Una reciente investigación de ciberseguridad ha destapado una campaña de espionaje digital que utiliza juegos para Windows y Android como gancho para infectar a los usuarios. Detrás de lo que parece una sencilla plataforma de entretenimiento se esconde un sofisticado malware capaz de grabar audio, robar documentos y tomar el control remoto de dispositivos.
El caso ha generado especial preocupación entre los especialistas porque combina dos factores muy habituales: el auge del gaming en móviles y PC y la costumbre de descargar aplicaciones fuera de las tiendas oficiales. Aunque la operación se centra en una región concreta de China, la forma de actuar de los atacantes es perfectamente replicable en Europa y España, donde el uso intensivo de juegos y aplicaciones no oficiales también es una realidad.
Una plataforma de juegos convertida en herramienta de ciberespionaje
Según el equipo de investigación de ESET, el ataque se apoya en una plataforma de juegos conocida como Yanbian Red Ten, que ofrece tÃtulos tradicionales de cartas y de mesa. Esta plataforma, disponible para Windows y Android, fue comprometida para distribuir programas espÃa ocultos, los llamados backdoors o puertas traseras.
Los usuarios descargaban los juegos desde el sitio web oficial de la plataforma, convencidos de que se trataba de aplicaciones legÃtimas y seguras. En realidad, se trataba de juegos troyanizados: el tÃtulo funcionaba y permitÃa jugar, pero al mismo tiempo instalaba en segundo plano un software malicioso con amplias capacidades de espionaje.
En el caso de Windows, ESET detectó que el cliente del juego fue alterado mediante una actualización maliciosa que acabó instalando dos puertas traseras distintas en los ordenadores afectados. En Android, varios de los juegos disponibles en la misma plataforma fueron modificados para incluir una versión móvil del backdoor.
La investigación atribuye el ataque al grupo ScarCruft, también conocido como APT37 o Reaper, una organización de ciberespionaje alineada con los intereses de Corea del Norte. Este grupo lleva años centrando sus operaciones en Asia, especialmente en Corea del Sur y su entorno, aunque los expertos no descartan que tácticas similares puedan acabar reutilizándose en otros mercados, incluidos los europeos.
El objetivo principal de la campaña es el espionaje de personas y organizaciones vinculadas a la región de Yanbian, una zona china con una importante comunidad de etnia coreana y considerada un punto de tránsito para refugiados y desertores norcoreanos. No se trata, por tanto, de un ataque puramente económico, sino de una operación con una clara motivación polÃtica y de inteligencia.
Qué es un backdoor y por qué es tan peligroso
El componente central de esta campaña es el uso de backdoors o puertas traseras. Se trata de una forma de malware diseñada para conceder al atacante un acceso remoto y silencioso al dispositivo infectado, ya sea un ordenador con Windows o un móvil Android.
Una vez que el backdoor se instala, permite que los ciberdelincuentes controlen parcialmente el sistema: pueden ejecutar órdenes, descargar más malware, modificar archivos, instalar nuevas herramientas de espionaje o incluso desactivar soluciones de seguridad. Todo ello sin que el usuario note, en muchos casos, ningún cambio evidente.
A diferencia de otros tipos de virus más visibles, que suelen provocar fallos, bloqueos o ventanas emergentes, estas puertas traseras están creadas para pasar desapercibidas durante largos periodos. Mientras el juego troyanizado sigue funcionando y entreteniendo al usuario, el software malicioso trabaja en segundo plano recopilando datos de interés.
Este enfoque de baja visibilidad se ha convertido en una tendencia clara en el cibercrimen y en las operaciones de espionaje patrocinadas por Estados. Para un grupo como ScarCruft, es mucho más útil permanecer dentro del sistema meses o incluso años, extrayendo información de manera continua, que provocar un daño inmediato y evidente que haga saltar las alarmas.
Además, al camuflar el backdoor en juegos que parecen legÃtimos y que se obtienen desde la web oficial de la plataforma, los atacantes aumentan las posibilidades de que la vÃctima confÃe en la descarga y desactive cualquier sospecha inicial.
BirdCall: el malware para Android que graba audio y roba datos
En el caso de Android, el backdoor identificado por ESET ha sido bautizado como BirdCall. Este malware es especialmente preocupante por la amplitud de permisos que solicita y por la cantidad de información a la que puede acceder una vez que la vÃctima instala el juego infectado.
BirdCall es capaz de recolectar contactos, mensajes SMS, registros de llamadas, documentos almacenados en el dispositivo, archivos multimedia como fotos y vÃdeos, asà como el contenido del portapapeles, donde a menudo se copian contraseñas, códigos de verificación o datos bancarios.
