Introducción
Los hackers están insertando malware infostealer en mods pirateados de Roblox y otros juegos, según una investigación de la empresa de ciberseguridad Kaspersky. Una publicación en el blog de Kaspersky revela que se ha identificado una nueva variedad de infostealer llamada Stealka, que hasta ahora ha sido encontrada en plataformas de distribución como GitHub, SourceForge, Softpedia y sites.google.com.
Características del Malware Stealka
Disfrazado como mods no oficiales, trampas y cracks para juegos y otras aplicaciones basadas en Windows, Stealka exfiltra información sensible de inicio de sesión y del navegador, que sus operadores pueden utilizar para robar criptomonedas. El malware se dirige principalmente a los datos almacenados en navegadores como Chrome, Firefox, Opera, Yandex Browser, Edge y Brave, así como a la configuración y bases de datos de más de 100 extensiones de navegador.
Estas extensiones incluyen billeteras de criptomonedas como Binance, Coinbase, MetaMask, Crypto.com y Trust Wallet, así como administradores de contraseñas (1Password, NordPass, LastPass) y aplicaciones de autenticación de dos factores (Google Authenticator, Authy, Bitwarden).
De hecho, el alcance de Stealka no se limita a las extensiones de navegador, ya que también puede extraer claves privadas encriptadas, datos de frases semilla y rutas de archivos de billeteras de aplicaciones independientes. Esto incluye aplicaciones de Binance, Exodus, MyCrypto y MyMonero, así como billeteras para Bitcoin, BitcoinABC, Dogecoin, Ethereum, Monero, Novacoin y Solar.
Impacto y Consecuencias
Además de las criptomonedas, el malware Stealka tiene la capacidad de robar datos y tokens de autenticación para aplicaciones de mensajería (por ejemplo, Discord y Telegram), administradores de contraseñas (por ejemplo, 1Password, Bitwarden, LastPass), clientes de correo electrónico (por ejemplo, Gmail Notifier Pro, Mailbird, Outlook), aplicaciones de toma de notas (NoteFly, Notezilla, Microsoft StickyNotes) y clientes de VPN (por ejemplo, OpenVPN, ProtonVPN, WindscribeVPN).
Hablando con Decrypt, el experto en ciberseguridad de Kaspersky, Artem Ushkov, explicó que el nuevo malware «fue detectado por las soluciones de protección de endpoints de Kaspersky en máquinas con Windows en noviembre de 2025.»
Como ocurre con malware similar, Ushkov informa que la mayoría de los usuarios objetivo de Stealka están basados en Rusia. «Sin embargo, también se han detectado ataques del malware en otros países, incluyendo Turquía, Brasil, Alemania e India«, agregó.
Recomendaciones de Seguridad
Ante la amenaza de Stealka, Kaspersky aconseja en su blog que, además de utilizar software antivirus de buena reputación, los usuarios deben evitar mods no oficiales y pirateados. El blog también recomienda no almacenar información importante en navegadores y urge a los usuarios a emplear la autenticación de dos factores siempre que sea posible, además de hacer uso de códigos de respaldo (sin almacenarlos en navegadores o en documentos de texto).
Si bien el potencial de Stealka para robar información y, por extensión, criptomonedas parece intimidante, actualmente no hay indicios de que haya resultado en pérdidas significativas.
«No estamos al tanto de la cantidad de criptomonedas que se han robado usando esto», dijo Ushkov. «Nuestras soluciones protegen contra esta amenaza: todo el malware Stealka detectado fue bloqueado por nuestras soluciones.»
