En una operación global de ciberseguridad, Google retiró más de 3.000 videos de YouTube que se utilizaban para distribuir malware camuflado como tutoriales de software crackeado y trucos para videojuegos. Los contenidos, que aparentaban ofrecer versiones gratuitas de programas populares o ventajas en títulos como Roblox, en realidad instalaban programas maliciosos destinados a robar contraseñas, criptomonedas y datos personales de los usuarios.

El hallazgo fue reportado por investigadores de la firma Check Point, quienes descubrieron que la red detrás de esta campaña, bautizada como “YouTube Ghost Network”, llevaba operando desde 2021. Sin embargo, su actividad se intensificó en 2025, triplicando la cantidad de videos maliciosos subidos a la plataforma. La investigación, publicada por The Register, describe la operación como una de las más extensas de su tipo dentro del ecosistema de YouTube.

Google colaboró directamente con Check Point para desmantelar esta red, que aprovechaba cuentas comprometidas de creadores legítimos para ganar credibilidad. Según ambas compañías, la eliminación de los videos marca un paso importante, aunque no definitivo, en la lucha contra la distribución de malware en plataformas de alto tráfico.

La “YouTube Ghost Network” operaba mediante un sistema de miles de cuentas sincronizadas. Algunas se encargaban de publicar los videos, otras llenaban los comentarios con mensajes positivos y emojis, mientras un tercer grupo compartía contraseñas o enlaces externos en la sección de comunidad. El resultado era un entorno que imitaba el comportamiento orgánico de un video popular, con miles de visualizaciones, comentarios y reacciones favorables.

Los videos incluían instrucciones para desactivar los antivirus del sistema antes de descargar un supuesto archivo desde plataformas como Dropbox, Google Drive o MediaFire. Ese archivo contenía variantes de malware tipo infostealer, como Rhadamanthys o Lumma, que al ejecutarse robaban información sensible del usuario y la enviaban a servidores controlados por los atacantes.

Uno de los canales comprometidos contaba con 129.000 suscriptores y llegó a publicar un video con una supuesta versión gratuita de Photoshop, que acumuló casi 300.000 visualizaciones antes de ser eliminado. Otros videos apuntaban a usuarios de criptomonedas, redirigiéndolos a sitios de phishing alojados en Google Sites, una táctica que aprovechaba la apariencia confiable del dominio.

El contenido malicioso se distribuía principalmente a través de tutoriales falsos de software pirata y trucos para videojuegos. Según el informe de Check Point, Roblox fue uno de los principales cebos utilizados, dada su enorme base de jugadores jóvenes (más de 380 millones de usuarios activos mensuales).

Además de Roblox, se detectaron imitaciones de programas como Microsoft Office, Adobe Lightroom, FL Studio y Photoshop, así como herramientas de edición y creación de contenido ampliamente usadas. El objetivo era atraer tanto a jugadores como a creadores digitales en busca de versiones gratuitas de programas de pago.

Los investigadores advierten que este tipo de ataques se aprovecha del comportamiento cotidiano de los usuarios en plataformas de video: buscar tutoriales, descargar enlaces recomendados y confiar en el contenido con altos niveles de interacción. “Ahora un video popular puede ser tan peligroso como un correo de phishing”, señaló Eli Smadja, responsable de investigación en Check Point.

Los expertos en ciberseguridad destacan que la forma de distribución del malware está cambiando. Mientras antes predominaban los correos electrónicos fraudulentos, ahora los ciberdelincuentes utilizan plataformas reconocidas y redes sociales para llegar a un público más amplio. Esto representa un desafío adicional para las empresas tecnológicas, que deben equilibrar la libertad de publicación con la detección temprana de amenazas.

Aunque Google consiguió eliminar los videos y suspender las cuentas implicadas, Check Point continúa monitoreando la actividad de la Ghost Network, que podría reactivarse con nuevas cuentas y métodos actualizados. Según el informe, los operadores cambiaban regularmente los enlaces y el tipo de malware, haciendo que la red se regenerara incluso después de bloqueos masivos.

La operación demuestra que, en el entorno digital actual, la confianza y el engagement pueden convertirse en armas. Los usuarios son más propensos a hacer clic en enlaces que provienen de canales con miles de suscriptores o comentarios positivos, lo que los convierte en objetivos fáciles para campañas bien coordinadas.