Desde hace un tiempo, investigadores de seguridad han detectado una red maliciosa bastante activa en YouTube. Esta red se dedica a subir y promocionar videos que, a simple vista, parecen inofensivos (tutoriales, trucos de juegos, descargas gratuitas) pero que en realidad están diseñados para engañar al usuario y llevarlo a descargar malware.
Los atacantes se aprovechan de la enorme confianza que la gente tiene en YouTube y de la popularidad de ciertos contenidos para distribuir software malicioso de forma masiva.
Según Check Point, esta operación está activa desde 2021 y ya ha publicado más de 3.000 videos maliciosos, con un crecimiento preocupante: solo en lo que va del año, el volumen de publicaciones se ha triplicado. A esta campaña la han llamado la "Red Fantasma de YouTube".
La estrategia es clara: los atacantes toman el control de cuentas hackeadas, eliminan su contenido original y lo reemplazan con videos que prometen software pirata o hacks para juegos como Roblox. Quienes hacen clic en los enlaces de la descripción terminan infectando su equipo con malware tipo stealer, diseñado para robar datos personales, contraseñas, accesos a redes sociales, criptomonedas y más.
Algunos de estos videos han llegado a cifras alarmantes: entre 147.000 y 293.000 visualizaciones, lo que demuestra el alcance y efectividad de esta campaña. Google ya ha tomado medidas y ha eliminado una gran parte de los videos, pero el problema persiste, y la red sigue activa.
En TecnetOne seguiremos atentos a este tipo de campañas para que siempre estés un paso adelante y sepas cómo protegerte.
¿Cómo funciona la Red Fantasma de YouTube?
Esta operación maliciosa se aprovechó de señales de confianza como visualizaciones, "me gusta" y comentarios para que el contenido pareciera legítimo. A simple vista, todo parecía un tutorial normal o una guía útil, pero en realidad era una trampa bien diseñada para distribuir malware.
Lo más preocupante es la escala, la organización y lo refinado de este enfoque: una red bien estructurada que utiliza todas las herramientas de interacción que ofrece YouTube para engañar a los usuarios y propagar software malicioso sin levantar sospechas.
Aunque esto puede sonar nuevo para muchos, la verdad es que el uso de YouTube como plataforma para distribuir malware no es nada reciente. Desde hace años, los atacantes han estado secuestrando canales legítimos o creando cuentas nuevas para subir videos con enlaces en la descripción que redirigen a malware.
El abuso de plataformas legítimas como vía de ataque
En esta campaña en particular, los atacantes llevan la estrategia un paso más allá. No solo publican contenido visualmente confiable, sino que además aprovechan todas las funciones posibles de la plataforma: videos, descripciones, publicaciones (sí, YouTube también permite publicar como si fuera una red social), e incluso comentarios. Todo esto se utiliza para reforzar la percepción de que el contenido es auténtico y seguro, cuando en realidad es todo lo contrario.
Este tipo de ataque forma parte de una tendencia creciente: el abuso de plataformas legítimas para actividades maliciosas. Ya no se trata solo de páginas web oscuras o archivos sospechosos. Ahora los atacantes están recurriendo a herramientas que usamos a diario (como YouTube, GitHub o incluso redes publicitarias legítimas) para difundir su malware de forma más eficiente y menos detectable.
La estructura oculta detrás de las Ghost Networks
Un ejemplo claro de esta estrategia es lo que se conoce como Ghost Networks: redes distribuidas de cuentas que trabajan en conjunto como si fueran un sistema operativo en sí mismo. Estas redes no solo aparentan ser confiables, sino que están diseñadas para sobrevivir.
¿Cómo lo logran? Usan una estructura basada en roles, lo que significa que cada cuenta dentro de la red tiene una función específica. Si una cuenta es bloqueada o eliminada, simplemente se reemplaza por otra sin que el resto del sistema se vea afectado. Esta arquitectura modular permite que la red siga operando casi sin interrupciones, lo que la convierte en una amenaza especialmente difícil de erradicar.
En el caso de YouTube, muchas de estas cuentas han sido comprometidas: originalmente eran legítimas, pero fueron hackeadas. Una vez dentro, los atacantes modifican todo el contenido y asignan a la cuenta un nuevo rol dentro de la red maliciosa.
