Campaña WeedHack infectó más de 116,000 sistemas mediante contenido pirata de Minecraft
Qué está pasando
WeedHack es una campaña de malware activa desde enero de 2026 que distribuye software malicioso disfrazado de clientes y modificaciones (mods) de Minecraft. La campaña usa YouTube como canal principal de distribución. A la fecha, más de 116,000 sistemas han sido infectados. El malware toma control del equipo de la víctima. Una variante paralela, CountLoader, ha afectado a más de 86,000 usuarios adicionales distribuyendo mineros de criptomonedas.
Por qué importa ahora
El vector de WeedHack —descargar software de fuentes no oficiales para ahorrar costos o acceder a contenido premium gratis— no es exclusivo de Minecraft. Es el mismo vector que usan campañas de malware dirigidas a empresas. En México, el uso de software no licenciado en PyMEs sigue siendo alto. La línea entre equipo personal y equipo de trabajo ya no existe en muchas organizaciones: el mismo equipo que usa alguien para jugar puede ser el que usa para conectarse a los sistemas de la empresa.
Quién está expuesto
Personas
Jugadores de Minecraft que descargan mods, clientes alternativos o contenido de fuentes no oficiales, especialmente a través de videos de YouTube que prometen instalaciones gratuitas o versiones premium sin costo.
Organizaciones
Empresas cuyos empleados usan los mismos equipos para trabajo y entretenimiento, o donde se permite la instalación de software no corporativo en equipos con acceso a sistemas internos. Un equipo infectado en casa que se conecta a la VPN corporativa lleva el malware dentro del perímetro de la organización.
Riesgo principal
Que un equipo de uso mixto infectado con WeedHack sirva como punto de entrada a la red o los sistemas de la empresa, a través de VPN o acceso remoto, comprometiendo información corporativa o habilitando movimiento lateral dentro de la organización.
Señales de alerta
- Sin política sobre uso de equipos personales para acceso a sistemas corporativos
- Sin control de qué software pueden instalar empleados en equipos con acceso a VPN
- Empleados que instalan software de fuentes no verificadas en equipos con acceso a trabajo
Qué hacer hoy
Para personas
No descargues mods, clientes alternativos ni contenido de Minecraft de fuentes no oficiales. Si ya descargaste algo de ese tipo recientemente, escanea el equipo con un antivirus actualizado. Si ese equipo tiene acceso a sistemas de trabajo, notifica a TI.
Para organizaciones
Revisar si existen empleados que usan equipos personales o mixtos para acceder a sistemas corporativos. Establecer una política clara de software autorizado para equipos con acceso a VPN o sistemas internos. Incluir en la capacitación de seguridad el riesgo del software pirata como vector de ataque.
Controles GRC que aplica
- Política de uso aceptable de equipos
- Control de inventario de software
- Segmentación de red
- Gestión de accesos remotos
Decisión recomendada
Revisar la política de acceso remoto: ¿qué controles aplican a equipos personales o mixtos que se conectan a sistemas corporativos? Si no hay criterios definidos, establecerlos. El software pirata como vector de ataque debe ser parte del programa de concienciación de seguridad.