Sitio CPUID comprometido: distribuye malware

Entre el 9 y 10 de abril de 2026, el sitio web de CPUID fue comprometido durante seis horas, redirigiendo las descargas de HWMonitor y CPU-Z a instaladores maliciosos. Según The Register, una API secundaria fue atacada (no el código fuente), exponiendo a usuarios a credenciales robadas y posible infección de sistemas. Los archivos originales firmados no fueron comprometidos, pero la ventana de ataque afectó a millones de usuarios potenciales de estas herramientas estándar en IT.

CPUID es la compañía responsable de herramientas de monitoreo de hardware como CPU-Z (información de procesadores) y HWMonitor (monitoreo de sensores y temperatura). Tienen decenas de millones de descargas globales — es lo que un técnico instala cuando necesita saber qué hay dentro de una máquina.

Qué pasó: el ataque a CPUID en 6 horas

La empresa publicó un comunicado oficial explicando exactamente dónde fue el problema. Fue en lo que llamaron “una característica secundaria (básicamente una API lateral)” — no en los ejecutables, no en el repositorio, no en nada que firmaran. El ataque estuvo activo durante aproximadamente seis horas, entre el 9 y 10 de abril, y durante ese tiempo la página principal de descargas comenzó a servir links maliciosos en lugar de los legítimos.

Ponele que entrabas a cpuid.com, buscabas descargar HWMonitor 1.63 (la última versión), hacías clic en el link oficial. Deberías recibir un ejecutable firmado correctamente. En su lugar, durante esa ventana, algunos usuarios se encontraban con un archivo extraño llamado “HWiNFO_Monitor_Setup.exe” — que ni siquiera es el nombre correcto de HWMonitor.

Los usuarios en Reddit comenzaron a reportar alertas de antivirus durante la instalación. Algo raro pasaba en el backend.

El alcance real: millones de usuarios en riesgo potencial

CPU-Z no es una herramienta de nicho. Hablamos de software que tiene decenas de millones de descargas históricas. Es el estándar que usan técnicos en data centers, sysadmins, overclockers, constructores de PC, y cualquiera que necesite especificaciones de hardware. HWMonitor es similar — es lo que instalas cuando querés monitorear temperaturas en servidores o máquinas de producción.

Una ventana de seis horas significa que cualquiera que descargara durante ese período — en cualquier zona horaria — pudo haber recibido la versión infectada. Si sos de una empresa tech, IT manager, o simplemente alguien que mantiene varias máquinas, hay chances de que durante esa madrugada/mañana/tarde hayas descargado sin saberlo el malware. En prácticas de seguridad que deberías conocer profundizamos sobre esto.

Cómo funcionaba el malware y qué hacía

Los detalles técnicos del malware distribuido son los que deberían preocuparte. Los reportes señalan que se trataba de un archivo que se hacía pasar por una DLL del sistema llamada CRYPTBASE.dll — una librería legítima de Windows que maneja cifrado. Vos instalás lo que creés que es HWMonitor, el sistema lo ejecuta, y sin que te des cuenta hay un script PowerShell corriendo en memoria (eso es particularmente peligroso porque no deja rastro en disco tan fácilmente).

Desde ahí, descargaba payloads adicionales compilados en .NET, que se encargaban específicamente de robar credenciales almacenadas en navegadores Chrome. No era un ransomware que cifrara tus archivos, ni un wiper que borrara datos — era un ladrón silencioso que se llevaba contraseñas de Gmail, cuentas bancarias, tiendas online, todo lo que Chrome había recordado.

La cosa se ponía más oscura. Según Cyderes, la infraestructura detrás de este malware estaba vinculada a campañas previas similares (incluyendo ataques a FileZilla). O sea, no era un ataque aleatorio — era un grupo conocido de actores maliciosos que ya había hecho esto antes.

Señales de alerta: cómo saber si fuiste afectado

Si descargaste entre el 9 y 10 de abril de 2026, necesitás revisar rápido algunas cosas. La señal más obvia: el nombre del archivo. Si tu descarga de HWMonitor dice “HWiNFO_Monitor_Setup.exe” o tiene cualquier otro nombre que no sea el estándar hwmonitor_*.exe, eso es un indicador claro de que algo no está bien.

