Marc Sureda
Un reciente estudio de NordVPN revela que el robo de cookies ha crecido un 74% en solo un año, pasando de 54.000 a casi 94.000 millones de archivos sustraídos por distintos tipos de malware. España ocupa la posición 15 de 253 países analizados, con más de 1.700 millones de cookies filtradas, de las cuales 139 millones siguen activas. Una situación que plantea una amenaza potencial seria para los usuarios y las empresas del país.
Estas cifras se derivan de una investigación realizada por expertos en ciberseguridad, que analizaron datos de canales de Telegram donde los atacantes comparten información robada. Los resultados subrayan el auge de este tipo de amenazas digitales, facilitado por la rápida evolución del malware y la falta de medidas de protección básicas entre los usuarios.
Los datos fueron recopilados entre el 23 y el 30 de abril de 2025 por investigadores independientes especializados en ciberseguridad. La información se obtuvo de canales de Telegram frecuentados por ciberdelincuentes que comercian con datos robados, sin que NordVPN accediera directamente a las cookies o a su contenido.
El análisis permitió identificar el estado activo o inactivo de las cookies, los tipos de malware implicados, el país de origen y los datos asociados a cada cookie, incluyendo la empresa emisora, el sistema operativo del usuario y las palabras clave utilizadas para clasificar cada perfil.
Cookies activas: puertas abiertas a datos sensibles
Las cookies, pequeños archivos de texto generados por los sitios web para guardar información del usuario; son elementos clave para una navegación personalizada y eficiente. Sin embargo, su almacenamiento prolongado sin control puede convertirlas en una herramienta peligrosa en manos de ciberdelincuentes.
Los atacantes aprovechan vulnerabilidades en los navegadores para interceptar cookies activas, que pueden contener tokens de sesión, credenciales de acceso, información personal y configuraciones de usuario. A diferencia de una contraseña comprometida, una cookie sustraída puede permitir el acceso directo a cuentas online sin necesidad de iniciar sesión, ya que muchas mantienen la sesión activa aunque el navegador se haya cerrado.
Según el estudio, el 20,55% de las cookies robadas en 2025 seguían activas, lo que representa un riesgo sostenido de acceso no autorizado a cuentas personales y corporativas. Las principales plataformas afectadas fueron Google, YouTube, Microsoft y Bing, que suman más de 8.000 millones de cookies robadas.
Malware: más sofisticado, más numeroso y más destructivo
La investigación identificó 38 tipos diferentes de malware responsables del robo masivo de cookies, frente a los doce que se contabilizaron el año anterior. Destacan Redline, Vidar y LummaC2, que en conjunto sustrajeron decenas de miles de millones de cookies.
Redline es especialmente eficaz a la hora de extraer contraseñas guardadas y datos de autocompletado, mientras que Vidar se caracteriza por descargar malware adicional en los sistemas comprometidos. Por su parte, LummaC2 ha ganado notoriedad por su capacidad evasiva, que le permite eludir los sistemas antivirus y mantenerse activo sin ser detectado.
A estas amenazas conocidas se han sumado nuevas variantes como RisePro, Stealc, Nexus y Rhadamanthys, que amplían el espectro de riesgo al incluir funciones específicas como el robo de credenciales bancarias, la emulación de entornos móviles o la distribución encubierta de software malicioso.
Aunque España no figura entre los países con el mayor volumen de cookies robadas, su ubicación en el puesto quince del ranking global y la persistencia de 139 millones de cookies activas reflejan una exposición elevada al riesgo. Esta cifra equivale al 7,93% del total de cookies robadas en el país que aún permanecen vinculadas a sesiones reales, lo que implica que cientos de miles de usuarios españoles podrían estar afectados.
La mayoría de las cookies contenían nombres, correos electrónicos, direcciones y contraseñas, información suficiente para llevar a cabo acciones de phishing, fraudes financieros o suplantaciones de identidad.
Cómo protegerse frente al robo de cookies
NordVPN recomienda adoptar medidas básicas para limitar la exposición a este tipo de ataques. Entre ellas se incluyen el uso de contraseñas seguras y únicas, la autenticación multifactor (MFA), evitar enlaces sospechosos y mantener el software actualizado.
Eliminar periódicamente las cookies almacenadas en los navegadores es una de las acciones más eficaces. Aunque muchos usuarios creen que cerrar el navegador termina la sesión, las cookies activas pueden seguir válidas durante días o semanas, según lo determine el sitio web que las generó.
También es aconsejable revisar los ajustes de privacidad en servicios online para asegurarse de que la información compartida se limita al mínimo necesario y solo se transmite a proveedores confiables.
