecha de infección, cambiar contraseñas desde un dispositivo seguro y revocar sesiones abiertas.
“El avance de SnakeStealer refleja la dinámica del mercado de malware y la eficacia del modelo MaaS en la diseminación de amenazas”, de acuerdo con el laboratorio de ESET.
