CPU-Z y HWMonitor reparten malware desde sus descargas oficiales

Última actualización: abril 11, 2026
Autor: ForoPC
  • El sitio oficial de CPUID fue hackeado y distribuyó instaladores troyanizados de CPU-Z y HWMonitor.
  • El ataque afectó al sistema de descargas durante unas seis horas, sin alterar los binarios originales.
  • Antivirus y servicios como VirusTotal detectaron los archivos como malware con capacidad de robo de datos.
  • Se recomienda a los usuarios europeos revisar instalaciones recientes, analizar el sistema y extremar la precaución.

Herramientas de monitorización afectadas por malware

CPU-Z y HWMonitor, dos de los programas de referencia para monitorizar procesadores y otros componentes del PC, se han visto implicados en un incidente de seguridad que ha encendido todas las alarmas en la comunidad de usuarios. Durante un intervalo de tiempo limitado, sus instaladores oficiales distribuyeron malware a través de la propia web de CPUID, la empresa francesa responsable del desarrollo.

Aunque el problema ya ha sido contenido según la compañía, el hecho de que todo haya ocurrido desde el dominio oficial de descargas ha generado una preocupación especial entre usuarios y profesionales de Europa y España, donde estas herramientas son muy populares para controlar temperaturas, voltajes y estabilidad del sistema, y ha puesto en duda la confianza en los proveedores de ciberseguridad.

Cómo se descubrió el fallo: descargas sospechosas desde la web oficial

Alerta de malware en descargas oficiales

El problema salió a la luz cuando varios usuarios, algunos de ellos europeos, reportaron comportamientos extraños al descargar HWMonitor y CPU-Z directamente desde cpuid.com. En lugar de recibir el ejecutable habitual asociado a la nueva versión, se descargaban archivos con nombres poco habituales o claramente incoherentes con la nomenclatura tradicional de CPUID. Este tipo de incidentes recuerda a otras campañas de distribución y engaño como las que han utilizado redes sociales y plataformas públicas para propagar instaladores maliciosos, por ejemplo en videos de TikTok que instalan malware.

Uno de los casos más llamativos fue el de quienes intentaban obtener la versión 1.63 de HWMonitor. El archivo esperado debería tener un nombre similar a hwmonitor_1.63.exe, pero en su lugar aparecía un instalador denominado HWiNFO_Monitor_Setup.exe, un nombre asociado a otro programa diferente de monitorización (HWiNFO) que nada tiene que ver con CPUID. Ese detalle disparó las sospechas entre los usuarios más atentos.

Poco después, comenzaron a circular advertencias en Reddit, redes sociales y foros especializados. Muchos usuarios relataron que Windows Defender y otros antivirus activos en sus equipos bloqueaban inmediatamente el archivo descargado, lo etiquetaban como malware y recomendaban su eliminación.

Algunos afectados decidieron subir los instaladores sospechosos a VirusTotal, el conocido servicio online que analiza archivos con decenas de motores antivirus y que además sirve para entender mejor qué son los virus informáticos. Los resultados terminaron de confirmar el problema: un número significativo de motores detectaban el ejecutable como troyano u otro tipo de software malicioso, descartando de facto que se tratara de un simple falso positivo.

Medios especializados como Wccftech, Cybernews o Igor’s Lab analizaron el caso y apuntaron en la misma dirección: el sitio oficial de CPUID habría sido comprometido, de forma que el sistema de descargas redirigía a un instalador manipulado alojado en una infraestructura externa, concretamente dominios servidos a través de Cloudflare R2. La técnica guarda similitudes con otras campañas que aprovecharon recursos de terceros y materiales engañosos, como las guías falsas que distribuyen malware.

Qué ha dicho CPUID y cuál fue el alcance temporal del ataque

El responsable de CPUID, Samuel Demeulemeester (conocido como Doc TB), confirmó el incidente en un comunicado difundido a través de redes sociales. Según su explicación preliminar, las investigaciones indican que los binarios principales de CPU-Z y HWMonitor no fueron modificados directamente.

En cambio, todo apunta a que se comprometió una funcionalidad secundaria o “side API” relacionada con el sistema de descarga de la web. Esa pieza de la infraestructura habría sido utilizada para, de forma aleatoria, mostrar enlaces que conducían a instaladores troyanizados en lugar de a los ejecutables legítimos.

