Google ha eliminado de YouTube más de 3.000 vídeos vinculados a la campaña YouTube Ghost Network, descrita en detalle por analistas de Check Point. Según la investigación, la actividad maliciosa se rastrea desde 2021 y en 2025 experimentó un repunte significativo, con un volumen de publicaciones que prácticamente se triplicó. El objetivo central fue propagar los infostealers Rhadamanthys y Lumma bajo la apariencia de software “crackeado” y trucos para juegos populares.
Cómo operó la campaña: toma de canales, “engagement” falso y señales de confianza
Los operadores comprometían canales legítimos de YouTube y creaban perfiles falsos a escala. Unos publicaban “tutoriales” con enlaces maliciosos; otros inflaban views, “me gusta” y comentarios; y un tercer grupo difundía enlaces mediante la función Comunidad. Este modelo distribuido generaba una ilusión de legitimidad: alto engagement, actividad aparente de usuarios y uso de funciones nativas de la plataforma, factores que bajan la guardia incluso de usuarios experimentados.
Cebo y cadena de infección: software pirata y cheats de Roblox
La campaña atraía víctimas con supuestas versiones gratuitas de Photoshop, FL Studio, Microsoft Office, Lightroom y con cheats para Roblox. En varios vídeos se instruía a desactivar el antivirus y a descargar un archivo desde Dropbox, Google Drive o MediaFire. En lugar del software prometido, el usuario recibía Rhadamanthys o Lumma, diseñados para robar credenciales, cookies de sesión y datos de monederos de criptomonedas. Ambos se comercializan como Malware-as-a-Service en foros clandestinos, lo que explica su rápida adopción y evolución.
Alcance, rotación de payloads y evasión de moderación
Los investigadores documentaron un canal comprometido con 129.000 suscriptores que publicó un vídeo sobre “Photoshop pirata” con casi 300.000 visualizaciones y más de 1.000 “me gusta”. Otro vector apuntó a usuarios cripto mediante redirecciones a páginas de phishing alojadas en Google Sites. Los operadores rotaban con frecuencia cargas útiles y enlaces para adelantarse a la moderación y mantener resiliencia operativa.
Arquitectura modular y paralelismos con ataques en GitHub
Check Point describe una arquitectura modular: nodos para carga y entrega de payloads, para la manipulación del engagement y para la distribución de enlaces. Este diseño favorece la persistencia a largo plazo y la recuperación tras bloqueos. El enfoque recuerda a Stargazers Ghost Network en GitHub, donde miles de cuentas falsas de “desarrolladores” alojaban repositorios maliciosos para impulsar la difusión y el posicionamiento.
Atribución, motivación y superficie de riesgo
No hay atribución pública a un actor específico. La motivación más probable es financiera: monetización de credenciales robadas y vaciado de monederos. No obstante, la táctica —uso de plataformas de alta confianza y fuerte camuflaje— también podría ser útil para grupos con fines de targeting selectivo.
Por qué funciona: confianza en plataformas y límites de la moderación
Los videohostings y nubes públicas se perciben como entornos seguros, lo que potencia la ingeniería social. Las “señales de confianza” —visualizaciones, likes, comentarios— refuerzan esa percepción. Para los equipos de moderación, la rotación ágil de dominios, cuentas y artefactos reduce el tiempo útil de detección.
Recomendaciones de ciberseguridad para usuarios y empresas
No desactive la protección: cualquier instrucción para apagar el antivirus es un indicador inequívoco de riesgo. Evite software pirata y cheats, vectores habituales de infostealers. Verifique la fuente: nombre del canal, historial de publicaciones y coherencia de comentarios; priorice canales oficiales del proveedor.
Utilice un gestor de contraseñas y active 2FA. Revise periódicamente el acceso de aplicaciones de terceros en su cuenta de Google y revoque tokens OAuth sospechosos. En entornos corporativos, considere bloquear la descarga de ejecutables y archivos comprimidos desde nubes públicas, aplicar filtrado de tráfico, EDR/antimalware con detección basada en comportamiento y formar al personal en phishing y señales de fraude.
Las campañas como YouTube Ghost Network demuestran que la popularidad de un vídeo no equivale a seguridad. La higiene digital —fuentes verificadas, 2FA y cero tolerancia al software pirata— reduce de forma sustancial la probabilidad de robo de credenciales y pérdidas financieras. Manténgase alerta, comparta estas prácticas con su equipo y consulte fuentes confiables para actualizar sus controles de seguridad.
