Respuesta rápida: Los strikes reales de YouTube por copyright solo aparecen dentro de YouTube Studio en Contenido > Copyright. Los correos legítimos provienen de noreply@youtube.com, nunca contienen archivos adjuntos, nunca imponen cuentas regresivas de 24 horas y nunca enlazan a formularios externos. Si el correo amenaza con cerrar tu canal, exige acción urgente, o incluye un archivo adjunto, es phishing. Verifica abriendo manualmente studio.youtube.com y revisando la pestaña Copyright. Usa una llave de seguridad FIDO2 (no SMS) para protegerte contra el robo de tokens de sesión que omite la autenticación de dos factores.

Cómo se ve la estafa de strike por copyright de YouTube

El correo base es breve, alineado a la marca y diseñado para evitar el pensamiento. Una cabecera estilo YouTube, un wordmark de "Studio" y un cuerpo que abre con el nombre de tu canal:

"Tu canal ha recibido un strike por copyright de [Empresa]. Haz clic aquí para disputar en 24 horas o tu canal será cerrado."

El nombre visible dice "Equipo de Copyright de YouTube". El dominio remitente real es algo como youtube-strikes.help o dmca-youtube.net. El botón conduce a un formulario de contranotificación que cosecha tu contraseña de Google y el código 2FA. Desde el envío, el atacante tiene una ventana de 30 segundos para iniciar sesión, cambiar el correo de recuperación y revocar tus sesiones.

Una segunda oleada golpea a creadores que no hicieron clic. Llega un seguimiento de "[Marca] PR" con un brief de patrocinio o "media kit" cargado con un info-stealer (RedLine, Vidar, Lumma). Estas familias apuntan a las cookies del navegador que almacenan tu token de sesión de YouTube. Una vez exfiltradas, el atacante inicia sesión en Studio sin tu contraseña ni 2FA. Mandiant documentó esta cadena en su informe de 2023 sobre campañas de info-stealer dirigidas a creadores.

Las 4 variantes en rotación activa

1. El formulario de contranotificación falso

"Tu canal ha recibido un strike por copyright de Sony Music por el video [tu título real de video]. Completa la contranotificación en 24 horas." El título del video es real porque el atacante extrajo tu canal primero. El enlace es un formulario clon de YouTube en un typosquat como youtubesupport-claim.com. Cosecha tu login de Google. Variante de mayor volumen en 2026.

2. El documento de Google Drive "Trust & Safety"

"Trust & Safety de YouTube ha identificado violaciones de política. Detalles del strike adjuntos como documento de Google Drive." El enlace aloja un ejecutable de Windows disfrazado de PDF (Strike_Details.pdf.exe con extensión oculta). Abrirlo instala un info-stealer que exfiltra cookies del navegador incluyendo tokens de sesión de YouTube y AdSense. Las alertas de Google TAG describen este patrón.

3. El brief de colaboración falso

"Hola [Creador], soy el Brand Partnerships Manager de [Empresa]. Por favor revisa el brief y media kit adjuntos." ZIP protegido por contraseña (con la contraseña en el cuerpo para esquivar escáneres) que contiene el info-stealer. Cisco Talos rastreó campañas sostenidas en 2024-2025 usando este señuelo contra creadores de gaming, cripto y lifestyle.

4. El aviso de AdSense suspendido

"Tu cuenta de AdSense ha sido suspendida debido a tráfico inválido. Resuelve en 7 días para prevenir el cierre y la pérdida de ingresos pendientes." Mayor tasa de clic entre creadores medianos con balances mensuales de cinco cifras porque la amenaza está denominada en dinero ya ganado. El enlace conduce a un login falso de AdSense que cosecha credenciales y 2FA en tiempo real.

Por qué los creadores son objetivos de oro

Los creadores no son víctimas de phishing aleatorias. Un compromiso exitoso se compone de tres formas a la vez.

  • Ingresos recurrentes de AdSense. Un canal monetizado es un flujo de efectivo recurrente. El atacante cambia el destino del pago de AdSense y cosecha la cola de ingresos.
  • La audiencia como plataforma de distribución de malware. Un canal de 500K suscriptores es un amplificador de confianza. El secuestrador cambia el avatar a un clon de Tesla o SpaceX y monta una transmisión de estafa con "Elon Musk" diciéndole a los espectadores que envíen cripto para "doble retorno". El análisis de Mandiant de 2023 sobre el compromiso de Linus Tech Tips documentó exactamente este libro de jugadas.
  • Tenencias de cripto por patrocinios. Muchos creadores guardan cripto de pagos de patrocinadores. Los info-stealers exfiltran extensiones de wallets del navegador (MetaMask, Phantom) y archivos de seed phrase junto con la cookie de YouTube. La telemetría de Cisco Talos marca las máquinas de creadores como sobre-representadas en los datos de recuperación de wallets robadas.