Además, el spyware puede realizar capturas de pantalla y registrar pulsaciones del teclado, lo que permite a los atacantes reconstruir conversaciones, credenciales de acceso y otra información sensible que el usuario introduce en aplicaciones de mensajerÃa, redes sociales o servicios financieros.
Uno de los aspectos más delicados es su capacidad para grabar audio ambiental utilizando el micrófono del teléfono. Esta función convierte al móvil en un dispositivo de escucha encubierto, permitiendo captar conversaciones presenciales o reuniones, algo especialmente grave si la vÃctima tiene responsabilidades polÃticas, empresariales o maneja información confidencial.
El malware también puede extraer claves privadas y credenciales relacionadas con servicios y aplicaciones instaladas, asà como copiar archivos tanto personales como corporativos. Todo este material se envÃa a los atacantes utilizando servicios en la nube legÃtimos como Dropbox y pCloud, una táctica que disfraza el tráfico malicioso como si fuera uso normal de plataformas muy extendidas.
Cómo se distribuyen los juegos infectados y por qué no están en Google Play
La investigación de ESET ha podido determinar que las vÃctimas descargaban los juegos troyanizados directamente desde la página web de la plataforma de Yanbian Red Ten, utilizando el navegador de sus dispositivos. Los tÃtulos ofrecidos parecÃan legÃtimos, estaban relacionados con juegos tradicionales de la región y se presentaban con normalidad.
Las aplicaciones, además, funcionaban como cualquier otro juego: permitÃan competir con amigos, participar en partidas de cartas y tomar parte en torneos online. Esta apariencia de normalidad resulta clave para que el usuario no sospeche y mantenga instalado el programa durante más tiempo.
ESET recalca que, durante el análisis de la campaña, no encontró los APK maliciosos en la tienda oficial Google Play. Todo apunta a que la distribución se realizó exclusivamente desde el sitio web comprometido, lo que encaja con el comportamiento cada vez más habitual de muchos usuarios que, buscando funciones extra o versiones gratuitas, descargan juegos desde páginas externas.
Según los investigadores, no se ha podido establecer con total precisión cuándo fue comprometido por primera vez el sitio web de la plataforma. Sin embargo, a partir del estudio de las versiones de BirdCall, se estima que el ataque comenzó a finales de 2024 y se mantuvo al menos hasta mediados de 2025.
En el momento del análisis, al menos dos de los juegos Android disponibles en el dominio de la plataforma habÃan sido troyanizados para incluir BirdCall. En la página de descargas, ESET llegó a identificar claramente los botones de descarga de los tÃtulos infectados, que para un usuario medio resultaban indistinguibles de cualquier otra aplicación legÃtima.
Un malware en constante evolución con foco en la discreción
Uno de los datos más llamativos del informe es que BirdCall no es una pieza estática de malware, sino un proyecto en evolución constante. Los investigadores de ESET localizaron al menos siete versiones distintas del spyware, desde la 1.0, fechada en octubre de 2024, hasta la 2.0, que apareció en junio de 2025.
Cada nueva versión añadió o refinó capacidades de espionaje, mejoró los mecanismos de comunicación con los servidores de comando y control (C&C) y pulió técnicas para evitar la detección por parte de antivirus y herramientas de análisis. La utilización de servicios en la nube como Dropbox o pCloud para transferir los datos robados es un buen ejemplo de ese esfuerzo por pasar desapercibidos.
Esta forma de operar refleja una tendencia clara en el panorama actual de amenazas: los grupos avanzados ya no se conforman con lanzar campañas puntuales, sino que mantienen y actualizan su arsenal de malware del mismo modo que una empresa tecnológica mejora sus productos.
Para Europa y España, este tipo de evolución señala que los ataques que hoy parecen lejanos, centrados en regiones concretas de Asia, pueden transformarse rápidamente en amenazas globales y reutilizables. El mismo modelo de malware oculto en juegos podrÃa adaptarse con facilidad a tÃtulos populares en nuestro entorno.
Al tratarse de una operación ligada al ciberespionaje, y no tanto a campañas masivas de fraude económico, el impacto inicial puede parecer limitado. Sin embargo, la experiencia demuestra que muchas técnicas desarrolladas por grupos estatales acaban adoptándose más tarde por ciberdelincuentes comunes, ampliando su alcance a usuarios y empresas en todo el mundo.
Por qué el gancho de los videojuegos funciona tan bien
Los expertos en ciberseguridad coinciden en que los videojuegos se han convertido en un objetivo prioritario para los atacantes, tanto por el volumen de jugadores como por los hábitos de descarga fuera de los canales oficiales.
Es frecuente que los usuarios busquen en Internet versiones gratuitas de juegos de pago, mods no oficiales, accesos anticipados o contenido premium sin coste. Estas búsquedas les llevan a páginas de procedencia dudosa, foros, enlaces compartidos en redes sociales o canales de mensajerÃa donde la verificación de seguridad es prácticamente inexistente.
