Gustavo Ripa lleva años subiendo vídeos de guitarra clásica a YouTube. Tiene unos 12.000 suscriptores, ningún directo en su historial y un canal que huele a madera de abeto y arpegios tranquilos. Hasta que un día de junio de 2026 apareció transmitiendo en vivo una supuesta entrevista multimillonaria de Elon Musk sobre la OPV de SpaceX, con 16.000 espectadores en pantalla.
Un canal de música uruguayo convertido en plataforma de estafa cripto de la noche a la mañana. Y YouTube, sin detectarlo.
Un guitarrista uruguayo y una entrevista falsa de Elon Musk
El canal de Gustavo Ripa tiene historial. Álbumes subidos desde 2010, arpegios tranquilos, un público fiel de unas 12.000 personas. Nunca había hecho un directo; de haberlo intentado con su música, habría esperado unos pocos cientos de espectadores como máximo.
El directo fraudulento apareció con 16.000 supuestos espectadores, una cifra inflada artificialmente para generar sensación de legitimidad. El canal ya acumulaba audiencia y señales de confianza construidas durante años, que es exactamente lo que buscan los estafadores. Lo más probable es que YouTube sancione o banee la cuenta —no al atacante, que ya habrá pasado al siguiente canal comprometido, sino a Ripa: la víctima.
Una campaña que lleva años creciendo
Esto no es un fenómeno nuevo ni aislado. En 2021, el Grupo de Análisis de Amenazas de Google documentó una campaña a gran escala de phishing y robo de cookies dirigida específicamente a creadores de YouTube: más de 1.000 dominios maliciosos creados para ese fin y unas 15.000 cuentas atacantes asociadas.
Entre 2023 y 2025, miles de canales de gaming, tecnología y noticias reportaron secuestros. Linus Tech Tips en 2023, un gran canal de noticias australiano, decenas de miles de canales más pequeños. La inteligencia artificial generativa ha cambiado la escala del problema: crear deepfakes convincentes de Elon Musk, automatizar mensajes de phishing personalizados o gestionar varios canales secuestrados a la vez exigía antes recursos y tiempo considerables. Ahora requiere mucho menos de ambos.
Cómo funcionan los ataques: las vulnerabilidades que explotan los secuestradores
Los métodos varían, pero convergen en el mismo punto débil: la sesión activa del creador. El phishing roba contraseñas y cookies de sesión, lo que permite al atacante saltarse la verificación en dos pasos porque técnicamente ya está «dentro». El malware va más lejos y captura sesiones activas sin necesitar la contraseña en ningún momento.
La ingeniería social completa el cuadro. Mensajes que simulan ser ofertas de patrocinio o comunicaciones del soporte de YouTube llevan al creador a hacer clic en un enlace de apariencia legítima. Quienes usan solo verificación por SMS son especialmente vulnerables al SIM-swapping, una técnica que redirige el número de teléfono de la víctima hacia el atacante. Los secuestradores tratan los canales como herramientas desechables: si uno es baneado, simplemente pasan al siguiente.
Lo que YouTube podría hacer — y aún no hace
Las soluciones técnicas existen y no son especialmente complejas. Lo que falta es voluntad de implementarlas.
Una reautenticación obligatoria —contraseña más segundo factor— antes del primer directo o la primera subida del día funcionaría de forma similar a como los bancos gestionan las transferencias de importe elevado: añadiría segundos al proceso y reduciría drásticamente el riesgo. Los creadores también deberían poder bloquear funciones que no utilizan. Un guitarrista clásico que nunca hace directos debería poder desactivar esa opción por completo, igual que se congela una línea de crédito para impedir un uso no autorizado.
Añadir nuevos gestores a un canal debería activar un periodo de espera de 24 a 48 horas, con notificación al propietario original. Los sistemas de detección por IA ya existen dentro de YouTube; aplicarlos para identificar cambios bruscos de contenido —de música de guitarra a criptomonedas— como señal de alerta roja sería un paso lógico. El menú de denuncia, por último, necesita una opción clara: «Este canal parece haber sido secuestrado», con revisión prioritaria para cuentas con historial limpio y prolongado. Hoy esa opción no existe.
Qué pueden hacer los creadores ahora mismo
Mientras YouTube no actúe, la responsabilidad recae sobre los propios creadores. El primer paso es activar la verificación en dos pasos con una app de autenticación o una passkey —nunca solo por SMS— y combinarlo con una contraseña única gestionada por un gestor de contraseñas. Ningún enlace en un correo que afirme ser de YouTube o de una marca merece un clic directo; siempre es preferible abrir el navegador y acceder manualmente.
Revisar el canal periódicamente desde otro dispositivo permite detectar cambios inesperados antes de que escalen. Si el canal ya ha sido secuestrado, el camino es el flujo de recuperación de cuenta hackeada de Google. El formulario oficial de YouTube solo acepta incidentes de los últimos nueve meses, por lo que actuar con rapidez es determinante.
Lo que viene después
El problema no va a resolverse solo. La IA seguirá abaratando el coste de estos ataques, y los canales con años de historial acumulado seguirán siendo objetivos valiosos precisamente por la confianza que han construido.
Lo que hay que observar en los próximos meses es si YouTube incorpora controles de seguridad a nivel de acción —no solo de inicio de sesión— y si desarrolla vías de recuperación más ágiles para creadores con historial limpio. Sin esas dos piezas, la plataforma seguirá castigando a las víctimas mientras los atacantes pasan a la siguiente cuenta comprometida. Gustavo Ripa no debería ser el último caso. Pero sin cambios reales, será uno más de una lista que no deja de crecer.