YouTube es una de las plataformas de video más populares del mundo. Sin embargo, más allá de los videos conspirativos o las noticias falsas (Fake News), los ciberdelincuentes la han utilizado frecuentemente para propagar malware en YouTube. Recientemente, un caso que atendí personalmente lo confirma: un usuario solicitó mi asistencia para desinfectar su PC tras descargar un crack promocionado en un video.
Este incidente no es aislado y revela una peligrosa tendencia: la distribución de troyanos en YouTube se ha convertido en una táctica común, especialmente a través de videos que prometen software pirata.
En este artículo, detallo cómo la plataforma es utilizada para esta actividad maliciosa. Mi objetivo es que comprendas los métodos utilizados para poder evitar caer en la trampa y mejorar tu seguridad en YouTube. El artículo concluye con las prácticas recomendadas a seguir para evitar ser una víctima de estos ataques.
¿Cómo se utiliza YouTube para distribuir troyanos?
Como mencioné, es importante señalar que esta técnica no es nueva. YouTube siempre ha sido una plataforma utilizada para la distribución de estafas y virus en videos de YouTube.
Los ciberdelincuentes pueden incluir enlaces en la descripción de un video, en los comentarios o en mensajes fijados, que dirigen a sitios de descarga de software malicioso. Estos enlaces suelen disfrazarse para parecer legítimos, prometiendo, por ejemplo, la descarga gratuita de un software popular, un generador de claves o un archivo “crack”. Muchos usuarios se preguntan si descargar cracks de YouTube es seguro, y como veremos, la respuesta es un rotundo no.
El Cebo: Videos de Cracks que Conducen a Malware
Recientemente, un usuario solicitó asistencia para desinfectar su PC tras la descarga de un crack promocionado en un video de YouTube titulado: Trojan stealer totalmente indetectable.
Una búsqueda revela múltiples videos que ofrecen cracks para Adobe Acrobat DC, Adobe Photoshop 2025 Crack, FL Studio Crack, IDM Crack, Adobe Illustrator Crack, etc. La estructura de estos videos es relativamente idéntica:
- Un video para crackear un software.
- El enlace de descarga del crack.
- La contraseña para el archivo ZIP del crack.
- Una descripción de video idéntica con palabras clave.
Este video, titulado «Adobe Photoshop Crack | Free Download Firefly AI Adobe Photoshop 2024 | Photoshop AI Working Crack», acumula más de 242.000 visualizaciones.Este otro video, «Internet Download Manager Free Download | IDM Crack | Internet Download Manager Crack», también supera las 220.000.
Estos videos redirigen a comentarios que contienen el enlace de descarga, utilizando plataformas como Dropbox o Mediafire. Dos cuentas están asociadas a esta campaña de malware.
La misma táctica se observa con estas dos cuentas: Los canales de YouTube presentan una estructura muy similar, con algunos videos legítimos seguidos de la publicación de videos maliciosos por parte del autor.
Análisis del Troyano: El Caso de Lumma Stealer
Esta campaña conduce a dos tipos de archivos. Uno de aproximadamente 100 MB y otro de más de 1 GB.
Para la versión de 100 MB, como se muestra en la captura de pantalla inferior, los archivos son idénticos. Los autores de los videos no se complican. Crean un archivo ZIP con el nombre del crack, el cual contiene el mismo Dropper en todos los casos.
El resultado final es la descarga de un Trojan Stealer —un caballo de Troya especializado en el robo de datos— perteneciente a la familia Lumma Stealer. Se trata de un tipo de infostealer muy peligroso.
El análisis en Any.Run: https://app.any.run/tasks/612e0b34-af42-4a87-965f-5e32486a07a9
Este es detectado como Trojan:Win32/Wacatac.H!ml por Windows Defender.
La segunda versión del archivo malicioso se presenta como un fichero Set-up.exe de 929 MB (SHA1 6d319540ce0a635c8274e3b37537b18d162be19a). El objetivo de esta técnica es inflar artificialmente el tamaño del archivo para evitar que los clientes antivirus lo envíen automáticamente al laboratorio para su análisis. Esto también imposibilita su análisis en VirusTotal y es una de las razones por las que a veces un antivirus no detecta un virus a tiempo.