Casos recientes de alto perfil

Linus Tech Tips - agosto 2023 (Mandiant, BleepingComputer)

Linus Media Group perdió el control de tres canales (Linus Tech Tips, TechLinked, Techquickie) después de que un empleado abriera un PDF malicioso de "brief de patrocinio" que era un info-stealer. El malware exfiltró tokens de sesión del navegador, omitiendo 2FA porque la reproducción de tokens no necesita contraseña ni código. En una hora, los canales fueron renombrados a la marca "Tesla" y emitieron transmisiones de regalo de cripto. El análisis de Mandiant mostró el mismo libro de jugadas golpeando a docenas de creadores adicionales por mes.

El clúster de canales cripto (Cisco Talos, 2024-2025)

Cisco Talos rastreó campañas sostenidas que secuestraban docenas de canales enfocados en cripto por mes vía payloads de info-stealer en briefs de colaboración falsos. Los canales fueron rebrandeados como Ripple, Coinbase o Ethereum Foundation y usados para transmisiones de duplicador cripto que perdían decenas de miles de dólares por transmisión.

Actividad norcoreana de Google TAG (2024)

Google TAG informó en 2024 que actores norcoreanos suplantaron a YouTube y a partnerships de marca en campañas dirigidas contra creadores e investigadores de seguridad, usando el mismo señuelo con payloads optimizados para la exfiltración de credenciales y cookies.

Las 7 señales rojas

  • El dominio del remitente no es @youtube.com o @google.com. Las notificaciones reales vienen de noreply@youtube.com o noreply@google.com. Cualquier otra cosa (@youtube-support.help, @dmca-youtube.net) es estafa. La suplantación del nombre visible significa que "Equipo de Copyright de YouTube" en la línea De no significa nada; solo importa el dominio real.
  • Urgencia de 24 horas. Los strikes reales aparecen en YouTube Studio inmediatamente sin cuenta regresiva, y la ventana de contranotificación es de 10 a 14 días, no 24 horas. Cualquier correo que empuje a una acción dentro de 24 horas está diseñado para el pánico.
  • Archivo adjunto que afirma contener "detalles del strike". YouTube real nunca adjunta archivos a notificaciones de copyright. Los strikes están enlazados dentro de YouTube Studio, nunca entregados como PDF, ZIP o DOCX. Un archivo adjunto es malware casi seguro.
  • Enlace que no está en youtube.com o studio.youtube.com. Pasa el cursor antes de hacer clic. El destino debe mostrar youtube.com o studio.youtube.com como el dominio real (la parte inmediatamente antes de la primera barra simple después de https://). youtube.com.dispute-now.help NO es YouTube; el dominio real es dispute-now.help.
  • Saludo genérico "Estimado Creador". Los correos reales de YouTube usan el nombre de tu canal tal como aparece en Studio. "Estimado Creador", "Hola Propietario del Canal" o "Hola Partner de YouTube" sugiere un envío masivo.
  • Solicitud de iniciar sesión fuera del flujo normal. Las notificaciones legítimas te envían a Studio y autentican a través de accounts.google.com. Un formulario de contranotificación en una página de terceros pidiendo tu contraseña de Google no es como Google autentica en ningún lugar.
  • El reclamante de copyright no tiene presencia online real. Busca el nombre exacto. Un titular de derechos real tiene un sitio web, una entidad legal registrada y presencia en el registro de agentes DMCA de la Oficina de Copyright de los EE. UU. Un reclamante sin huella es ficticio.

La única verificación que funciona

Cualquier otra verificación es secundaria a una regla. Los strikes de copyright reales solo existen dentro de YouTube Studio. Verifica en este orden:

  1. No hagas clic en el botón del correo. Abre una pestaña nueva y escribe studio.youtube.com manualmente. No busques "YouTube Studio" porque los anuncios pagados ocasionalmente muestran typosquats durante las olas pico de phishing.
  2. Inicia sesión normalmente. Dentro de Studio, haz clic en Contenido en la navegación izquierda, luego la pestaña Copyright. Cualquier strike real aparece aquí con el reclamante, video, sección disputada y un flujo de contranotificación incorporado. Si no aparece ningún strike, el correo es falso.
  3. Revisa el panel de Notificaciones de Studio. Los correos reales de YouTube siempre tienen una entrada coincidente en el ícono de campana arriba de Studio. Si no hay coincidencia, no hay correo real.
  4. Busca al reclamante. Un titular de derechos real aparece en el registro de agentes DMCA de la Oficina de Copyright de los EE. UU., en los registros de remoción de Lumen Database, o con una presencia comercial activa. Una empresa inventada no tiene nada de esto.

