Una investigación de Check Point Research (CPR) expuso una operación de distribución de malware que se ocultaba en uno de los lugares más populares de internet: YouTube. Lo que parecía contenido legítimo terminó siendo un sofisticado entramado delictivo conocido como la Red Fantasma de YouTube, diseñada para robar información personal a miles de usuarios en todo el mundo.
El equipo de CPR identificó cómo los ciberdelincuentes utilizaron cuentas falsas y comprometidas para publicar tutoriales y videos que ofrecían software pirateado o supuestos “hacks” de juegos. Los enlaces incluidos redirigían a archivos protegidos con contraseña que instalaban malware como Rhadamanthys y Lumma, dos de los programas más usados para robar credenciales, billeteras de criptomonedas y datos del sistema.
Tras meses de seguimiento, más de 3.000 videos maliciosos fueron reportados y eliminados por Google, desbaratando una de las mayores operaciones de malware vistas en la plataforma.
Una red que manipulaba la confianza del usuario
La Red Fantasma no era una serie aislada de publicaciones, sino un sistema altamente coordinado que replicaba el comportamiento de una comunidad real. Cada cuenta dentro de la red cumplía un rol específico.
Las cuentas de video subían contenidos tipo tutorial con enlaces hacia archivos infectados. Las cuentas de publicación compartían actualizaciones con contraseñas nuevas y links activos, mientras que las cuentas de interacción llenaban las secciones de comentarios con mensajes falsos de agradecimiento o aprobación. Ese mecanismo hacía que los videos parecieran legítimos y generaran una falsa sensación de seguridad.
Esta estructura modular permitió que la red se expandiera rápidamente y resistiera los intentos de bloqueo. Cada vez que una cuenta era eliminada, otras nuevas la reemplazaban de inmediato.
Uno de los casos más graves detectados por Check Point fue el de un canal comprometido con 129.000 suscriptores, que publicó una versión pirateada de Adobe Photoshop. Ese video superó las 291.000 visualizaciones y acumuló más de 1.000 “me gusta”, alcanzando un nivel de exposición masivo.
Otro canal se enfocaba en usuarios de criptomonedas. En lugar de ofrecer software, redirigía a páginas de phishing alojadas en Google Sites que instalaban directamente Rhadamanthys Stealer en los equipos de las víctimas.
Del software pirateado al robo de datos personales en YouTube
Los engaños más frecuentes incluían versiones supuestamente gratuitas de Microsoft Office, FL Studio o Adobe Photoshop, además de trucos para juegos como Roblox. En los videos, los ciberdelincuentes instruían a los usuarios para desactivar Windows Defender antes de descargar el archivo, con la excusa de evitar falsos positivos.
Una vez que la víctima ejecutaba el programa, el malware robaba contraseñas almacenadas, datos del navegador, monederos digitales y configuraciones del sistema. La información se enviaba a servidores de comando y control que cambiaban su ubicación cada pocos días para evitar ser detectados.
La investigación reveló que estos delincuentes actualizaban los enlaces y las cargas útiles de manera constante. Esa práctica mantenía activas las cadenas de infección incluso después de las eliminaciones parciales de contenido.
Según el informe de Check Point, esta modalidad representa una nueva fase en la ingeniería social, donde los atacantes explotan los mecanismos de interacción de las plataformas —como los “me gusta” y los comentarios— para transformar la confianza del usuario en un arma de engaño.
La respuesta de Check Point y el riesgo de las redes sociales
El equipo de Check Point Research rastreó la actividad de la Red Fantasma durante más de un año, identificando miles de cuentas interconectadas. Gracias a la colaboración directa con Google, se logró eliminar los videos fraudulentos y cortar una de las cadenas de distribución más activas dentro de YouTube.
Los investigadores destacaron que la cooperación entre empresas tecnológicas y expertos en ciberseguridad resulta clave para frenar estas operaciones, que hoy se multiplican en redes sociales, foros y comunidades online.
El hallazgo también deja al descubierto una tendencia preocupante: los ciberdelincuentes ya no dependen del correo electrónico ni de sitios web sospechosos. Ahora se infiltran en plataformas que gozan de alta confianza pública, como YouTube, donde el aspecto visual y las interacciones positivas sirven como garantía de autenticidad.
La Red Fantasma evidenció que la confianza digital se convirtió en el nuevo campo de batalla. En un entorno donde los videos educativos o de entretenimiento pueden esconder amenazas reales, la verificación de fuentes y la cautela del usuario son las principales defensas.
