Photoshop falso — 300.000 visualizaciones. Cómo YouTube se ha convertido en la principal plataforma para distribuir malware

En el contexto de la disminución de la eficacia de los canales tradicionales de distribución de software malicioso, ciberdelincuentes cada vez más recurren a plataformas que originalmente no estaban pensadas para esos fines. El equipo de Check Point Research descubrió una gran red distribuida de cuentas maliciosas en YouTube denominada YouTube Ghost Network. Este sistema funciona como una infraestructura completa de distribución de software malicioso, utilizando cuentas falsas y comprometidas para subir vídeos, publicar enlaces y generar una falsa participación por parte de la audiencia.

El análisis identificó más de 3000 vídeos que distribuían programas maliciosos haciéndose pasar por juegos pirateados o por versiones no oficiales de aplicaciones populares. Los instaladores falsos de Adobe Photoshop y FL Studio fueron los más comunes; uno de ellos acumuló casi 300 000 visualizaciones. Según los investigadores, la actividad de la red se detecta desde 2021, pero en 2025 el número de vídeos maliciosos subidos se triplicó respecto a años anteriores. Este aumento indica la ampliación de la campaña y su creciente eficacia.

La red funciona con una división de roles. Las cuentas se dividen en tres tipos: unas publican vídeos con enlaces maliciosos, otras colocan contraseñas y archivos comprimidos en la sección «Comunidad», y otras generan una apariencia de confianza comentando y dando «me gusta» al contenido malicioso. Los enlaces usados suelen apuntar a servicios de intercambio de archivos de terceros o a páginas de phishing disfrazadas de servicios legítimos. Con frecuencia se emplean URL acortadas y archivos comprimidos protegidos por contraseña; estos métodos dificultan la verificación automática por parte de las soluciones de seguridad.

Entre los programas maliciosos detectados predominan programas infostealer especializados en el robo de credenciales. Hasta la primavera de 2025, la red distribuía con más frecuencia Lumma Stealer, pero tras su retirada temporal el protagonismo pasó a Rhadamanthys. Sus versiones recientes siguen siendo subidas haciéndose pasar por programas populares, incluso mediante canales pirateados conocidos. Un ejemplo es una cuenta de YouTube con decenas de miles de suscriptores a través de la cual se distribuyeron copias falsas de Adobe Photoshop y Premiere Pro con un nivel mínimo de detección por parte de los antivirus.

Una característica de Ghost Network es su resistencia a los bloqueos. Incluso si se eliminan cuentas individuales, rápidamente aparecen otras en su lugar y la estructura de la red sigue operativa. El cambio de servidores de control, las actualizaciones regulares de los archivos maliciosos y el uso de un gran número de canales de distribución simultáneos hacen que esas campañas sean extremadamente resistentes y difíciles de detectar.

Según los autores del informe, estos esquemas explotan disparadores psicológicos de confianza —desde comentarios con reseñas positivas hasta instrucciones paso a paso para la «instalación» que recomiendan desactivar temporalmente el antivirus. La audiencia principal sigue siendo jugadores interesados en trampas y usuarios que buscan versiones pirateadas de software. Con especial frecuencia son atacados los aficionados a Roblox y los usuarios de productos de Adobe, incluidos Photoshop, Lightroom y Premiere.

Los resultados de la investigación ya permitieron bloquear miles de vídeos maliciosos; sin embargo, el equipo subraya que la resiliencia de estas redes exige atención continua y la coordinación de esfuerzos entre analistas de seguridad, plataformas y fuerzas de seguridad. Además de las medidas técnicas, sigue siendo importante informar a los usuarios sobre los riesgos asociados a fuentes no oficiales de software.