Demeulemeester precisó que la brecha se produjo durante un periodo aproximado de seis horas entre el 9 y el 10 de abril. Durante ese intervalo, el portal pudo servir archivos maliciosos a quienes accedieran en el momento justo y trataran de bajar o actualizar CPU-Z, HWMonitor u otros programas alojados en cpuid.com.

  Desplome bursátil de las empresas de ciberseguridad tras el avance de Claude

Este detalle temporal es relevante para dimensionar el alcance: si bien la ventana es relativamente corta, en un software tan extendido como CPU-Z o HWMonitor basta con unas pocas horas para que lo descarguen una cantidad importante de usuarios en todo el mundo, incluyendo España y el resto de Europa, donde se usan a diario para diagnosticar problemas de temperatura, rendimiento o estabilidad.

Según ha explicado el propio desarrollador, una vez detectado el comportamiento anómalo se procedió a corregir el fallo en el sistema de descargas y a revisar la infraestructura afectada. No obstante, las investigaciones siguen en marcha para determinar exactamente cómo se produjo el compromiso y qué parte de la cadena de distribución pudo verse alterada, y recuerdan casos de fallos de seguridad críticos que exigieron auditorías amplias.

El problema no es el programa, sino la cadena de distribución

Una de las claves de este incidente es que, a la vista de los datos disponibles, el ataque no se habría centrado en inyectar código malicioso dentro de los ejecutables originales de CPU-Z o HWMonitor, sino en manipular el proceso de entrega de los instaladores. En otras palabras, el software en sí seguiría siendo legítimo, pero el enlace de descarga llevaba a un archivo falso.

Este matiz cambia el enfoque de la respuesta. En lugar de tratarse de una versión modificada del programa distribuida de manera continua, estaríamos ante una intrusión puntual en la infraestructura web, capaz de redirigir a un subconjunto de usuarios a un instalador alternativo que contenía malware profundamente troyanizado.

La situación recuerda a otros casos recientes en los que los atacantes no se centran tanto en romper el código fuente de una aplicación, sino en interceptar la cadena de suministro digital: páginas oficiales, servidores de descarga, sistemas de actualización automática, etc. Esto complica mucho la detección por parte del usuario medio, ya que, en apariencia, todo ocurre desde un sitio confiable.

En el caso concreto de CPUID, varios informes sostienen que las rutas de descarga estándar y los nombres de los archivos .zip parecían legítimos, pero en realidad enlazaban a dominios externos comprometidos. De esta forma, el usuario creía estar descargando el instalador habitual desde la web de siempre, cuando en realidad recibía un ejecutable alterado.

Analistas de seguridad de grupos como vx-underground han señalado que el código distribuido no era un malware genérico, sino un troyano diseñado para robar información sensible, credenciales y potencialmente tomar el control del sistema, lo que incrementa notablemente el riesgo para quienes ejecutaron estos instaladores. Casos como el de malware tipo stealer muestran el impacto que puede tener un troyano orientado al robo de datos.

Usuarios afectados en España y Europa: síntomas y detección

El incidente afecta potencialmente a cualquier usuario que haya descargado CPU-Z, HWMonitor u otros programas de CPUID durante ese periodo crítico, incluidos los de España y el resto de países europeos, donde estas utilidades se emplean de forma habitual tanto por aficionados como por técnicos profesionales.

Entre los síntomas más comentados por la comunidad se encuentran instaladores que aparecen en idiomas inesperados, como ruso, al iniciar la instalación de CPU-Z, o asistentes de instalación con comportamientos inusuales. En algunos casos, Windows Defender saltó de inmediato con una alerta de troyano, bloqueando la ejecución del archivo; y, aunque el vector aquí es distinto, hemos visto en otros incidentes malware que roba contraseñas aprovechando descargas falsas para instalarse.

Cuando el aviso del antivirus no era inmediato, los usuarios más precavidos recurrieron a herramientas de análisis online como VirusTotal. Allí se comprobó que decenas de motores antivirus identificaban esos ejecutables como archivos maliciosos, lo que confirmó que no se trataba simplemente de un falso positivo aislado.

