La web de JDownloader estuvo infectada y casi nadie se dio cuenta

La web oficial de JDownloader fue comprometida y los instaladores de Windows y Linux fueron reemplazados por malware. Aquí tienes lo que necesitas saber.

  • ciberseguridad
  • malware
  • windows
Imagen destacada del artículo sobre el incidente de seguridad de JDownloader

Si usas JDownloader y descargaste el instalador entre el 6 y el 7 de mayo de 2026, tienes que revisar cositas: escanea el equipo antes de seguir leyendo.

Qué pasó

Los atacantes encontraron una vulnerabilidad sin parchear en el servidor de JDownloader que les permitía modificar las listas de control de acceso sin necesidad de autenticarse. Vamos, que entraron por la puerta de atrás que alguien dejó abierta.

Con ese acceso reemplazaron los instaladores de Windows y el script de instalación de Linux por ejecutables maliciosos sin firmar. El malware, una vez ejecutado, hacía lo que todo malware tiene ganas de hacer: desactivar Windows Defender.

Cómo lo descubrieron

Un usuario de Reddit descargó el instalador y Windows le avisó de que el editor era “Zipline LLC” en lugar de “AppWork”, el desarrollador legítimo. Este es exactamente el tipo de detalle que la mayoría ignoramos (“siguiente, siguiente, acepto”) pero que en este caso salvó a más de uno.

Qué está afectado y qué no

Afectado:

  • Instalador de Windows descargado desde la web oficial entre el 6 y el 7 de mayo
  • Script de instalación de Linux desde la web oficial

No afectado:

  • El archivo JDownloader.jar
  • Instaladores de macOS
  • Actualizaciones dentro de la propia aplicación
  • Distribuciones por Winget, Flatpak y Snap (tienen su propia infraestructura independiente)

Qué hacer si lo descargaste

  • Si no lo ejecutaste: borra el instalador sin abrirlo.
  • Si ya lo ejecutaste: verifica que tu antivirus siga activo y haz un escaneo completo del sistema. Merece la pena también revisar que Windows Defender siga habilitado, ya que era el primer objetivo del malware.

Los desarrolladores ya restauraron los instaladores originales desde copias de seguridad y pusieron la web en modo solo lectura mientras aplicaban los parches de seguridad.

Fuente: Hipertextual