Una investigación de Check Point Research expuso una red de distribución de malware activa en YouTube, conocida como la “Red Fantasma”, que utiliza videos falsos y cuentas comprometidas para difundir software malicioso disfrazado de programas gratuitos, cracks y hacks de videojuegos.
Desde 2021, esta operación ha crecido de forma sostenida y, según los analistas, su actividad se triplicará en 2025. La red se sostiene en técnicas de ingeniería social y manipulación digital, utilizando miles de videos con falsos comentarios, “me gusta” y suscripciones fabricadas para generar confianza entre los usuarios.
Cuando las víctimas hacen clic en los enlaces proporcionados en la descripción de los videos, son redirigidas a sitios de phishing o servicios de intercambio de archivos como Google Sites, MediaFire o Dropbox. Allí se descargan archivos protegidos con contraseña que eluden los antivirus y que suelen contener troyanos y ladrones de información, como Lumma Stealer, Rhadamanthys, StealC y RedLine. Estos programas roban contraseñas, datos del navegador y otra información sensible.
La estructura de la red es modular: unas cuentas suben los videos, otras publican los enlaces y un tercer grupo refuerza su credibilidad con comentarios falsos. Si YouTube elimina una cuenta, otra la reemplaza de inmediato, lo que mantiene la operación en marcha.
Entre las campañas detectadas, una utilizó el canal comprometido @Sound_Writer (con casi 10,000 suscriptores) para difundir el malware Rhadamanthys mediante videos sobre criptomonedas. Otra, más amplia, se apoyó en @Afonesio1, con 129,000 suscriptores, ofreciendo versiones pirateadas de Adobe Photoshop, Premiere Pro y FL Studio. Uno de estos videos superó las 290,000 visitas.
Los investigadores advierten que incluso visitar los sitios de descarga puede ser riesgoso, ya que podrían ejecutar scripts o robar credenciales sin necesidad de instalar ningún programa.
Check Point recomienda no descargar software crackeado ni desactivar los antivirus, y reforzar la seguridad mediante contraseñas fuertes, autenticación de dos factores, gestores de contraseñas y actualizaciones constantes del sistema. También sugiere verificar siempre los enlaces antes de hacer clic y obtener programas únicamente desde fuentes oficiales o desarrolladores certificados.