Medios y expertos que han seguido el caso recuerdan que, aunque el foco se ha puesto sobre CPU-Z y HWMonitor, el compromiso del sitio cpuid.com podría haber afectado también a otros programas alojados allí, ya que la lógica de redirección se aplicaba al sistema de descargas en general.

  MacSync Stealer: el malware que burla la seguridad de los Mac

Para los usuarios europeos, especialmente los que han actualizado recientemente sus equipos desde redes domésticas o corporativas, este tipo de ataque plantea un riesgo directo para datos personales, contraseñas e incluso acceso a servicios bancarios si el troyano consigue extenderse y capturar credenciales.

Cómo comprobar si tu PC se ha visto comprometido

Ante un incidente de estas características, la recomendación de los analistas es no confiarse y realizar una revisión exhaustiva del sistema si se ha descargado CPU-Z, HWMonitor u otro software de CPUID en las últimas fechas, especialmente alrededor del 9 y 10 de abril.

El primer paso es identificar si descargaste o actualizaste cualquiera de estos programas durante ese intervalo aproximado de seis horas. Si no lo hiciste, y ya tenías las aplicaciones instaladas de antes, es muy probable que no te hayas visto afectado, ya que los instaladores previos no están implicados en el incidente.

Si sí descargaste o ejecutaste algún instalador, conviene:

  • Desinstalar CPU-Z, HWMonitor y cualquier otro software instalado desde cpuid.com durante esos días.
  • Pasar un análisis completo con Windows Defender o con otro antivirus de confianza actualizado.
  • Subir los instaladores que aún conserves a VirusTotal para verificar si siguen siendo detectados como maliciosos.
  • Revisar procesos en ejecución y programas que se inician con Windows, por si hubiera componentes desconocidos.

En caso de que el análisis detecte amenazas, es imprescindible seguir las instrucciones de eliminación del antivirus y, si es posible, realizar un escaneo desde un entorno de rescate (por ejemplo, un disco de arranque de la propia suite de seguridad) para asegurarse de que no queda rastro del troyano.

Para usuarios y empresas que manejan información sensible, no está de más valorar la opción de restaurar una copia de seguridad anterior al incidente o, en casos extremos, reinstalar el sistema desde cero si se sospecha que el malware pudo ganar privilegios elevados.

Riesgos del malware distribuido y posible impacto en datos y contraseñas

Según los informes compartidos por vx-underground y otros investigadores, el código distribuido a través de las descargas comprometidas de CPUID no era un simple adware molesto, sino un malware fuertemente troyanizado. Este tipo de amenazas suelen estar orientadas a robar datos y mantener un acceso persistente al sistema infectado.

Entre los riesgos potenciales se incluyen:

  • Robo de credenciales de acceso a servicios online (correo, redes sociales, banca, plataformas de trabajo remoto, etc.).
  • Captura de información personal y datos sensibles almacenados en el equipo o en el navegador.
  • Instalación silenciosa de software adicional malicioso para ampliar el control del atacante.
  • Uso del ordenador como parte de una red de bots para ataques posteriores (spam, DDoS, distribución de malware a terceros).

En entornos profesionales europeos, donde muchos técnicos utilizan CPU-Z y HWMonitor para pruebas rápidas en equipos de clientes, el impacto puede ser mayor: una máquina de trabajo comprometida podría servir de puerta de entrada a redes corporativas, con consecuencias legales y económicas si se ven afectados datos de terceros.

Por todo ello, las recomendaciones de los expertos son claras: quien haya descargado o instalado estos programas en las fechas sospechosas debe asumir la posibilidad de que sus contraseñas y datos confidenciales se hayan visto comprometidos y actuar en consecuencia, tomando medidas preventivas aunque no haya síntomas visibles inmediatos.

Qué hacer si has usado CPU-Z o HWMonitor recientemente

Si en las últimas semanas has recurrido a CPU-Z o HWMonitor para comprobar las temperaturas de tu PC, revisar voltajes o diagnosticar tirones en juegos, es importante distinguir entre usar el programa ya instalado y haber descargado un instalador nuevo desde la web.

Quienes llevan tiempo con estos programas instalados y no han realizado descargas recientes, en principio, no tendrían por qué estar afectados. El problema se ha centrado en la fase de descarga y ejecución de instaladores, no en el funcionamiento normal del software ya presente en el sistema.

