Una campaña de ciberataques se disfraza como una descarga legítima del editor de video CapCut y distribuye malware. ESET alerta sobre los peligros de acceder a sitios con URLs engañosas que parecen oficiales.
CapCut, la popular aplicación de edición de video con más de mil millones de descargas a nivel mundial y utilizada por más de 300 millones de personas cada mes, se ha convertido en el nuevo señuelo para una sofisticada campaña de distribución de malware. Así lo ha revelado la compañía de ciberseguridad ESET, especializada en la detección proactiva de amenazas, quien advierte sobre la existencia de un sitio web falso que suplanta a la página oficial de la aplicación para infectar equipos con software malicioso.
La estrategia detectada consiste en crear un sitio cuya dirección web (URL) contiene una variación mínima, casi imperceptible, del dominio oficial. Mientras que el verdadero sitio es www.capcut.com, los atacantes han utilizado www.capcuti.com, agregando una simple letra «i» al final, una diferencia tan sutil que puede pasar desapercibida para la mayoría de usuarios.
“Probablemente este sitio falso haya sido promovido a través de anuncios en los resultados de Google para intentar engañar a usuarios desprevenidos que hacen clic en los primeros resultados. Otra posibilidad es que se haya distribuido a través de anuncios en redes sociales, algo que ya hemos visto en el pasado con otras páginas falsas que se hacían pasar por CapCut”, señala Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
El sitio falso fue diseñado con una estética casi idéntica a la del portal original, incluyendo logotipos, esquemas de colores y disposición de elementos, lo cual refuerza la apariencia de legitimidad. Esto representa un nivel elevado de preparación por parte de los atacantes, quienes han replicado la experiencia visual para confundir a los visitantes.
Además, ESET ha confirmado que el certificado HTTPS del sitio fraudulento —ese candado que suele darnos confianza al navegar— era válido y activo desde el 8 de abril hasta el 7 de julio de 2025. Esto indica que los cibercriminales no solo lograron alojar un sitio convincente, sino que lo aseguraron con una apariencia de autenticidad digital.
¿Qué ocurre al descargar la app falsa?
Durante la investigación, el equipo de ESET descargó el supuesto instalador disponible en la página engañosa. Al hacer clic en el botón “Download for Windows”, se obtiene un archivo comprimido .zip que contiene un ejecutable con nombre tipo Installer-123456.exe, junto con una carpeta llamada AppData.
Se trata de un instalador del tipo NSIS, una herramienta legítima que en este caso ha sido manipulada para instalar y ejecutar software malicioso en la computadora de la víctima. Esta táctica permite a los atacantes tener control sobre el equipo o robar información sensible, sin que el usuario lo note de inmediato.
“Este caso es un ejemplo más de cómo los cibercriminales aprovechan la popularidad de apps y software muy conocidos como CapCut para crear sitios falsos similares al oficial y de esta manera distribuir malware”, añade Gutiérrez Amaya. “También es un buen ejemplo de la capacidad y calidad de los sitios que crean los cibercriminales, con diferencias muy sutiles que fácilmente pueden hacer caer en la trampa a quienes no presten la debida atención”.
¿Cómo protegerse?
Desde ESET ofrecen una serie de recomendaciones prácticas para evitar ser víctima de este tipo de fraudes:
- No confiar ciegamente en los primeros resultados de búsqueda de Google. Los sitios promocionados pueden estar manipulados o contener anuncios maliciosos.
- Verificar cuidadosamente la URL antes de hacer clic. Ante cualquier duda, realizar una segunda búsqueda o acceder directamente desde una fuente confiable.
- Instalar un software antimalware confiable. Este tipo de herramienta no solo detecta archivos maliciosos, sino que también bloquea sitios fraudulentos antes de que puedan causar daño.
En la era digital, donde las amenazas evolucionan a diario, mantener una actitud de precaución puede marcar la diferencia. Una letra adicional en una URL o un anuncio sospechosamente atractivo pueden ser el primer paso para una infección que comprometa tus datos o tu privacidad.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
