{"id":28026,"date":"2025-04-20T21:55:27","date_gmt":"2025-04-21T03:55:27","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28026"},"modified":"2025-04-20T21:55:27","modified_gmt":"2025-04-21T03:55:27","slug":"what-happens-if-you-download-cracked-program","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/what-happens-if-you-download-cracked-program\/28026\/","title":{"rendered":"\u00bfQu\u00e9 pasa si descargo un programa crackeado?"},"content":{"rendered":"

\u00bfQu\u00e9 haces cuando necesitas un programa, pero a\u00fan no puedes comprar la licencia oficial? Respuesta correcta: \u201cUtilizar la versi\u00f3n de prueba\u201d<\/em> o \u201cEncontrar una alternativa gratuita\u201d.<\/em> Respuesta incorrecta: \u201cBuscar una versi\u00f3n crackeada en Internet\u201d.<\/em><\/p>\n

Se sabe que existen fuentes alternativas poco fiables que ofrecen versiones crackeadas del software, adem\u00e1s de otras sorpresas<\/em>. Despu\u00e9s de haber navegado por sitios repletos de anuncios, puede que obtengas el programa que deseas (generalmente sin futuras actualizaciones y funcionalidad de red), pero con un minero, un ladr\u00f3n o cualquier otra cosa incluida por si acaso.<\/p>\n

Bas\u00e1ndonos en ejemplos de la vida real, explicamos por qu\u00e9 debes evitar los sitios que ofrecen descargas instant\u00e1neas de programas muy solicitados.<\/p>\n

Minero y ladr\u00f3n en SourceForge<\/h2>\n

SourceForge fue alguna vez el sitio m\u00e1s grande para todo lo relacionado con c\u00f3digo abierto. En cierto sentido fue el precursor de GitHub. Pero no pienses que SourceForge est\u00e1 muerto: hoy ofrece servicios de alojamiento y distribuci\u00f3n de software. En su portal de software hay m\u00faltiples proyectos, subidos por cualquier persona que lo desee.<\/p>\n

Y, al igual que con GitHub<\/a>, este cosmopolitismo es lo que constituye un obst\u00e1culo para la seguridad de alto nivel. Consideremos solo un ejemplo: nuestros expertos encontraron en SourceForge un proyecto llamado officepackage<\/em>. A primera vista, parece inofensivo: descripci\u00f3n clara, nombre sensato e incluso una rese\u00f1a positiva.<\/p>\n

P\u00e1gina de \"Officepackage\" en SourceForge<\/a>

P\u00e1gina de \u201cOfficepackage\u201d en SourceForge<\/p><\/div>\n

Pero \u00bfqu\u00e9 sucede si te decimos que la descripci\u00f3n y los archivos fueron copiados directamente de un proyecto no relacionado en GitHub? Las alarmas ya est\u00e1n sonando. Dicho esto, no entra ning\u00fan malware a tu ordenador cuando haces clic en el bot\u00f3n Descargar<\/strong>: el proyecto est\u00e1 aparentemente limpio. Al parecer, es porque la carga maliciosa no se ha distribuido directamente a trav\u00e9s del proyecto officepackage<\/em>, sino a trav\u00e9s de la p\u00e1gina web asociada a \u00e9l. \u00bfC\u00f3mo es esto posible?<\/p>\n

El hecho es que cada proyecto creado en SourceForge obtiene su propio nombre de dominio y alojamiento en sourceforge.io<\/em>. Entonces, a un proyecto llamado officepackage<\/em> se le proporciona una p\u00e1gina web en officepackage.sourceforge[.]io. <\/em>Estas p\u00e1ginas son f\u00e1cilmente indexables por los motores de b\u00fasqueda y aparecen en los primeros lugares de los resultados de b\u00fasqueda. As\u00ed es como los atacantes atraen a sus v\u00edctimas.<\/p>\n

Al visitar officepackage.sourceforge[.]io<\/em> desde un motor de b\u00fasqueda, los usuarios eran llevados a una p\u00e1gina que ofrec\u00eda descargas de casi cualquier versi\u00f3n del paquete Microsoft Office. Pero, como siempre, el diablo est\u00e1 en los detalles: si pasabas el cursor sobre el bot\u00f3n Descargar<\/strong>, la barra de estado del navegador mostraba un enlace a https[:]\/\/loading.sourceforge[.]io\/download<\/em>. \u00bfHas visto la trampa? El nuevo enlace no tiene nada que ver con officepackage<\/em>; la carga<\/em> es un proyecto completamente diferente.<\/p>\n

