Windows: esta aplicación la tienen muchos en su PC y podría esconder una amenaza silenciosa
Un informe de Kaspersky reveló que versiones oficiales de una popular herramienta para Windows distribuyeron malware sin que los usuarios lo advirtieran.
Daemon Tools quedó bajo alerta tras distribuir versiones oficiales comprometidas con malware desde su sitio.
Imagen generada por la IAUna aplicación conocida por millones de usuarios de Windows quedó en el centro de una alerta global de ciberseguridad. Se trata de Daemon Tools, la herramienta utilizada desde hace años para crear unidades virtuales y montar imágenes de disco en las PC. Según un informe de Kaspersky, algunas versiones oficiales del programa fueron comprometidas con malware y distribuidas desde el propio sitio legítimo de la aplicación.
El caso encendió las alarmas porque no se trató de una descarga falsa ni de un instalador modificado por terceros. Los archivos infectados estaban firmados digitalmente por los desarrolladores y llegaron a los usuarios a través de canales oficiales. Eso convirtió al incidente en un ejemplo claro de ataque a la cadena de suministro, una modalidad en la que los ciberdelincuentes comprometen software legítimo para alcanzar a miles de equipos sin despertar sospechas.
Qué versiones de Daemon Tools fueron afectadas
De acuerdo con los investigadores, las versiones comprometidas de Daemon Tools fueron desde la 12.5.0.2421 hasta la 12.5.0.2434. El ataque fue detectado a comienzos de abril y alcanzó a PC en más de 100 países. Luego del hallazgo, la compañía desarrolladora publicó la actualización 12.6.0.2445, que ya no contiene los componentes maliciosos detectados.
El punto más preocupante es el método utilizado. Como las descargas provenían del sitio oficial y estaban firmadas correctamente, muchos usuarios pudieron instalar el programa sin notar ninguna señal extraña. En este tipo de ataques, la confianza en una marca reconocida se convierte en la puerta de entrada para el malware.
Daemon Tools mantiene una base de uso amplia, con más de tres millones de usuarios mensuales, según sus propios desarrolladores. Esa popularidad explica por qué el incidente tuvo impacto internacional y despertó preocupación entre especialistas.
Qué podía hacer el malware en una PC infectada
Kaspersky explicó que los atacantes comprometieron tres archivos binarios ubicados dentro del directorio de instalación del software. Estos componentes se ejecutaban de manera automática cada vez que la computadora se iniciaba.
Una vez activo, el malware establecía comunicación silenciosa con un servidor remoto controlado por los atacantes. Desde allí, los ciberdelincuentes podían enviar instrucciones, descargar nuevas cargas maliciosas y ejecutar comandos sobre los equipos afectados.
En una primera fase, el software malicioso recolectaba información del sistema. Entre los datos obtenidos figuraban direcciones MAC, nombres de host, configuraciones regionales, programas instalados y procesos activos. Aunque miles de computadoras fueron alcanzadas, Kaspersky detectó que solo una docena de dispositivos pasó a una segunda etapa más avanzada.
Ese grupo reducido incluía equipos de gobiernos, organizaciones científicas y compañías de los sectores manufacturero y retail. En esos casos, los atacantes lograron capacidades más peligrosas, como descargar archivos adicionales, ejecutar código remoto y controlar funciones del sistema.
Qué deben hacer los usuarios de Windows
Por ahora, no se conoce oficialmente quién estuvo detrás del ataque. Los investigadores encontraron componentes escritos en chino dentro del malware, aunque aclararon que ese dato no permite atribuir el origen de la operación. También podría tratarse de una maniobra para confundir el análisis.
La recomendación principal para quienes tengan Daemon Tools instalado es revisar la versión del programa. Si corresponde a alguna de las afectadas, conviene actualizar de inmediato a la versión 12.6.0.2445 o superior y realizar un análisis completo del sistema con una herramienta de seguridad confiable.
También es aconsejable revisar procesos activos, conexiones desconocidas y programas instalados recientemente, especialmente si la PC fue utilizada durante abril. El caso deja una advertencia concreta: incluso una aplicación legítima y descargada desde su sitio oficial puede transformarse en un riesgo cuando los atacantes logran infiltrarse en la cadena de distribución.