En los últimos años, las operaciones de robo de criptomonedas han evolucionado mucho más allá de las páginas de phishing aisladas y las estafas de acuñación de NFT falsas. Lo que antes consistía principalmente en actores individuales que ejecutaban páginas maliciosas de conexión de billeteras se ha desarrollado cada vez más en una economía de servicios subterránea estructurada, construida en torno a plataformas de "Drainer-as-a-Service" (DaaS). A diferencia de las operaciones de malware tradicionales, los drainers de criptomonedas suelen depender de la ingeniería social en lugar del compromiso del dispositivo. Las víctimas son atraídas a sitios web falsos de criptomonedas, NFT, airdrops o DeFi y se les pide que conecten sus billeteras. Una vez que se aprueba una transacción maliciosa o una firma de billetera, el drainer puede transferir activos de criptomonedas directamente de la billetera de la víctima, a menudo en cuestión de segundos. Un análisis realizado por investigadores de **Flare** de aproximadamente 700 publicaciones recopiladas de foros, chats y canales clandestinos relacionados con "Lucifer DaaS" entre enero de 2025 y principios de 2026 proporciona una visión poco común de cómo funcionan internamente las operaciones modernas de drainer. Los hallazgos revelan un ecosistema cada vez más profesionalizado enfocado en el crecimiento de afiliados, la automatización, la escalabilidad del phishing, la elusión de la seguridad de las billeteras y la resiliencia operativa. Los datos analizados sugieren que las operaciones modernas de drainer funcionan cada vez de manera similar a los negocios legítimos de SaaS. Los actores detrás de Lucifer discutieron lanzamientos de software, correcciones de errores, comisiones de afiliados, soporte al cliente, recomendaciones de alojamiento, automatización de implementaciones, clonación de sitios web y sistemas de referencia, ofreciendo una inmersión profunda en cómo evolucionan los ecosistemas DaaS dentro de las comunidades clandestinas. ## ¿Qué es un Drainer y Cómo Funciona Un drainer de criptomonedas es una herramienta diseñada para robar activos de criptomonedas directamente de las billeteras de las víctimas abusando de los permisos de la billetera y las aprobaciones de transacciones. En lugar de hackear la billetera en sí, los atacantes suelen atraer a las víctimas a sitios web falsos de criptomonedas, NFT, airdrops, DeFi o reclamación de tokens y las engañan para que conecten sus billeteras y aprueben solicitudes o firmas maliciosas. Una vez que se otorga el permiso, el drainer puede transferir automáticamente tokens, NFT u otros activos digitales de la billetera de la víctima a billeteras controladas por el atacante, a menudo en cuestión de segundos y a través de múltiples blockchains.  ## Drainer-as-a-Service En este modelo, el operador desarrolla y mantiene la infraestructura de drenaje, mientras que los afiliados aportan las víctimas. El trabajo del afiliado es generar tráfico a través de enlaces de phishing, sitios web falsos, cuentas de redes sociales comprometidas, anuncios, spam o mensajes directos. El operador de DaaS se encarga de la interacción con la billetera, la lógica de transacciones, las alertas y el flujo de drenaje de activos. El conjunto de datos de Lucifer muestra este modelo claramente. En una publicación promocional, el actor explica que los afiliados proporcionan "tráfico a través de enlaces de phishing, sitios web falsos y métodos similares", mientras que el servicio gestiona "firmas, aprobaciones y transferencias de tokens". La misma publicación describe el servicio como basado en comisiones y presenta Lucifer Drainer como una "solución profesional" con soporte ERC20, Permit2, firmas fuera de cadena, elusión de seguridad de billeteras, soporte multichain y actualizaciones continuas del producto.  Ese lenguaje es importante. Los operadores no venden un kit de malware de una sola vez. Venden participación en una plataforma.  