Otra bandera: si tu antivirus saltó una alarma durante la instalación o la descarga, deberías haber escuchado. Muchos usuarios ignoraron esas alertas pensando que era un falso positivo (spoiler: no lo era). Verificá los logs de tu antivirus — si hay algún evento registrado el 9 o 10 de abril, especialmente con palabras clave como “suspicious”, “malware”, o “PUA” (Potentially Unwanted Application), investigá.

También revisá tu historial de descargas del navegador. Si descargaste algo con nombre extraño de cpuid.com en esa fecha, ese es tu culpable. Esto se conecta con lo que analizamos en cómo validar la integridad de descargas.

Qué hacer si descargaste la versión infectada

Lo primero, y sin demora: desinstala HWMonitor o CPU-Z si instalaste versiones durante el 9-10 de abril. No es algo que puedas “limpiar” dejando correr. Sacalo del sistema completamente.

Después, ejecutá un escaneo antivirus completo. No un quick scan — uno profundo, que analice todos los archivos. Si usás Windows Defender nativo, ejecutá esto:

• Antivirus: Malwarebytes (versión premium si podés), Windows Defender o Kaspersky — uno de estos debería detectar si el malware se alojó en memoria o en disco
• Cambio de credenciales: especialmente Gmail, cuentas bancarias, redes sociales — todo lo que Chrome haya recordado
• Verificación de cuentas: revisá el historial de acceso a tus cuentas críticas (Gmail, Amazon, Dropbox) para ver si hay logins sospechosos desde ubicaciones raras
• Monitoreo de tarjeta: si almacenabas datos de tarjeta de crédito en Chrome, contactá a tu banco y pedí que monitoreen la actividad

Si sos usuario más técnico, podés descargar una imagen limpia de Linux desde una USB, bootear desde ahí, y hacer un análisis forense de tu partición Windows sin que el Windows infectado esté corriendo. Pero eso es un nivel de paranoia que probablemente no necesitás a menos que hayas descargado justo durante esa ventana.

Por qué CPUID fue vulnerable: ataques de cadena de suministro

La parte aterradora acá es que el ataque NO fue al código fuente. CPUID no fue hackeada en el sentido de “alguien entró al repositorio y modificó los ejecutables”. El ataque fue más quirúrgico: comprometieron la infraestructura de distribución. La API que servía los links de descarga.

Eso es peor porque es más difícil de prevenir. Vos confías en el sitio web oficial (y está bien confiar). Esperas que cuando entres a www.cpuid.com y descarguás desde ahí, recibís lo legítimo. Pero la compañía es responsable de asegurar que su infraestructura de backend sea hermética. Si esa API lateral no tenía autenticación fuerte, credenciales débiles en el servidor de descargas, o logs de acceso ignorados, un atacante podría entrar relativamente fácil. Te puede servir nuestra cobertura de alternativas seguras sin depender de terceros.

Esto no es algo específico de CPUID. La industria de software ha visto ataques similares: Notepad++ (2026), 7-Zip (presuntamente), FileZilla (múltiples ocasiones). Es un vector de ataque cada vez más popular porque golpea a millones de usuarios simultáneamente desde una fuente que confían.

Estado actual: ¿es seguro descargar CPUID ahora?

CPUID ya publicó que identificó y reparó la vulnerabilidad en el API comprometido. La infraestructura de descargas está limpia. Los ejecutables siguen siendo legítimos y firmados digitalmente con la clave de CPUID.

El “ahora” está limpio. Pero el contexto de riesgo sigue siendo real. Para minimizar riesgos en futuro:

• Descargá desde sitios oficiales verificados (verifica el certificado SSL del dominio — debe estar a nombre de CPUID)
• Considerá obtener HWMonitor desde repositorios alternativos confiables si los hay (GitHub oficial de CPUID, espejos verificados por la comunidad)
• Monitoreá alertas de seguridad en CPUID Twitter/sitio oficial — anunciarán cualquier future incident
• Verificá el hash SHA-256 de los ejecutables si sos técnico (CPUID debería publicar hashes en su sitio)

Errores comunes que cometió la gente

1. Ignorar alertas de antivirus porque “probablemente sea falso positivo”

Falso. Si tu antivirus saltó una alarma en una descarga de cpuid.com el 9-10 de abril, no era paranoia — era detección legítima. Las herramientas modernas (Malwarebytes, Windows Defender, Kaspersky) no alertan sobre ejecutables conocidos sin razón.

