En una operación conjunta sin precedentes, Europol y Microsoft han logrado interrumpir las operaciones de Lumma Stealer, considerado el infostealer más importante y extendido a nivel global. Esta acción coordinada ha supuesto un duro golpe al ecosistema criminal que utilizaba esta herramienta para robar información sensible a gran escala.
La intervención, liderada por el Centro Europeo de Ciberdelincuencia (EC3) de Europol y la Unidad de Delitos Digitales (DCU) de Microsoft, ha permitido desmantelar la infraestructura técnica de Lumma, que facilitaba la recolección y venta de credenciales, datos financieros e información personal obtenida de dispositivos comprometidos. Entre el 16 de marzo y el 16 de mayo de 2025, Microsoft identificó más de 394.000 ordenadores con Windows infectados en todo el mundo.
Durante la operación, más de 1.300 dominios vinculados a Lumma fueron incautados o transferidos a Microsoft, de los cuales 300 fueron intervenidos con el apoyo directo de Europol. Estos dominios ahora redirigen a sinkholes administrados por Microsoft, interrumpiendo así la comunicación entre el malware y los sistemas afectados.
Lumma: una pieza clave en el robo de datos a escala mundial
Lumma funcionaba como una herramienta avanzada de robo de información que ofrecía a los ciberdelincuentes una forma accesible y eficaz de extraer datos de los dispositivos infectados. La plataforma no solo distribuía el malware, sino que también facilitaba su comercialización a través de un mercado dedicado, lo que convirtió a Lumma en un recurso habitual para la suplantación de identidad y el fraude financiero.
Su facilidad de uso y su amplia disponibilidad hicieron de Lumma una herramienta preferida por los actores maliciosos que operaban en el mercado negro de datos.
Una respuesta global ante una amenaza global
El papel de Europol en esta operación fue clave. Además de centralizar el intercambio de inteligencia entre los Estados miembros, la agencia europea coordinó los esfuerzos para evitar duplicidades en las investigaciones y asegurar una respuesta rápida y eficaz. La información crítica proporcionada por Microsoft fue analizada y ampliada por el equipo de EC3, lo que permitió ofrecer una visión integral del alcance y funcionamiento de la red criminal.
En paralelo, el Departamento de Justicia de Estados Unidos (DOJ) llevó a cabo la incautación del panel de control de Lumma, esencial para el funcionamiento del mercado ilegal. También en Asia, la colaboración entre Microsoft y el Centro de Control de Ciberdelincuencia de Japón (JC3) contribuyó al desmantelamiento de la infraestructura delictiva alojada en ese país.
Alianzas público-privadas como modelo de ciberseguridad
Esta operación representa una manifestación concreta del modelo de cooperación entre entidades públicas y privadas que Europol impulsa para combatir el crimen en la era digital. Frente a amenazas cada vez más complejas y globalizadas, la colaboración entre sectores permite aunar capacidades técnicas, operativas y estratégicas.
“La operación es un claro ejemplo de cómo las alianzas público-privadas están transformando la lucha contra el cibercrimen. Al combinar la capacidad de coordinación de Europol con la visión técnica de Microsoft, hemos logrado desarticular una vasta infraestructura criminal. Los ciberdelincuentes se benefician de la fragmentación, pero juntos somos más fuertes”, destacó Edvardas Šileris, director del EC3 de Europol.
La cooperación entre Europol y Microsoft se ha realizado bajo el amparo del artículo 26 del Reglamento de Europol, que permite a la agencia recibir información y colaborar con entidades privadas para prevenir y combatir delitos graves. Microsoft, por su parte, forma parte del grupo asesor de seguridad en internet de Europol.
Artículo redactado con asistencia de IA (Ref. APA: OpenAI. (2025). ChatGPT (versión 21 mayo). OpenAI)