Su canal de Telegram refuerza el mismo punto. Lucifer afirma repetidamente que el software "no está a la venta" y que los operadores se llevan una comisión del 20% de los "golpes" exitosos. En mayo de 2025, el canal escribió que no vende ni alquila el software y solo divide "20% por golpe". Esto se acerca más al modelo de afiliados de ransomware que a los kits de phishing de la vieja escuela. Mientras los desarrolladores mantienen el producto, los afiliados aportan tráfico para monetizar la operación y las ganancias se comparten. ## Lucifer como Caso de Estudio El canal de Lucifer muestra una operación de drainer evolucionando públicamente hacia una plataforma DaaS estructurada.  En marzo de 2025, el grupo anunció la versión 6.6.6, anunciando soporte ERC20, abuso de Permit2, firmas fuera de cadena, notificaciones de Telegram, elusión de seguridad de billeteras y funcionalidad multichain. El mismo anuncio enfatizó nuevamente que el software no estaba a la venta y que los operadores se llevan una comisión del 20% de los "golpes" exitosos. A partir de entonces, el canal se pareció cada vez más a un feed de desarrollo de software que a una operación típica de malware. Los operadores anunciaron correcciones de errores, actualizaciones de compatibilidad de billeteras, soporte de Telegram-navegador, mejoras de implementación y funciones de alojamiento. Una de las adiciones más notables fue una función de clonación de sitios web que permitía a los afiliados clonar páginas de phishing y recibir archivos ZIP precargados con el último código de Lucifer. Con el tiempo, la operación se movió fuertemente hacia la automatización. Actualizaciones posteriores introdujeron flujos de trabajo de implementación "Zero Config", que permitían a los afiliados cargar archivos estáticos, generar automáticamente paquetes listos para phishing e implementar infraestructura con un mínimo de trabajo manual. Esto redujo significativamente la barrera técnica para los afiliados.  El conjunto de datos más amplio también muestra a Lucifer reclutando activamente en comunidades clandestinas donde se discutieron otras marcas de drainer como Inferno, Angel, Venom, Nova, Ghost, Medusa, Vega y Monkey. Un tema recurrente en las publicaciones era el "tráfico". Los operadores enfatizaron repetidamente que los afiliados necesitaban víctimas y capacidades de distribución de phishing más que habilidades técnicas avanzadas. Sin embargo, el grupo también advirtió que los principiantes completos no eran bienvenidos, lo que sugiere que los operadores priorizaban a los afiliados experimentados capaces de generar tráfico de phishing confiable con una sobrecarga operativa limitada. ## Resiliencia Después de las Desactivaciones Al igual que otros servicios clandestinos, Lucifer también muestra signos de resiliencia operativa. En agosto de 2025, sus bots de Telegram fueron prohibidos, por lo que instruyeron a los usuarios en su canal a crear nuevos bots y otorgarles privilegios de administrador. El grupo también dio instrucciones para resolver problemas de configuración después de la migración. En noviembre de 2025, Lucifer dijo que un dominio de documentación alojado en **Google Firebase** había sido suspendido después de informes de investigación. El grupo respondió trasladando la documentación al **InterPlanetary File System (IPFS)** (un protocolo descentralizado de intercambio de archivos peer-to-peer utilizado para almacenar y distribuir datos), presentando la descentralización como una forma de mantener las operaciones en funcionamiento después de las desactivaciones. Esto refleja el comportamiento observado en el ecosistema de drainers en general. La investigación de **Check Point** sobre "Inferno Drainer" describió cómo la operación continuó adaptándose a pesar de las advertencias de billeteras, listas negras y defensas anti-phishing. ## Por Qué los Drainers Se Volvieron Tan Atractivos para los Cibercriminales Los drainers se volvieron populares porque coinciden con la estructura del crimen criptográfico moderno. Los activos criptográficos son líquidos, se mueven rápidamente y, a menudo, son irreversibles una vez transferidos. Los atacantes no necesitan comprometer un portal bancario ni esperar una cuenta mula. Una aprobación de billetera exitosa puede "drenar" activos inmediatamente. También se benefician de la relativa inmadurez de la seguridad criptográfica en comparación con las finanzas tradicionales. A medida que las plataformas DaaS como Lucifer continúan evolucionando, los profesionales de la seguridad y los usuarios de criptomonedas deben permanecer vigilantes contra estas amenazas cada vez más sofisticadas.