Durante el primer trimestre de 2025, el malware Legion Loader, también conocido como Wincir, ha reaparecido con fuerza, según el "Informe de Amenazas Q1 2025" de la empresa de ciberseguridad Gen, responsable de marcas como Norton y Avast.

Este troyano de acceso remoto, que se creía en retirada desde 2022, ha regresado utilizando métodos más engañosos y efectivos. Su nueva estrategia se basa en falsas actualizaciones de software, que engañan a los usuarios para que instalen el malware por su cuenta. Estas estafas han crecido un 1,711% a nivel mundial, replicando de manera muy precisa las notificaciones legítimas de navegadores como Google Chrome.

Legion Loader se esconde en sitios web maliciosos que simulan ser portales de descarga confiables. A diferencia de una descarga real, estas páginas solicitan al usuario realizar pasos manuales, como hacer doble clic o pulsar 'Intro', lo que activa la infección. El malware no se ejecuta automáticamente; necesita del consentimiento del usuario para ingresar al sistema.

Los países más afectados por esta técnica incluyen Alemania, España, Italia, Reino Unido, Polonia y otros en Europa y Oceanía.

El informe advierte que esta amenaza no solo se mantiene activa, sino que evoluciona. Gracias a la inteligencia artificial, los cibercriminales están desarrollando estafas más personalizadas y dirigidas por región, lo que dificulta aún más su detección. Aunque el número total de ciberataques no ha aumentado drásticamente, sí lo han hecho su precisión y sofisticación.

Gen concluye que la clave para combatir estos riesgos está en la prevención y la educación digital. Estar alerta ante actualizaciones sospechosas, mantener el software actualizado desde fuentes oficiales y usar herramientas de seguridad confiables puede marcar la diferencia ante estas amenazas.

En resumen: Legion Loader ha vuelto, y aunque ya no actúa como antes, su nueva cara es aún más peligrosa porque depende del error humano. La ciberseguridad, más que nunca, comienza por el usuario.