  Qilin aprovecha BYOVD y un payload de Linux para golpear redes Windows

En cambio, si actualizaste los programas o los instalaste por primera vez alrededor de las fechas del incidente, conviene tomar medidas adicionales:

  • Cambiar las contraseñas de los servicios principales (correo, banca online, redes sociales) desde un dispositivo de confianza distinto.
  • Habilitar, siempre que sea posible, la autenticación en dos pasos para dificultar el acceso a los atacantes.
  • Revisar los registros de actividad de las cuentas (inicios de sesión extraños, ubicaciones inusuales, dispositivos desconocidos).
  • Monitorizar movimientos bancarios o pagos digitales para detectar compras o extracciones no autorizadas.

En el caso de pequeñas empresas, tiendas de informática o servicios técnicos en España y Europa que puedan haber utilizado estos instaladores en equipos de clientes, es recomendable informar de forma transparente a las personas afectadas y sugerirles que revisen sus sistemas y cambien contraseñas por precaución.

CPUID, otros programas implicados y la importancia de la procedencia

Aunque el centro del incidente está en CPU-Z y HWMonitor, algunas investigaciones han apuntado a que otros programas y páginas populares habrían sufrido intentos similares de manipulación en sus canales de descarga. Se han mencionado casos de enlaces alterados relacionados con herramientas muy conocidas como Notepad++ o 7-Zip, mediante páginas falsas y redirecciones a instaladores con troyanos.

En el caso de CPUID, las descargas comprometidas utilizaban la misma ruta estándar de acceso a los archivos, pero redirigían a un dominio alternativo donde se alojaban los ejecutables maliciosos. Incluso se usaron nombres de programas legítimos y conocidos (como HWiNFO) para ganar credibilidad y, de paso, dañar la reputación de otras herramientas de monitorización.

Los expertos insisten en que este escenario demuestra que, aunque siempre se ha recomendado descargar software desde la web oficial para evitar sorpresas, ni siquiera eso garantiza al 100 % que no vaya a haber problemas. Si la propia página legítima se ve comprometida, el usuario puede terminar instalando malware creyendo que actúa de forma segura.

Esto no significa que haya que dejar de acudir a los sitios oficiales, pero sí refuerza la idea de complementar esa práctica con otras medidas: comprobar firmas digitales cuando existan, analizar instaladores sospechosos en VirusTotal, estar atentos a nombres de archivo extraños y no ignorar jamás las alertas del antivirus, aunque provengan de programas con buena reputación.

Medidas de prevención para el futuro

Más allá de este caso concreto, el incidente con CPU-Z y HWMonitor sirve como recordatorio de que la seguridad en el PC no depende solo de evitar páginas dudosas o software pirata. Incluso las herramientas más conocidas pueden verse afectadas si su infraestructura de distribución falla.

Algunas recomendaciones generales que cobran sentido tras este episodio son:

  • Utilizar siempre un antivirus actualizado y no desactivar sus advertencias por comodidad.
  • Analizar instaladores descargados con servicios multilínea como VirusTotal cuando surja la mínima duda.
  • Verificar la firma digital de los ejecutables cuando el desarrollador la ofrezca.
  • Evitar ejecutar instaladores cuyo nombre, idioma o comportamiento se salga de lo normal.
  • Mantener copias de seguridad periódicas para poder recuperar el sistema en caso de infección grave.

En el contexto europeo, donde la normativa de protección de datos (como el RGPD) obliga a extremar las precauciones con la información personal, este tipo de fallos en la cadena de suministro de software recuerdan a empresas y usuarios que la ciberseguridad no es un mero trámite, sino una necesidad continua.

Aunque CPUID afirma haber solucionado el problema y restablecido la seguridad de las descargas, la prudencia aconseja mantenerse atento, revisar cualquier instalación reciente de CPU-Z y HWMonitor y aplicar las buenas prácticas de seguridad comentadas. Este incidente demuestra, una vez más, que incluso los programas más veteranos y confiables pueden convertirse, aunque sea durante unas horas, en un canal inesperado para la distribución de malware.

apps maliciosas para Android en 2025
Artículo relacionado:
Apps maliciosas para Android: así se refuerza la seguridad en Google Play