El robo de cuentas de YouTube, especialmente de creadores de contenido, se ha convertido en una práctica tan común como riesgosa. Los cibercriminales buscan hackear las cuentas para distribuir malware del tipo infostealer una vez que logran acceder a ellas.
A continuación, se detallarán las estrategias utilizadas por los actores maliciosos para obtener estas cuentas, las consecuencias para las víctimas y los pasos a seguir en caso de que tu cuenta haya sido comprometida.
¿Cómo le hacen los ciberdelincuentes para robar las cuentas de YouTube?
El principal método de ataque son los correos de phishing. Los hackers envían un correo electrónico tentador al creador de contenido, ofreciéndole algún tipo de acuerdo, como patrocinar o promocionar la cuenta. Adjuntan un archivo falso en DropBox que contiene los detalles de las condiciones comerciales.
Ese archivo contendrá malware del tipo infostealer, lo que permitirá al atacante obtener las credenciales de acceso de la cuenta objetivo, incluido el 2FA, por ejemplo.
Imagen 1.
Ejemplo de mail de phishing que le llega a un creador de contenido. Fuente: The PC Security Channel.
El infostealer contiene un script que elimina las cookies del dispositivo, forzando al usuario a reintroducir las credenciales de la cuenta, momento en el cual enviará la información al ciberdelincuentes.
Ya con las credenciales de la cuenta en su poder, los ciberdelincuentes la utilizan para distribuir malware, muchas veces compartiendo contenido que nada tiene que ver con la cuenta original y borrando todo el material antiguo.
Para la persona afectada, las repercusiones pueden ir desde el cierre del canal, la desmonetización de sus vídeos, hasta la pérdida de seguidores. Este impacto económico significativo también puede resultar en la disminución de la credibilidad y confianza en el canal.
Canales de YouTube que han sido comprometidos.
Desafortunadamente, existen numerosos casos de cuentas que han sido comprometidas mediante ese método. El Centro de Inteligencia de Seguridad de AhnLab (ASEC) ha identificado un aumento preocupante en los ciberdelincuentes que obtienen acceso a las credenciales de canales populares de YouTube para distribuir malware como Vidar y LummaC2.
En todos los casos mencionados por ASEC, se observa una táctica común por parte de los atacantes: la inclusión de un enlace de descarga (comprometido, por supuesto) en la descripción o en los comentarios de un video que promociona versiones piratas de programas como Adobe.
Imagen 2.
Compilado de enlaces maliciosos ubicados en la descripción y/o comentarios de vídeos de YouTube. Fuente: ASEC
Los cibercriminales también se benefician de los canales de YouTube que promocionan videojuegos pirateados o crackeados. En estas plataformas, los hackers utilizan enlaces en las descripciones de los videos que, en realidad, redirigen a las víctimas a sitios que distribuyen malware, como Vidar, StealC y Lumma Stealer.
El hackeo de cuentas de YouTube para la posterior distribución de malware no es algo nuevo, ya que suele ser muy utilizado para distribuir malware a través de descargas de software, películas, tutoriales, contenido vinculado a criptomonedas, cheats para juegos o aplicaciones.
La marca de ciberseguridad ESET ha examinado este problema anteriormente en WeLiveSecurity, donde hemos compartido campañas que roban cuentas de Google y crean numerosos canales en YouTube en cuestión de minutos para distribuir troyanos como RedLine Stealer y Racoon Stealer.
La complejidad de esta situación radica en que estos programas maliciosos se mantienen ocultos en el equipo infectado con el fin de recopilar contraseñas e información bancaria almacenada en el navegador. Además, tienen la capacidad de llevar a cabo otras acciones en el equipo, como tomar capturas de pantalla.
En 2023, WeLiveSecurity informó sobre un caso en el que un usuario fue afectado por un malware infostealer al hacer clic en un enlace malicioso compartido en un canal comprometido.
La persona descargó un crack de un conocido programa de la suite de Adobe desde YouTube y resultó infectada con un malware que comprometió sus cuentas de Instagram, Facebook, Twitter, Hotmail, Twitch y Steam.
Imagen 3.
Video en YouTube ofrece un crack que descarga el troyano RedLine.
Aunque en algunas cuentas comprometidas el software malicioso realizó publicaciones en nombre del usuario, las contraseñas no habían sido cambiadas, lo que permitió a la víctima conservar el acceso. De esta manera, pudo cambiar rápidamente las contraseñas y habilitar la autenticación de dos pasos.
¿Qué pasos seguir si tu cuenta fue hackeada?
Dado que el robo de cuentas de YouTube es cada vez más frecuente, el equipo de soporte de Google ha publicado información sobre cómo detectar señales de que una cuenta ha sido comprometida y qué medidas tomar si se es víctima de un hackeo.
Google sugiere esto si la cuenta de un usuario ha sido comprometida.
El primer paso para recuperar la cuenta de Google hackeada relacionada con el canal de YouTube es cambiar la contraseña, activar la autenticación de doble factor y actualizar la información.
Después, es el momento de deshacer los cambios no deseados que el actor malicioso haya podido realizar en el canal de YouTube. Esto es fundamental para prevenir posibles violaciones de derechos de autor o de las Normas de la Comunidad.
Si el canal se cerró tras un hackeo de la cuenta, una vez que recuperes tu cuenta de Google, recibirás un correo con instrucciones sobre cómo apelar el cierre del canal.
Google ofrece un equipo de asistencia exclusivo para los creadores de YouTube que forman parte del Programa de socios de YouTube.