El bot\u00f3n \"Descargar\" de la p\u00e1gina \"officepackage\" en el portal de software SourceForge conduce a un proyecto completamente diferente.<\/a>

El bot\u00f3n \u201cDescargar\u201d de la p\u00e1gina \u201cofficepackage\u201d en el portal de software SourceForge conduce a un proyecto completamente diferente.<\/p><\/div>\n

Adem\u00e1s, despu\u00e9s de hacer clic, los usuarios eran redirigidos no a la p\u00e1gina del proyecto de carga<\/em>, sino a otro sitio intermediario con otro bot\u00f3n de Descarga<\/strong>. Y solo despu\u00e9s de hacer clic aqu\u00ed, el usuario, cansado de navegar, finalmente recib\u00eda un archivo: un archivo comprimido llamado vinstaller.zip<\/em>. Dentro hab\u00eda otro archivo comprimido y dentro de este segundo archivo hab\u00eda un instalador malicioso de Windows.<\/p>\n

En el coraz\u00f3n de esta malvada mu\u00f1eca rusa hab\u00eda dos cosas desagradables: en lugar de productos de Microsoft, se liberaban un minero y ClipBanker (un malware para sustituir direcciones de carteras de criptomonedas en el portapapeles) en el dispositivo de la v\u00edctima despu\u00e9s de ejecutar el instalador. Para conocer m\u00e1s detalles sobre el esquema de infecci\u00f3n, consulta la versi\u00f3n completa del estudio en nuestro blog Securelist<\/a>.<\/p>\n

Instalador malicioso de TookPS camuflado de software leg\u00edtimo<\/h2>\n

Los ciberdelincuentes no se limitan a SourceForge y GitHub<\/a>. En otro caso reciente descubierto por nuestros expertos, se ha revelado que los atacantes distribu\u00edan el descargador malicioso TookPS, que ya conoc\u00edamos por los clientes falsos DeepSeek y Grok<\/a>, utilizando sitios web falsos con descargas gratuitas de software especializado. Descubrimos toda una serie de sitios de este tipo que ofrecen a los usuarios versiones crackeadas<\/a> de UltraViewer, AutoCAD, SketchUp y otros programas profesionales populares, lo que significa que el ataque estaba dirigido no solo a usuarios dom\u00e9sticos, sino tambi\u00e9n a profesionales aut\u00f3nomos y organizaciones. Entre otros archivos maliciosos detectados se encontraban los nombres Ableton.exe<\/em> y QuickenApp.exe<\/em>, supuestas versiones de las famosas aplicaciones de creaci\u00f3n musical y gesti\u00f3n de dinero.<\/p>\n

\"P\u00e1ginas<\/a>

P\u00e1ginas falsas que distribuyen TookPS<\/p><\/div>\n

Por medios indirectos, el instalador hab\u00eda descargado dos puertas traseras<\/a> en el dispositivo de la v\u00edctima: Backdoor.Win32.TeviRat<\/strong> y Backdoor.Win32.Lapmon<\/strong>. Consulta otra publicaci\u00f3n de Securelist<\/a> para descubrir exactamente c\u00f3mo hab\u00eda llegado el malware al dispositivo de la v\u00edctima. Mediante el malware, los atacantes obtuvieron acceso completo al ordenador de la v\u00edctima.<\/p>\n

C\u00f3mo protegerse<\/h2>\n

En primer lugar, no descargues software pirateado. De ninguna manera. Nunca. Un programa pirateado puede ser tentadoramente gratuito y estar disponible al instante, pero el precio que pagar\u00e1s no se medir\u00e1 en dinero, sino en datos: los tuyos. Y no, eso no significa fotos familiares y charlas con amigos. Los ciberdelincuentes est\u00e1n detr\u00e1s de tus billeteras de criptomonedas, detalles de tarjetas de pago, contrase\u00f1as de cuentas e incluso los recursos de tu ordenador para minar criptomonedas.<\/p>\n

Aqu\u00ed hay una lista de reglas que recomendamos para cualquiera que use SourceForge, GitHub<\/a> y otros portales de software.<\/p>\n