Lo más peligroso es que, gracias a esta organización, los videos maliciosos pueden mantenerse activos el tiempo suficiente para generar miles (incluso cientos de miles) de visualizaciones antes de ser detectados o eliminados. En ese período, ya han infectado a miles de usuarios.
Línea de tiempo del ataque (Fuente: Check Point)
Podría interesarte leer: Nueva Versión de Malware Neptune RAT se Difunde por YouTube y Telegram
Tres tipos de cuentas, un solo objetivo: Hacerte caer
Dentro de la Red Fantasma de YouTube, los ciberdelincuentes no actúan al azar. Todo está organizado, y para que esta operación funcione con tanta eficiencia, se utilizan tres tipos de cuentas distintas, cada una con un rol específico:
1. Cuentas de video
Estas son las que suben los videos de phishing, normalmente con títulos llamativos que prometen cracks, licencias gratis o herramientas para juegos y criptomonedas. En las descripciones (o a veces en comentarios fijados o incluso dentro del mismo video), incluyen enlaces que llevan a supuestas descargas del software promocionado. Spoiler: no es software, es malware.
2. Cuentas de publicación
Aprovechan la función de “comunidad” de YouTube, que no todos los usuarios conocen. Publican mensajes con enlaces externos camuflados como si fueran anuncios o promociones. Suena inocente, pero es otra vía para llevarte directo al malware.
3. Cuentas de interacción
Son las que le dan “me gusta”, comentan cosas positivas y apoyan los videos infectados para que parezcan confiables. Es decir, generan una falsa reputación. Esto ayuda a engañar a los usuarios que se fijan en el número de likes o en los comentarios antes de descargar algo.
¿A dónde te llevan los enlaces?
Los enlaces que comparten estas cuentas dirigen a los usuarios a sitios y servicios bastante conocidos, lo que da una sensación de legitimidad. Algunos ejemplos incluyen:
-
MediaFire, Dropbox o Google Drive: usados para alojar archivos infectados.
-
Google Sites, Blogger, Telegraph: utilizados como páginas puente para distribuir enlaces maliciosos.
-
Acortadores de URL: como Bit.ly, que ocultan el destino real del enlace para que no levante sospechas.
Una vez que haces clic, es fácil caer en la trampa, especialmente si estás buscando algo muy específico (como una versión gratuita de un programa caro) y ves que el video tiene miles de visualizaciones.
Conoce más sobre: Concientización en Ciberseguridad: Más que una Charla Anual
¿Qué Malware se está distribuyendo?
La Red Fantasma no está distribuyendo un solo tipo de malware, sino una colección peligrosa de stealers y loaders que apuntan a robar todo tipo de información sensible.
Entre las familias de malware detectadas están:
-
Lumma Stealer
-
Rhadamanthys Stealer
-
StealC Stealer
-
RedLine Stealer
-
Phemedrone Stealer
-
Varios loaders y downloaders basados en Node.js, como Hijack Loader
Estos programas pueden robar contraseñas, credenciales de acceso, cookies, tokens de sesión, datos bancarios y billeteras de criptomonedas, y todo esto sin que el usuario note nada inusual en su equipo.
Canales comprometidos: Ejemplos reales
Esta red no se limita a cuentas pequeñas o sin visibilidad. También se han detectado canales de cierto tamaño siendo utilizados para difundir malware. Algunos ejemplos documentados incluyen:
-
@Sound_Writer (9.690 suscriptores): Comprometido desde hace más de un año. Publicaba videos relacionados con software para criptomonedas que, en realidad, distribuían Rhadamanthys Stealer.
-
@Afonesio1 (129.000 suscriptores): Hackeado entre diciembre de 2024 y enero de 2025. Subieron un video promocionando una versión pirata de Adobe Photoshop que, al instalarse, ejecutaba Hijack Loader, el cual a su vez descargaba Rhadamanthys.
Esto muestra que no importa cuántos seguidores tenga un canal: si es vulnerable, puede convertirse en un vehículo para campañas maliciosas.
Conclusión
La Red Fantasma de YouTube es un claro ejemplo de cómo la ciberseguridad hoy no se trata solo de protegerse de correos sospechosos o archivos extraños, sino de entender cómo se manipulan plataformas populares para parecer inofensivas mientras distribuyen amenazas reales.
Desde TecnetOne, te recomendamos estar siempre alerta, evitar hacer clic en enlaces desconocidos y nunca descargar software desde fuentes no oficiales, por más convincente que parezca el video.