Google elimina 3.000 vídeos de YouTube que eran malware disfrazado de software y trucos de Roblox

Google ha eliminado más de 3.000 vídeos de YouTube que distribuían malware camuflado como tutoriales de software crackeado y trucos para videojuegos. Los vídeos prometían versiones gratuitas de programas como Photoshop o FL Studio, y sobre todo trucos para Roblox. En realidad, instalaban programas que robaban contraseñas, criptomonedas y datos del ordenador. La operación, conocida como "YouTube Ghost Network", usaba cuentas legítimas comprometidas para parecer fiable ante cualquiera que buscase software gratis.

Según se recoge en The Register, investigadores de Check Point descubrieron que la campaña llevaba activa desde 2021 pero se disparó en 2025, multiplicando por tres el número de vídeos maliciosos. Google colaboró con Check Point para desmantelar lo que califican como una de las mayores operaciones de distribución de malware vistas en la plataforma.

Miles de cuentas falsas trabajando en equipo

La Ghost Network funcionaba con miles de cuentas coordinadas. Unas publicaban los vídeos, otras llenaban los comentarios con elogios y emojis, y un tercer grupo compartía enlaces y contraseñas en las publicaciones de la comunidad. El sistema estaba diseñado para que todo pareciese legítimo: vídeos con miles de visitas, comentarios positivos y enlaces aparentemente seguros. Eli Smadja, responsable de investigación en Check Point, explica que la operación aprovechaba las mecánicas propias de YouTube para distribuir malware.

Los vídeos pedían desactivar el antivirus y descargar un archivo desde Dropbox, Google Drive o MediaFire. Dentro no había ningún programa funcional, sino infostealers como Rhadamanthys o Lumma. Al ejecutarse, enviaban contraseñas, carteras de criptomonedas e información del sistema a servidores controlados por los atacantes. Todo sin que la víctima se diese cuenta hasta que era demasiado tarde.

Un canal secuestrado con 129.000 suscriptores publicó una versión falsa de Photoshop que consiguió casi 300.000 visualizaciones y más de 1.000 likes. Otro vídeo dirigido a usuarios de criptomonedas les redirigía a páginas de phishing alojadas en Google Sites. Check Point descubrió que los operadores cambiaban constantemente el malware y los enlaces, creando un sistema que se regeneraba aunque Google banease cuentas. El método se parece a otra operación que llaman "Stargazers Ghost Network" en GitHub.

Aunque la mayoría de vídeos ofrecían software pirata, el gancho más grande fueron los trucos para Roblox, que tiene unos 380 millones de jugadores activos al mes. También había copias falsas de Microsoft Office, Lightroom y otras herramientas de Adobe. La plataforma de juegos había implementado hace poco verificación de edad con IA para mejorar la seguridad de sus usuarios más jóvenes.

A lo largo de este año hemos visto cambios en las formas en las que se distribuye el malware. Antes dominaban los correos de phishing, ahora los atacantes usan plataformas conocidas. No es la primera vez que vemos malware disfrazado de aplicaciones populares: hace unos meses alertábamos de otro que se hacía pasar por WhatsApp y TikTok para robar datos bancarios, aprovechando la confianza en nombres conocidos.

Smadja advierte que ahora un vídeo con aspecto popular puede ser tan peligroso como un correo de phishing. Check Point no sabe quién está detrás: parece obra de cibercriminales buscando dinero, pero podría cambiar si grupos estatales adoptasen las mismas tácticas. La firma sigue monitorizando para detectar nuevas versiones de esta operación. La YouTube Ghost Network ha sido eliminada, pero la mecánica sigue ahí. Con el engagement convertido en arma, la siguiente campaña está siempre a un clic de distancia.