Minecraft lleva más de una década siendo uno de los videojuegos más populares del planeta. Su enorme comunidad, la facilidad para modificar el juego y la disponibilidad de miles de mods han contribuido a mantener vivo un ecosistema que sigue creciendo año tras año. Sin embargo, esa misma flexibilidad se ha convertido también en una oportunidad para los ciberdelincuentes. Un reciente informe de investigadores de seguridad ha destapado una campaña de malware denominada WeedHack que utiliza falsos mods, clientes modificados y herramientas para Minecraft con el objetivo de infectar ordenadores de jugadores de todo el mundo.

Lo más preocupante no es únicamente el volumen de infecciones detectadas, sino el modelo de negocio que hay detrás. WeedHack funciona como una plataforma Malware-as-a-Service (MaaS), permitiendo que prácticamente cualquier persona pueda utilizar herramientas de espionaje y robo de información mediante una interfaz web sencilla. El caso demuestra cómo las amenazas informáticas modernas están adoptando estructuras cada vez más parecidas a las de las empresas de software legítimas, con suscripciones, paneles de control y soporte para usuarios.

WeedHack, una amenaza diseñada para aprovechar la popularidad de Minecraft

Minecraft sigue siendo uno de los videojuegos más vendidos de la historia, con más de 350 millones de copias distribuidas desde su lanzamiento. Esa enorme base de usuarios convierte a la comunidad en un objetivo muy atractivo para los atacantes informáticos. Según los investigadores de McAfee, WeedHack lleva activo desde enero de 2026 y ha logrado comprometer más de 116.000 sistemas en apenas unos meses, manteniendo una media de entre 2.000 y 3.000 nuevas infecciones diarias.

La campaña se centra especialmente en usuarios que buscan mods, clientes alternativos, herramientas de personalización o incluso programas para hacer trampas dentro del juego. Los delincuentes crean páginas web aparentemente legítimas, vídeos de YouTube y resultados manipulados en buscadores para convencer a las víctimas de que descarguen archivos infectados.

En muchos casos, los usuarios creen estar obteniendo herramientas populares relacionadas con proyectos conocidos dentro de la comunidad de Minecraft. Sin embargo, detrás de esos supuestos mods se ocultan archivos maliciosos diseñados para tomar el control del equipo.

El modelo Malware-as-a-Service llega al mundo de los videojuegos

Uno de los aspectos más interesantes de WeedHack es su modelo de funcionamiento. Los investigadores lo clasifican como Malware-as-a-Service o MaaS, un concepto que ha ganado protagonismo durante los últimos años dentro del cibercrimen.

En lugar de desarrollar y distribuir malware por cuenta propia, los creadores de WeedHack ofrecen una plataforma completa a terceros. Estos usuarios pueden registrarse, obtener muestras del malware y gestionar las infecciones desde un panel centralizado. El modelo recuerda a cualquier servicio SaaS utilizado en entornos empresariales, pero aplicado a actividades criminales.

Según el informe publicado por McAfee Labs, la infraestructura proporciona estadísticas detalladas, acceso a credenciales robadas, información sobre los equipos comprometidos e incluso funciones avanzadas de control remoto.

Esta profesionalización no es una excepción. Un estudio académico sobre el ecosistema MaaS publicado en ArXiv explica cómo el malware se está convirtiendo en un servicio comercial accesible incluso para personas con conocimientos técnicos limitados.

Cómo consiguen infectar a las víctimas

La estrategia de distribución utilizada por WeedHack combina varias técnicas que han demostrado ser muy eficaces.

Por una parte, los operadores utilizan lo que se conoce como SEO poisoning. Este método consiste en manipular resultados de búsqueda para que páginas maliciosas aparezcan entre los primeros puestos cuando un usuario busca determinados mods o clientes de Minecraft.

Por otra parte, también aprovechan YouTube. Los investigadores identificaron varios canales que publicaban tutoriales aparentemente legítimos sobre mods populares. Los vídeos incluían enlaces hacia sitios web controlados por los atacantes. Algunos de ellos llegaron a acumular miles de visualizaciones antes de ser detectados.

La combinación de ambas técnicas resulta especialmente efectiva porque muchos jugadores suelen buscar instrucciones o descargas directamente desde Google o YouTube. Cuando encuentran una página que parece profesional y coincide con lo que estaban buscando, bajan la guardia.

Más de 3.800 archivos maliciosos identificados

La escala de la operación resulta especialmente llamativa. Los investigadores identificaron más de 3.820 archivos JAR maliciosos diferentes relacionados con la campaña, además de más de 240 URL utilizadas para distribuir el malware.

El uso de archivos JAR no es casual. Minecraft utiliza Java en gran parte de su ecosistema de mods, por lo que los jugadores están acostumbrados a descargar y ejecutar este tipo de archivos.

Desde el punto de vista técnico, los atacantes aprovechan precisamente esa normalidad. Cuando el usuario ejecuta el supuesto mod, el malware inicia una cadena de infección compuesta por múltiples etapas. Cada fase descarga componentes adicionales y añade nuevas capacidades al sistema comprometido.

Según el análisis realizado por McAfee, el código emplea técnicas avanzadas de ofuscación y carga en memoria para dificultar la detección por parte de soluciones antivirus tradicionales. Parte de los componentes utilizan JNIC, una tecnología que convierte bytecode Java en código nativo C mediante Java Native Interface. Esto incrementa significativamente la complejidad del análisis forense.

