Por Canuto Kaspersky aseguró haber detectado una puerta trasera maliciosa en Daemon Tools, uno de los programas más conocidos para montar imágenes de disco en Windows. La firma sostiene que el ataque sigue activo, podría afectar a miles de computadoras y apunta a una nueva escalada en los ataques a la cadena de suministro de software.
***
- Kaspersky dijo que identificó una backdoor en Daemon Tools y describió la campaña como un ataque “generalizado”.
- La firma vinculó el malware con un grupo de habla china y aseguró que ya se usó para comprometer sistemas en Rusia, Bielorrusia y Tailandia.
- Disc Soft, empresa detrás de Daemon Tools, afirmó que investiga el reporte y que trata el caso con la máxima prioridad.
La firma de ciberseguridad Kaspersky dijo haber identificado una puerta trasera maliciosa en Daemon Tools, un veterano programa para crear y montar imágenes de disco en Windows. Según la compañía, el incidente forma parte de un ataque a la cadena de suministro que sigue activo y que podría haber expuesto a miles de computadoras.
El caso vuelve a poner sobre la mesa un problema cada vez más relevante en la industria del software. En este tipo de ataques, los actores maliciosos no apuntan primero al usuario final, sino al desarrollador o al canal de distribución del programa, con el objetivo de insertar código dañino dentro de una aplicación legítima y ampliamente usada.
De acuerdo con TechCrunch, Kaspersky sostuvo que los datos recopilados desde equipos que ejecutan su antivirus muestran una campaña “generalizada” dirigida a miles de computadoras Windows que utilizan Daemon Tools. La empresa también afirmó que la puerta trasera se detectó por primera vez el 8 de abril.
Qué encontró Kaspersky en Daemon Tools
Kaspersky señaló que la backdoor fue introducida en el popular software de Disc Soft. El hallazgo no se limitó a una alerta aislada, sino que, según la compañía, forma parte de una operación más amplia con alcance internacional.
La empresa rusa dijo que los atacantes usaron esa puerta trasera para instalar malware adicional en una docena de computadoras. Entre los sectores afectados mencionó organizaciones minoristas, científicas y manufactureras, además de sistemas gubernamentales.
La firma precisó que el compromiso de esas computadoras concretas implicó un esfuerzo “dirigido”. Es decir, aunque la distribución del software contaminado tendría un alcance mucho más amplio, los atacantes habrían seleccionado ciertos objetivos para profundizar la intrusión y desplegar cargas maliciosas extra.
Las organizaciones señaladas por Kaspersky están ubicadas en Rusia, Bielorrusia y Tailandia. Hasta ahora, el reporte no aporta una cifra exacta de equipos efectivamente comprometidos más allá de esa docena de casos donde se instaló malware adicional, aunque sí advierte sobre el riesgo para miles de sistemas Windows.
Un dato importante es que la campaña no habría terminado. Kaspersky afirmó que el ataque a la cadena de suministro “sigue activo”, lo que sugiere que los responsables todavía podrían usar el software para distribuir malware a más equipos que ejecuten Daemon Tools.
Atribución preliminar y alcance del riesgo
Kaspersky vinculó la operación con un grupo de habla china a partir de su análisis del malware. Sin embargo, el reporte citado no identifica públicamente a un grupo específico por nombre ni atribuye de forma concluyente la autoría a una entidad estatal concreta.
Este matiz es importante en ciberseguridad. La atribución técnica suele construirse con indicios como idioma, infraestructura, patrones de código o tácticas operativas, pero eso no equivale siempre a una confirmación definitiva sobre quién ordenó o ejecutó el ataque.
Aun así, la mención a actores de habla china encaja con una tendencia reciente observada por investigadores de seguridad. Los ataques a desarrolladores y cadenas de distribución de software se han vuelto más frecuentes porque permiten comprometer a muchos usuarios con una sola intrusión bien ejecutada.
En términos prácticos, un ataque de esta clase puede ser especialmente peligroso para empresas y organismos públicos. Si el código malicioso llega como parte de una actualización o instalador aparentemente legítimo, las defensas tradicionales del usuario final pueden tardar en detectar el problema.