2. No revisar el nombre del archivo antes de ejecutar

El instalador tenía un nombre obvio fuera de lugar (HWiNFO en lugar de HWMonitor). Dos segundos de atención al detalle habrían salvado tu sistema. Siempre, SIEMPRE verificá que el nombre del archivo coincida con lo que esperás descargar. Cubrimos ese tema en detalle en plataformas más seguras para distribuir software.

3. No cambiar credenciales almacenadas en Chrome después de la instalación

Si instalaste el malware, Chrome registró todo. El comportamiento correcto es: desinstala, ejecutá antivirus, DESPUÉS cambiá cada credencial sensible. No el revés. Muchos esperaron semanas para hacer esto (si es que lo hicieron).

Preguntas Frecuentes

¿Descargué HWMonitor el 9 de abril, qué hago?

Verificá el nombre del archivo — si dice algo como HWiNFO_Monitor_Setup.exe, desinstala inmediatamente y ejecutá Malwarebytes o antivirus completo. Si el nombre es el estándar (hwmonitor_1.63.exe), probablemente sea legítimo, pero corrés un riesgo. Considerá desinstalar de todas formas, hacé un escaneo, y descargá nuevamente después del 10 de abril.

¿Cómo verifico si CPU-Z es legítimo sin instalar un antivirus?

Descargá VirusTotal (online, es gratis) y subí el ejecutable. Te mostrará los resultados de 70+ antivirus simultáneamente. Si 1 o 2 lo marcan es posible que sea falso positivo; si 20+ lo marcan, es malware.

¿Está comprometido el código fuente de CPU-Z ahora?

No según el comunicado de CPUID. El ataque fue al API de descargas, no al repositorio o binarios. Los archivos firmados nunca fueron tocados. Eso significa que las versiones futuras deberían estar limpias, asumiendo que cierren la brecha de seguridad.

¿Es seguro usar CPUID en un servidor crítico?

Después del 10 de abril, sí. Pero si vos o tu empresa necesitan herramientas de monitoreo de hardware en servidores de producción, considerá alternativas como lm-sensors (Linux), OpenHardwareMonitor (multiplataforma), o herramientas propias de tu proveedor de cloud. No porque CPUID sea malo, sino porque tools de terceros en producción siempre llevan riesgo.

¿Qué hago si recién ahora me entero y descargué hace dos meses?

Nada si fue antes del 9 de abril. Después del 10 de abril, tu descarga fue limpia. Si caés exactamente en esa ventana de 6 horas… hacé el escaneo y cambio de credenciales que describimos.

Conclusión

El ataque a CPUID el 9-10 de abril de 2026 fue un recordatorio de algo que la industria sigue sin aprender: ni confiar en un sitio web oficial es suficiente, subís el modelo, lo probás en local, funciona bárbaro, lo mandás a producción y de repente la infraestructura de distribución fue comprometida por alguien que sabía exactamente dónde golpear. Millones de usuarios potenciales de CPU-Z y HWMonitor (herramientas estándar en IT) estuvieron en riesgo durante seis horas.

Lo importante ahora es doble. Primero: si descargaste durante esa ventana, actúa — desinstala, escanea, cambia credenciales. Segundo: el patrón de ataque de cadena de suministro (comprometer la distribución, no el código) es cada vez más común. Confiar en HTTPS y sitios oficiales es necesario pero no suficiente. Verificar hashes, revisar nombres de archivo, escuchar alertas de antivirus — eso ya no es paranoia, es higiene básica. CPUID reparó el fallo, pero vos como usuario tenés que mantener la guardia arriba.

Fuentes

• The Register – CPUID site hijacked to serve malware instead of HWMonitor downloads
• Tom’s Hardware – HWMonitor and CPU-Z developer CPUID breached
• Bleeping Computer – Supply chain attack at CPUID pushes malware
• Cyderes – How CPUID’s HWMonitor supply chain was hijacked
• Sitio oficial de CPUID