Una nueva y sofisticada campaña de phishing está atacando a creadores de contenido en YouTube, utilizando videos generados por inteligencia artificial que suplantan al CEO Neil Mohan para engañar a las víctimas. Los ciberdelincuentes están empleando técnicas avanzadas de deepfake para crear mensajes aparentemente oficiales sobre cambios en las políticas de monetización de la plataforma.
Metodología del ataque y señales de alerta
Los atacantes envían correos electrónicos que dirigen a los creadores hacia supuestos videos privados con información urgente. La campaña se caracteriza por imitar meticulosamente el estilo de comunicación oficial de YouTube, incluyendo advertencias sobre el uso de videos privados, paradójicamente utilizando este mismo método para distribuir el engaño.
Infraestructura técnica del fraude
El vector de ataque principal utiliza el dominio fraudulento studio.youtube-plus[.]com, que replica la interfaz de YouTube Studio. Los ciberdelincuentes han diseñado una página de inicio de sesión falsa que captura las credenciales de las víctimas, presentando posteriormente una falsa verificación del canal y amenazando con restricciones si no se aceptan las supuestas nuevas políticas.
Impacto y consecuencias documentadas
Según informes de Bleeping Computer, numerosos creadores han perdido el control de sus canales debido a esta campaña. Los atacantes típicamente reconvierten los canales comprometidos en plataformas para realizar estafas relacionadas con criptomonedas, aprovechando la confianza de los suscriptores en los creadores originales.
Medidas preventivas esenciales
Los expertos en seguridad de YouTube recomiendan implementar las siguientes medidas de protección:
– Activar la autenticación de dos factores
– Verificar cuidadosamente las URLs antes de ingresar credenciales
– Recordar que YouTube nunca solicita acciones urgentes mediante videos privados
– Mantener actualizado el software y sistemas de seguridad
Este incidente marca un punto de inflexión en la evolución de las amenazas cibernéticas, donde la integración de tecnologías de IA en ataques de ingeniería social está creando escenarios cada vez más convincentes. La situación exige que tanto usuarios como plataformas eleven sus estándares de seguridad y mantengan una vigilancia constante ante estas amenazas emergentes.