El truco, hacerse pasar por un debugger (depurador de código)
Una nueva amenaza está elevando el nivel en la ciberseguridad. Se trata de VoidStealer, un sofisticado malware capaz de robar contraseñas, cookies y tokens directamente desde Google Chrome utilizando una técnica sigilosa que evita los métodos tradicionales de detección.
A diferencia de otros ataques, este infostealer (ladrón de información) no inyecta código ni necesita escalar privilegios. En su lugar, se hace pasar por un depurador legítimo para extraer la clave maestra de cifrado directamente desde la memoria del navegador.
Qué es VoidStealer y por qué es peligroso
Detectado por investigadores de Gen Threat Labs (empresa matriz de Norton, Avast y Avira), VoidStealer opera bajo el modelo Malware-as-a-Service (MaaS), lo que facilita su distribución entre ciberdelincuentes.
Su objetivo es acceder a información sensible almacenada en navegadores como Chrome o Edge (o cualquier otro navegador basado en Chromium) sin levantar sospechas.
El objetivo de VoidStealer, romper la protección ABE de Chrome
En 2024, Google introdujo Application-Bound Encryption (ABE) en Chrome 127 para proteger datos sensibles en Windows.
Este sistema mantiene cifrada la clave maestra (v20_master_key) en el disco y solo permite descifrarla a través de un servicio que contara con privilegios elevados.
Hasta ahora, esto obligaba a los atacantes a usar técnicas complejas como:
- Inyección de código
- Escalada de privilegios
Pero VoidStealer logra evitar completamente estas barreras.
El truco consiste en disfrazarse de «debugger»
El avance clave llegó con la versión 2.0 del malware en marzo de 2026, basada en un proyecto open source llamado ElevationKatz.
La técnica explota un momento crítico, cuando Chrome descifra temporalmente la clave en memoria al iniciar.
Cómo funciona el ataque
- Inicio oculto: el malware lanza una instancia oculta de Chrome o Edge
- Modo depuración: se adjunta al proceso como si fuera un debugger legítimo
- Escaneo de memoria: busca el punto exacto donde se descifra la clave
- Breakpoints por hardware: configura interrupciones a nivel CPU (invisibles para antivirus)
- Extracción: captura la clave en texto, directamente desde memoria
Con esta clave, el atacante puede descifrar instantáneamente todos los datos protegidos del navegador.
Por qué VoidStealer es tan difícil de detectar
El mayor problema de VoidStealer es que se trata de un ataque muy sigiloso. Evita señales clásicas de malware, lo que complica su detección.
Sin embargo, hay indicadores clave:
- Aplicaciones que se conectan como depuradores a navegadores
- Lectura no autorizada de memoria de Chrome o Edge
- Navegadores ejecutándose en segundo plano o fuera de pantalla
Según Gen Threat Labs, estas anomalías pueden ser la mejor pista para identificar la amenaza.
Un nuevo estándar en malware de robo de información
VoidStealer marca un antes y un después en los ataques dirigidos a navegadores. Al demostrar que ABE puede ser vulnerado sin técnicas invasivas, abre la puerta a una nueva generación de malware más peligroso.
Dado que su base técnica proviene de herramientas públicas, es muy probable que otros grupos adopten rápidamente este enfoque.
Qué significa para los usuarios
Este tipo de ataques confirma una tendencia clara: los ciberdelincuentes están apostando por técnicas cada vez más invisibles.
Para mitigar riesgos:
- Por el momento evita usar Chrome, hasta que salga una actualización
- Mantén siempre tu navegador y sistema actualizados
- Evita descargar software de fuentes desconocidas
- Utiliza soluciones de seguridad avanzadas
- Presta atención a comportamientos anómalos del sistema
La batalla entre desarrolladores y atacantes continúa, pero amenazas como VoidStealer demuestran que el juego se está volviendo cada vez más sofisticado.