Los enlaces de zxcprogs.shop conducen a otra variante de archivo, pero la estructura es relativamente idéntica (SHA1: 6d319540ce0a635c8274e3b37537b18d162be19a).
Como regla general, un archivo ejecutable (EXE) de gran tamaño es un indicador de que puede ser malicioso. En este caso, Windows Defender también realiza la detección correspondiente, identificándolo como Trojan:Win32/Wacatac.B!ml.
Una Segunda Amenaza: El Troyano RedCap
También he identificado otra campaña maliciosa presente en la sección de comentarios con el enlace www.mediafire.com/folder/7nk56irn7r0pr/GraciasY. Nuevamente, existen muchos otros videos de cracks que distribuyen este malware.
El autor actualiza el archivo .RAR regularmente para evadir las detecciones de los antivirus.
En este caso, el ejecutable también tiene un tamaño de varios cientos de megabytes para evitar el envío automático a los laboratorios de antivirus.
El malware es igualmente un Trojan Stealer de la familia Trojan RedCap. Como muestra la siguiente captura de pantalla, las detecciones son efectivas, con una tasa de 51 sobre 77 motores de análisis.
Windows Defender detecta las amenazas como Trojan:Win32/Fauppod!ml y Trojan:Win32/Redcap!MTB.
Riesgos y Consecuencias de la Infección
Esta es una campaña bien estructurada de videos en YouTube que conducen a la instalación de un caballo de Troya. La escala de estas campañas es masiva, con reportes que indican miles de videos maliciosos identificados por investigadores de seguridad.
Ciertos videotutoriales pueden pretender enseñar “trucos” o “hacks” para mejorar el rendimiento del ordenador o instalar programas de pago de forma gratuita. Estos videos pueden guiar a los usuarios a descargar archivos ejecutables supuestamente seguros que, en realidad, son troyanos en YouTube. Comprender los peligros de descargar cracks es el primer paso para protegerse.
La moderación de YouTube parece estar sobrepasada; he reportado videos y comentarios con enlaces maliciosos, y estos siguen en línea. No obstante, cabe señalar que uno de los videos (que no fue reportado por mí) ha sido suspendido.
Es relevante mencionar que notifiqué a YouTube a través de Twitter el 12 de noviembre, pero la mayoría de los videos maliciosos permanecen activos, como confirman diversos estudios académicos sobre el tema.
Los usuarios que descargan archivos de forma indiscriminada son las principales víctimas de estas campañas. Las consecuencias pueden ser desastrosas, ya que estos Trojan Stealers son muy eficientes en el robo de contraseñas de cuentas en línea. Si sospechas algo, es vital saber cómo determinar si tu ordenador ha sido pirateado.
Cómo protegerse de los troyanos en YouTube
A continuación, presento algunas reglas básicas para evitar el malware a través de YouTube:
- Activa la seguridad de navegación: Habilita la protección de navegación en tu navegador para recibir alertas si eres redirigido a un sitio peligroso.
- Evita hacer clic en enlaces desconocidos: No hagas clic en enlaces en descripciones, comentarios o mensajes si la fuente no es de confianza. Verifica siempre la autenticidad de la fuente.
- Nunca descargues software desde enlaces no oficiales: Descarga siempre tus programas desde los sitios web oficiales o tiendas en línea fiables, nunca desde enlaces proporcionados por terceros.
- Utiliza un antivirus: Instala un software antivirus de reputación y mantenlo actualizado. Un buen antivirus es tu primera línea de defensa, ya que puede detectar sitios y archivos sospechosos.
- Presta atención a los videos que prometen “cracks” o software gratuito: Este tipo de videos se utiliza a menudo para engañar a los usuarios y distribuir troyanos.
- Ignora los anuncios o mensajes sospechosos: Si un anuncio o mensaje te redirige a un sitio desconocido, abandona la página inmediatamente.