Un sistema de control sorprendentemente sofisticado

Lo que diferencia a WeedHack de muchas campañas anteriores es la calidad de la infraestructura de gestión.

El panel de control proporciona acceso a información detallada de cada víctima. Los operadores pueden visualizar datos sobre CPU, GPU, memoria RAM, sistema operativo, dirección IP, nombre del equipo y capturas de pantalla obtenidas directamente del ordenador comprometido.

Además, el sistema permite consultar credenciales robadas, identificadores de sesión de Minecraft y otros datos sensibles recopilados durante la infección.

Algunas versiones avanzadas incluyen funciones de acceso remoto que permiten controlar archivos, supervisar la actividad del usuario e incluso acceder a dispositivos conectados como cámaras web. McAfee señala que ciertas modalidades premium del servicio ofrecían estas capacidades por apenas cinco dólares mensuales.

Desde una perspectiva técnica, esto supone una importante reducción de barreras de entrada. Personas sin experiencia en desarrollo de malware pueden disponer de capacidades que hace apenas unos años estaban reservadas a grupos criminales mucho más especializados.

El uso de Ethereum para ocultar la infraestructura

Otro detalle técnico especialmente interesante es el empleo de EtherHiding, una técnica que aprovecha la blockchain de Ethereum para almacenar información necesaria para localizar los servidores de mando y control.

En lugar de incluir direcciones fijas dentro del malware, los desarrolladores utilizan consultas a nodos Ethereum para recuperar dinámicamente la ubicación de los servidores activos. Posteriormente, las respuestas son verificadas mediante firmas RSA antes de ejecutarse.

Esta arquitectura aporta varias ventajas a los atacantes. En primer lugar, dificulta el bloqueo de la infraestructura. En segundo lugar, permite cambiar rápidamente de dominio cuando alguno es detectado. Finalmente, complica el trabajo de los investigadores encargados de desmantelar la campaña.

Desde el punto de vista criptográfico, el uso de firmas RSA permite garantizar que únicamente las instrucciones generadas por los operadores legítimos sean aceptadas por el malware instalado en los equipos infectados.

Por qué Minecraft es un objetivo tan atractivo

La comunidad de Minecraft presenta características especialmente interesantes para los ciberdelincuentes.

Gran parte del ecosistema gira alrededor de proyectos independientes alojados en GitHub, foros especializados o páginas mantenidas por pequeños desarrolladores. A diferencia de otras plataformas más centralizadas, no siempre existe una web oficial claramente identificable para cada mod o cliente.

Los investigadores explican que WeedHack selecciona deliberadamente proyectos con nombres relativamente únicos para monopolizar los resultados de búsqueda. De este modo, resulta más sencillo posicionar páginas falsas por delante de las legítimas.

Además, muchos usuarios jóvenes suelen descargar modificaciones con frecuencia y pueden tener menos experiencia verificando la autenticidad de las fuentes. Esta combinación aumenta significativamente la superficie de ataque.

El problema no afecta únicamente a Minecraft. Casos similares han sido documentados anteriormente en otros videojuegos populares que cuentan con ecosistemas de mods especialmente activos, tal y como recoge un análisis publicado por TechRadar sobre campañas de robo de credenciales relacionadas con modificaciones de juegos.

Qué pueden hacer los jugadores para protegerse

La principal medida de protección sigue siendo descargar mods exclusivamente desde fuentes verificadas. Resulta recomendable acceder a los enlaces oficiales proporcionados por los desarrolladores y desconfiar de resultados patrocinados o páginas recién creadas.

También es importante revisar cuidadosamente la reputación del sitio web, verificar firmas digitales cuando existan y mantener actualizado el software de seguridad del equipo.

Desde una perspectiva técnica, el análisis de comportamiento mediante soluciones EDR modernas puede detectar actividades sospechosas incluso cuando el malware utiliza técnicas avanzadas de ofuscación. Asimismo, la autenticación multifactor reduce significativamente el impacto del robo de credenciales.

Los usuarios que hayan descargado recientemente mods desde fuentes desconocidas deberían revisar sus sesiones activas de Microsoft, cambiar contraseñas y ejecutar un análisis completo del sistema.

Una muestra de la evolución del cibercrimen

El caso WeedHack ilustra una tendencia cada vez más evidente dentro del panorama de amenazas digitales. Las campañas modernas ya no dependen exclusivamente de grupos altamente especializados. Gracias al modelo MaaS, herramientas muy sofisticadas pueden ponerse al alcance de prácticamente cualquier persona dispuesta a pagar una pequeña cuota mensual.

La profesionalización del cibercrimen, la utilización de infraestructuras distribuidas y el aprovechamiento de comunidades masivas como la de Minecraft están dando lugar a operaciones con una escala difícil de imaginar hace apenas unos años.

Más allá de los números, la lección principal es que incluso actividades aparentemente inocentes, como descargar un mod para un videojuego, pueden convertirse en una puerta de entrada para amenazas complejas capaces de comprometer información personal, cuentas online y dispositivos completos. La seguridad ya no depende únicamente de instalar un antivirus, sino también de mantener hábitos prudentes a la hora de buscar y descargar software en Internet.