Recuperación si tu canal ya está comprometido

La velocidad importa. Una vez que un atacante tiene tu token de sesión o contraseña, el renombrado del canal, el cambio de pago y la transmisión de estafa típicamente se ejecutan en una hora.

  1. Revoca todas las sesiones. Abre myaccount.google.com/security, desplázate a "Tus dispositivos" y cierra sesión en cada sesión excepto la que estás usando. Esto invalida las cookies robadas.
  2. Cambia tu contraseña de Google. Larga, única, no reutilizada. Los gestores de contraseñas no son opcionales para creadores en 2026.
  3. Activa 2FA con una llave de seguridad de hardware, no SMS. El SMS es derrotado por ataques de SIM-swap contra creadores de alto valor. Una llave FIDO2 (YubiKey, Google Titan, Feitian) no puede ser phishada ni SIM-swapeada. Configura al menos dos llaves para evitar bloqueos.
  4. Revisa YouTube Studio Configuración > Permisos. Los atacantes comúnmente se añaden como Manager o Owner para mantener acceso después de un restablecimiento de contraseña. Elimina cualquier usuario que no reconozcas. Revisa Configuración > Canal por transferencias no autorizadas.
  5. Revoca el acceso de apps de terceros en Cuenta de Google > Seguridad > Apps de terceros. Los payloads de info-stealer a veces instalan otorgamientos OAuth que sobreviven a un restablecimiento de contraseña.
  6. Congela los pagos de AdSense en AdSense > Pagos > Configuración mientras investigas. Previene que el atacante redirija el próximo ciclo de pago.
  7. Contacta al Soporte de Creadores de Google vía el formulario de recuperación de canal secuestrado de YouTube. Los miembros del Partner Program tienen prioridad. Los canales monetizados se recuperan más rápido porque YouTube tiene un interés financiero en devolver la cuenta.
  8. Si se vaciaron wallets cripto, presenta un reporte en Chainabuse y en el FBI IC3 en ic3.gov. Chainabuse agrega reportes de wallets en exchanges para solicitudes de congelamiento de activos; la denuncia IC3 es requerida para la recuperación civil posterior.
  9. Ejecuta un escaneo completo de malware. Si el compromiso se rastreó a un payload de info-stealer, la máquina está comprometida y cualquier nueva contraseña configurada en ella será exfiltrada nuevamente. Escanea con Malwarebytes o Microsoft Defender Offline, o reformatea, antes de cambiar más credenciales.

Cómo la defensa en capa de navegador atrapa esto antes

Los correos de phishing pasan cada vez más SPF, DKIM y DMARC porque los atacantes registran dominios parecidos y los autentican adecuadamente. La defensa que funciona está en el destino: cuando haces clic en el botón de disputa y aterrizas en la página de contranotificación falsa, un escáner en capa de navegador puede bloquear la página antes de que se cargue cualquier formulario.

SafeBrowz es una extensión gratuita para Chrome, Firefox y Edge que escanea cada URL antes de que la página se renderice. YouTube está en nuestra base de datos de impersonación de 539 marcas, y las heurísticas marcan "logo de YouTube más formulario de login de Google en un dominio no-youtube.com" como bloqueo instantáneo. Instala SafeBrowz gratis para defensa en capa de navegador en tu canal, AdSense y cualquier otro login de Google.

Preguntas frecuentes

¿YouTube envía alguna vez notificaciones de strike por copyright por correo?

Sí. YouTube envía una notificación desde noreply@youtube.com cuando se emite un strike, pero es solo informativa. Sin archivos adjuntos, sin cuenta regresiva de 24 horas, sin enlaces de terceros. El strike real siempre es visible en YouTube Studio bajo Contenido > Copyright. Si el strike no está ahí, el correo es falso.

Hice clic en el enlace pero no ingresé información. ¿Sigo en riesgo?

Si solo renderizaste la página y la cerraste, el riesgo inmediato de credenciales es bajo. Pero las páginas falsas de contranotificación a veces descargan automáticamente un archivo de "detalles del strike" o disparan un CAPTCHA falso que pega un comando PowerShell en tu portapapeles. Revisa Descargas, ejecuta un escaneo de malware y revoca todas las sesiones de Google como precaución. Mira nuestra guía sobre ataques ClickFix para la variante post-clic.

