Instalaste Daemon Tools… y también malware: el ataque que afectó a miles de PCs
La aplicación distribuyó instaladores oficiales infectados desde su propia web durante semanas
El problema no era una web falsa. Era la oficial.
Investigadores de Kaspersky descubrieron que Daemon Tools, una de las herramientas más conocidas para montar imágenes de disco en Windows, estuvo distribuyendo malware directamente desde sus instaladores legítimos.
La campaña permaneció activa durante gran parte de abril y afectó a miles de ordenadores en más de 100 países.
Lo más preocupante es que las infecciones no dependían de software pirata ni descargas sospechosas. Los usuarios instalaban versiones oficiales firmadas digitalmente desde la propia página del desarrollador.
Un ataque de cadena de suministro
Todo apunta a un ataque de supply chain, una de las técnicas más peligrosas dentro de la ciberseguridad moderna.
Los atacantes lograron introducir una puerta trasera dentro de varios binarios incluidos en Daemon Tools entre las versiones 12.5.0.2421 y 12.5.0.2434.
Dato clave: el malware estaba integrado dentro de instaladores legítimos firmados digitalmente.
Eso hacía extremadamente difícil detectar el riesgo en una primera fase.
Una vez instalado, el malware se ejecutaba automáticamente al iniciar Windows y comenzaba a comunicarse con servidores controlados por los atacantes.
Qué hacía el malware
La primera fase de la infección estaba diseñada para recopilar información del sistema comprometido.
- Direcciones MAC
- Nombres DNS y host
- Configuración regional
- Programas instalados
- Procesos activos
Posteriormente, los atacantes podían descargar cargas adicionales y ejecutar comandos remotos.
Esto elevaba el riesgo desde una simple recopilación de datos hasta espionaje o control total del sistema.
Los objetivos más sensibles
Aunque miles de equipos fueron infectados en la primera fase, Kaspersky detectó ataques avanzados únicamente en una docena de sistemas concretos.
Entre ellos había:
- Gobiernos
- Instituciones científicas
- Empresas industriales
- Compañías del sector retail
Esto sugiere una operación selectiva con objetivos de alto valor.
Lo que nadie está explicando
El ataque funciona porque explota la confianza.
Durante años, la recomendación básica de seguridad fue clara: “descarga software solo desde la web oficial”.
El problema es que los ataques modernos ya están comprometiendo precisamente esos canales legítimos.
La firma digital, el dominio oficial y la reputación del software ya no garantizan seguridad absoluta.
Eso cambia completamente el modelo de confianza tradicional.
Quién está detrás
Por ahora no existe atribución oficial.
Kaspersky detectó elementos escritos en chino dentro del código malicioso, aunque advierte que esto podría ser una falsa pista deliberada.
Contexto: muchos grupos avanzados introducen rastros falsos para dificultar la atribución real del ataque.
Qué deben hacer los usuarios
Si tienes instalado Daemon Tools, las recomendaciones son claras:
- Comprobar inmediatamente la versión instalada
- Actualizar a la versión 12.6.0.2445 o posterior
- Ejecutar un análisis completo del sistema
- Revisar actividad sospechosa o conexiones extrañas
Tener instalada una versión vulnerable no garantiza infección activa, pero sí aumenta significativamente el riesgo.
Conclusión: El caso de Daemon Tools demuestra que los ataques modernos ya no necesitan páginas falsas ni cracks sospechosos para infectar sistemas. Ahora el objetivo son los canales oficiales y la confianza del usuario. Cuando incluso el software legítimo puede convertirse en una puerta trasera, la ciberseguridad entra en una fase completamente distinta. ¿Cómo distinguir una descarga segura cuando el propio proveedor ha sido comprometido?
