Google borró unos 3.000 videos-malware en YouTube que se hacían pasar por trucos de Roblox
Check Point detectó una red que, con cuentas secuestradas y comentarios falsos, distribuía infostealers como Rhadamanthys y Lumma desde enlaces en nube pública.
Google eliminó más de 3.000 videos de YouTube que disfrazaban malware como tutoriales para obtener software crackeado y “trucos” de Roblox.
RobloxGoogle eliminó más de 3.000 videos de YouTube que disfrazaban malware como tutoriales para obtener software crackeado y “trucos” de Roblox. La campaña, identificada como YouTube Ghost Network, se apoyaba en cuentas legítimas comprometidas para ganar credibilidad. Según publicó el medio The Register y a partir de una investigación de Check Point, la operación llevaba activa desde 2021 y se intensificó en 2025, triplicando el volumen de publicaciones maliciosas.
El mecanismo explotaba dinámicas propias de la plataforma: algunos perfiles subían los videos, otros inundaban la sección de comentarios con elogios y emojis, y un tercer grupo difundía enlaces y contraseñas en la pestaña "Comunidad". El resultado era un ecosistema que imitaba señales de “popularidad” —miles de vistas y comentarios positivos— y empujaba a los usuarios a descargar archivos desde servicios como Dropbox, Google Drive o MediaFire.
Te Podría Interesar
Malware, señuelos y números que preocupan
Los videos prometían versiones gratuitas de programas conocidos —Photoshop, FL Studio, Microsoft Office o Lightroom— y, sobre todo, trucos para Roblox, el mayor anzuelo por el tamaño de su comunidad, con unos 380 millones de jugadores activos al mes. Antes de instalar, muchos pedían desactivar el antivirus, un clásico indicio de riesgo. Dentro del ZIP no había software funcional. En su lugar se escondían infostealers como Rhadamanthys o Lumma, diseñados para capturar contraseñas, billeteras de criptomonedas e información del sistema, y enviarla de forma silenciosa a servidores controlados por los atacantes.
La escala del montaje quedó reflejada en casos concretos. Un canal secuestrado con 129.000 suscriptores publicó un falso instalador de Photoshop que rozó las 300.000 visualizaciones y superó el millar de “me gusta”. En paralelo, se detectaron redirecciones a páginas de phishing alojadas en Google Sites dirigidas a usuarios de criptoactivos. Check Point advierte que los operadores rotaban con frecuencia enlaces y cargas maliciosas para evadir los bloqueos, replicando un patrón visto en otra operación apodada “Stargazers Ghost Network” en GitHub.
Qué cambia para usuarios y para la plataforma
El caso exhibe un desplazamiento en las rutas del malware. Si antes dominaba el phishing por correo, hoy los atacantes aprovechan plataformas masivas donde las señales sociales pueden confundirse con confianza. Como subraya el investigador Eli Smadja, un video con apariencia “popular” puede ser tan peligroso como un email de phishing. La colaboración entre Google y Check Point desarticuló esta iteración de la "Ghost Network", pero la mecánica —aprovechar engagement, cuentas reales comprometidas y hosts legítimos— sigue disponible para quien intente reproducirla.
Para el usuario, la conclusión es concreta. Desconfiar de “cracks”, generadores de licencias y supuestos trucos que exigen desactivar defensas. Verificar la legitimidad del canal y su historial de publicaciones. Evitar descargar ejecutables desde enlaces en descripciones o comentarios, incluso si se alojan en servicios conocidos. Mantener antivirus actualizado, activar doble factor y separar navegación/juego de activos financieros en equipos distintos cuando sea posible.
Para YouTube, el desafío es doble. Por un lado, reforzar detección y respuesta frente a redes coordinadas que manipulan métricas sociales. Por otro, proteger a creadores para reducir secuestros de canales, con alertas de sesión, revisiones de permisos y flujos de recuperación más veloces.