TechCrunch comprobó el instalador y Disc Soft responde
Según el reporte de TechCrunch, ese medio descargó el instalador de Windows desde el sitio oficial de Daemon Tools. Tras comprobar el archivo con el servicio de escaneo de malware VirusTotal, el instalador parecía contener la puerta trasera mencionada por Kaspersky.
Ese detalle agrega peso a la gravedad del incidente, porque sugiere que el archivo potencialmente comprometido no circulaba solo en canales secundarios o repositorios dudosos. La verificación citada apunta a que el riesgo podía encontrarse en la vía oficial de descarga para usuarios de Windows.
Por ahora no está claro si la versión de macOS de Daemon Tools también fue comprometida. Tampoco se sabe si otras aplicaciones desarrolladas por Disc Soft están afectadas por el mismo problema.
Kaspersky dijo que se puso en contacto con Disc Soft, aunque no aclaró en ese momento si el desarrollador había respondido o si ya había tomado medidas. Posteriormente, un representante de la empresa declaró que estaban “al tanto del informe y actualmente están investigando la situación”.
La respuesta de Disc Soft añadió que su equipo trata el asunto con la máxima prioridad y trabaja activamente para evaluar y abordar el problema. La empresa señaló además que todavía no estaba en posición de confirmar los detalles específicos descritos en el informe, pero que tomaría todas las medidas necesarias para remediar cualquier riesgo potencial y garantizar la seguridad de sus usuarios.
Por qué este caso importa más allá de Daemon Tools
Para lectores menos familiarizados con el término, un ataque a la cadena de suministro ocurre cuando los atacantes comprometen una pieza confiable del ecosistema tecnológico. En lugar de ir usuario por usuario, contaminan el software, el proveedor o la infraestructura que muchos usan a diario.
Ese modelo de ataque resulta eficiente y difícil de detectar en sus primeras etapas. Si una aplicación conocida distribuye una actualización o instalador alterado, el archivo puede conservar señales de legitimidad que reduzcan la sospecha inicial de administradores, empleados o consumidores.
El caso de Daemon Tools no aparece en un vacío. TechCrunch recordó que, a comienzos de este año, hackers asociados con el gobierno chino secuestraron el popular editor de texto Notepad++ para distribuir malware a varias organizaciones con intereses en Asia Oriental.
También mencionó otro aviso de investigadores de seguridad emitido el mes pasado, relacionado con un ataque dirigido a usuarios que visitaron el sitio web de CPUID, empresa conocida por herramientas ampliamente usadas como HWMonitor y CPU-Z.
La secuencia de incidentes sugiere una presión creciente sobre programas utilitarios de alta difusión. Son aplicaciones comunes, a veces instaladas desde hace años en equipos personales y corporativos, lo que las convierte en un vehículo ideal para alcanzar muchas máquinas sin llamar demasiado la atención.
En un contexto donde la infraestructura digital sostiene operaciones financieras, industriales y gubernamentales, este tipo de brechas también importa para el mundo cripto y tecnológico en general. Un equipo comprometido por una utilidad aparentemente inocua puede convertirse en puerta de entrada para robo de credenciales, espionaje, movimiento lateral dentro de redes o sabotaje operativo.
Por eso, aunque el incidente no esté ligado directamente a Bitcoin, blockchain o exchanges, sí toca un punto crítico para cualquier usuario o empresa que dependa de software confiable para resguardar activos digitales y datos sensibles. La seguridad de la cadena de distribución sigue siendo uno de los eslabones más frágiles de la economía digital.
Hasta el momento, la información disponible se limita a lo reportado por Kaspersky, la comprobación adicional descrita por TechCrunch y la respuesta inicial de Disc Soft. No hay confirmación pública sobre cuántos usuarios finales fueron afectados, si ya se retiró el instalador comprometido o si existe una herramienta oficial de remediación.
Mientras la investigación continúa, el episodio refuerza una lección conocida en ciberseguridad: incluso el software veterano y ampliamente reconocido puede convertirse en un vector de ataque cuando los adversarios logran colarse en la cadena de suministro.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
Etsy lanza app nativa en ChatGPT y acelera su apuesta por la IA en comercio electrónico
Empresas
Elon Musk veía en Demis Hassabis la mayor amenaza para OpenAI, según el juicio
IA
Google Chrome habría instalado en silencio un modelo de IA de 4 GB en millones de equipos
Bancos y Pagos