En este contexto, una plataforma que ofrezca juegos regionales o tÃtulos de nicho parece menos sospechosa: muchos usuarios interpretan que si el juego es poco conocido o se centra en una comunidad concreta, es normal que no esté en las tiendas oficiales. Esa percepción facilita que se descarguen e instalen APK desde webs de terceros sin pensarlo dos veces.
Otro factor clave es que los videojuegos no solo se usan en el entorno doméstico. Hoy en dÃa, móviles personales y de trabajo se mezclan con frecuencia, y no es raro que un empleado tenga en su teléfono corporativo el mismo tipo de juegos casuales que instalarÃa en su dispositivo privado. Si un malware como BirdCall entra en un móvil que también se usa para correo de empresa o acceso remoto a sistemas internos, la puerta de entrada a información corporativa queda abierta.
Para ciberespÃas y criminales, ese cruce entre ocio y trabajo convierte a los juegos en una plataforma ideal para infiltrarse en entornos profesionales sin levantar sospechas, tanto en España como en el resto de paÃses europeos donde la movilidad laboral y el teletrabajo son habituales.
Señales de alerta para detectar juegos y apps sospechosas
Aunque la campaña descubierta por ESET se ha focalizado en una región concreta, las recomendaciones de los especialistas son aplicables a cualquier usuario europeo que descargue juegos en Windows o Android. Hay una serie de señales de alerta que conviene tener presentes antes de instalar aplicaciones desconocidas.
Una de las más claras es la solicitud de permisos excesivos o incoherentes. Si un juego sencillo de cartas pide acceso al micrófono, a los SMS, al registro de llamadas o al almacenamiento completo del dispositivo sin una razón evidente, es motivo de sospecha. Lo mismo ocurre si requiere activar la accesibilidad sin una explicación convincente.
También hay que desconfiar de las apps que se descargan desde sitios externos, enlaces en redes sociales o grupos de mensajerÃa, en lugar de venir de tiendas oficiales como Google Play o, en el caso de Windows, plataformas reconocidas. Aunque estas tiendas no son infalibles, cuentan con más controles que una web aleatoria.
Otro indicador es la falta de información fiable sobre la aplicación: pocos comentarios, desarrollador desconocido o páginas de soporte inexistentes. Si, además, el juego promete contenido premium desbloqueado o funciones que normalmente serÃan de pago, el riesgo de que se trate de un anzuelo para distribuir malware aumenta considerablemente.
En el entorno de escritorio, las recomendaciones son similares: evitar instalar ejecutables de procedencia dudosa, revisar la firma del software cuando sea posible y mantener el sistema operativo y las soluciones de seguridad actualizadas para reforzar la detección de amenazas.
Qué hacer si sospechas que tu dispositivo está infectado
Los especialistas en ciberseguridad recomiendan prestar atención a cambios anómalos en el comportamiento del dispositivo. Aunque no todos los sÃntomas son definitivos, pueden servir como señal de que algo no va bien.
Entre los indicios más habituales se encuentran el sobrecalentamiento sin motivo aparente, un consumo de baterÃa muy superior al normal, ralentizaciones repentinas o bloqueos frecuentes cuando se ejecutan tareas sencillas.
Otro sÃntoma preocupante es la activación inesperada del micrófono o de la cámara, o la aparición de iconos de grabación cuando no se está utilizando ninguna app que justifique ese uso. En algunos casos, los usuarios también detectan un aumento del consumo de datos en segundo plano, algo que puede indicar que el malware está enviando información al exterior.
Si se sospecha que un juego o aplicación puede estar comprometido, lo más prudente es desinstalarlo de inmediato y ejecutar un análisis completo con una solución antivirus reconocida, tanto en Android como en Windows. En equipos que manejan información especialmente sensible, puede ser recomendable incluso restaurar el sistema desde una copia de seguridad anterior confiable.
En entornos corporativos de España y otros paÃses europeos, las empresas deberÃan contar con protocolos de respuesta ante incidentes que incluyan la revisión de dispositivos móviles, la revocación de accesos y la rotación de credenciales si se detecta la presencia de un backdoor como BirdCall en un terminal utilizado para fines laborales.
A la vista de todo lo descubierto, este caso muestra hasta qué punto un aparentemente inofensivo juego para Windows o Android puede convertirse en la puerta de entrada para operaciones de ciberespionaje sofisticadas. La combinación de malware que graba audio, roba datos personales y aprovecha servicios en la nube para ocultar su actividad obliga a extremar la cautela, especialmente cuando se descargan aplicaciones fuera de canales oficiales y se usan los mismos dispositivos para ocio y trabajo en un contexto en el que España y el resto de Europa son ya objetivos habituales de campañas avanzadas.