¿Cómo obtuvo el atacante mi nombre real de canal y títulos de videos?

El nombre de tu canal, videos recientes y conteo de suscriptores son públicos. Los atacantes los extraen vía la API de YouTube y personalizan correos de phishing para cada creador por encima de un umbral de suscriptores. Un correo personalizado es prueba de que estás por encima del umbral de objetivo, no prueba de legitimidad.

Si tengo 2FA activado, ¿mi canal aún puede ser secuestrado?

Sí. Los info-stealers exfiltran la cookie de sesión del navegador, un token que ya representa tu sesión autenticada y omite 2FA en la reproducción (así fue secuestrado Linus Tech Tips a pesar de 2FA). Los kits AiTM en tiempo real también hacen proxy de tu código 2FA mientras lo ingresas. La defensa es una llave de hardware FIDO2 vinculada al dominio real. El SMS 2FA es la variante más débil y también la rompe el SIM-swap.

¿Cuánto tarda YouTube en recuperar un canal secuestrado?

Los tiempos de recuperación varían. Los miembros del Partner Program que reportan dentro de la primera hora se han recuperado en 24 a 48 horas (Linus Tech Tips se recuperó en aproximadamente 12 horas). Los canales no monetizados pueden esperar días o semanas. Usa el formulario oficial de recuperación en support.google.com/youtube/contact/recover_hijacked_channel. No le pagues a ningún tercero que afirme recuperar más rápido, ya que el fraude de estafa de recuperación es un ataque secundario documentado.

¿Debería responder a un correo de patrocinio si no estoy seguro de si es real?

Verifica al remitente fuera del correo. Los brand managers reales tienen presencia en LinkedIn, correo de trabajo que coincide con el dominio de la empresa y una huella establecida. Nunca abras un ZIP protegido por contraseña, nunca habilites macros de Word, nunca ejecutes ningún ejecutable de un contacto de patrocinio. Los briefs reales llegan como PDFs o enlaces de Google Docs desde una cuenta corporativa de Google verificada. Las marcas legítimas aceptan la verificación a través de un canal conocido de la empresa sin ofenderse.

¿Qué pasa con los correos de "infracción de copyright" en YouTube Studio mismo?

YouTube Studio muestra strikes legítimos directamente en el panel de Copyright bajo Contenido. Si ves una entrada ahí con el reclamante, el video específico, la sección disputada y el flujo de contranotificación incorporado, es real. Los strikes reales no aparecen primero por correo y luego en Studio. Si un correo afirma un strike pero Studio no muestra ninguno, el correo es phishing al 100%.

¿Puede SafeBrowz detectar páginas falsas de YouTube Studio?

Sí. La base de datos de impersonación de 539 marcas de SafeBrowz incluye YouTube, YouTube Studio, Google y AdSense. Cuando un sitio carga un logo de YouTube más un formulario de login de Google en un dominio que no es youtube.com, la capa local lo marca instantáneamente. El análisis de IA Premium captura variantes novedosas en más de 100 idiomas, incluyendo los formularios de contranotificación recién registrados que aún no están en listas de bloqueo públicas.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz utiliza una arquitectura de detección de tres capas: Local + APIs + IA.

  • Capa 1 - Detección local: 60+ patrones de URL + 550+ firmas de marca (incluyendo variantes de homógrafos cirílicos y Punycode) + listas blancas/negras de la comunidad, todo ejecutándose directamente en la extensión antes de que se renderice la página. Detecta instantáneamente patrones como youtube-studio-{variant}.{tld}, portales DMCA falsos y la familia de patrones de descarga señuelo de info-stealer.
  • Capa 2 - Verificación de APIs: agrega Google Safe Browsing, PhishTank, URLhaus, ScamAdviser y 30+ TLDs de estafa para dominios maliciosos conocidos.
  • Capa 3 - Análisis IA profundo (Premium): análisis de contenido en 100+ idiomas que detecta variantes novedosas en segundos.

Las firmas de detección provienen de investigación de inteligencia de amenazas y de nuestra base de datos de marcas, no de los datos de navegación del usuario. El historial de URL por usuario nunca se almacena.

Artículos relacionados

Conclusión: La estafa del strike por copyright en YouTube funciona con pánico y confianza en la plataforma. La única regla que la derrota es verificar cada strike dentro de YouTube Studio, nunca a través de un enlace de correo. Usa una llave de seguridad de hardware, no SMS. Añade un escáner en capa de navegador como SafeBrowz para que la página falsa de contranotificación nunca cargue.