Alerta global: miles de usuarios descargaron DAEMON Tools con malware sin saberlo

Un nuevo ataque de ciberseguridad a gran escala ha puesto en alerta a expertos de todo el mundo. Investigadores han descubierto que instaladores oficiales de DAEMON Tools fueron comprometidos en una sofisticada campaña en la que versiones legítimas del programa fueron distribuidas con malware integrado sin que los usuarios lo supieran.

Según los análisis publicados por firmas de seguridad como Kaspersky, el incidente habría comenzado a principios de abril de 2026, afectando a varias versiones del popular software de emulación de discos. Durante este periodo, los instaladores infectados fueron distribuidos desde canales oficiales y firmados con certificados digitales válidos, lo que dificultó su detección inicial y aumentó la confianza de los usuarios al descargarlo.

Los atacantes habrían modificado varios componentes internos del programa, incluyendo procesos clave del sistema, para incorporar una puerta trasera capaz de ejecutarse automáticamente al iniciar el equipo. Esta técnica permitía establecer comunicación con servidores externos controlados por los ciberdelincuentes, abriendo la puerta a la ejecución remota de comandos y al robo de información del sistema infectado.

El malware desplegado en esta campaña no actuaba de forma aleatoria. En una primera fase, recopilaba datos básicos del sistema, como configuraciones de red, software instalado o identificadores del dispositivo. Esta información era enviada a los atacantes para perfilar las máquinas comprometidas y decidir cuáles podían ser objetivo de ataques más avanzados.

En algunos casos detectados, los sistemas infectados recibieron una segunda fase de malware más sofisticado, capaz de ejecutar instrucciones directamente en memoria, descargar archivos adicionales y manipular procesos legítimos del sistema operativo. Incluso se ha identificado el uso de herramientas avanzadas de acceso remoto utilizadas habitualmente en operaciones de espionaje digital.

Los investigadores han detectado infecciones en miles de dispositivos distribuidos en más de un centenar de países, con especial impacto en regiones como Europa, América Latina y Asia. Aunque la mayoría de los usuarios afectados solo habría recibido la primera fase del ataque, una parte menor de los sistemas comprometidos pertenecería a organizaciones de sectores estratégicos como la industria, la investigación o el ámbito gubernamental.

Uno de los aspectos más preocupantes del ataque es el uso de dominios falsos que imitaban páginas oficiales del software, lo que reforzaba la apariencia de legitimidad del proceso de descarga. Esto, combinado con certificados válidos, permitió que muchos antivirus y sistemas de seguridad no detectaran la amenaza en sus primeras fases.

Las recomendaciones de los expertos pasan por revisar instalaciones realizadas desde abril de 2026, monitorizar actividad sospechosa en el sistema y evitar la ejecución de procesos desconocidos desde carpetas temporales.