Si Microsoft Defender empezó a alertarte al abrir Twitch.tv desde mediados de diciembre de 2024 con nombres como Trojan:Script/Wacatac.B!ml o Trojan:Win32/Malgent, no estás solo. Aquí tienes un análisis claro, causas probables y una guía práctica para actuar con seguridad sin desactivar tu protección.
Resumen del problema
Varios usuarios reportaron que, al visitar Twitch.tv, Windows Defender detecta un archivo almacenado en la caché del navegador (Edge, Chrome o Firefox). El archivo contiene un JavaScript fuertemente ofuscado y empaquetado en GZip. La detección varió con el paso de los días, pasando de Trojan:Script/Wacatac.B!ml a Trojan:Win32/Malgent. Pese a la alarma, no se observaron comportamientos anómalos en los equipos y otros antivirus no reportaron actividad sospechosa.
Qué está pasando al visitar Twitch
- El sitio sirve contenido dinámico con scripts de gran tamaño y elevada ofuscación. Es común en plataformas complejas que optimizan al máximo el rendimiento y la protección de su código.
- Ese script se guarda temporalmente en la caché del navegador y, en algún momento posterior, Defender lo analiza y lo marca.
- La alerta suele aparecer incluso horas después de la visita, lo que indica que la detección ocurre durante un escaneo en reposo de archivos en caché y no por una ejecución activa.
Causas probables
Falso positivo de Microsoft Defender
Los motores heurísticos de antivirus castigan la ofuscación extrema y ciertos patrones comunes en empaquetadores de JavaScript. Si una muestra muy ofuscada no exhibe comportamiento malicioso, puede aun así activar heurísticas que la confundan con malware empaquetado. Por eso, aun sin actividad hostil, aparece una detección.
Cambio reciente en el front‑end de Twitch
Varios testimonios señalan la coincidencia temporal entre el inicio de las alarmas y un despliegue de cambios de interfaz (UI beta). Un build nuevo de front‑end puede alterar el patrón de los scripts (longitud, compresión, cadenas, estructura) y gatillar firmas heurísticas.
Diferencias entre motores antivirus
Cada proveedor usa firmas y modelos propios. Es habitual que solo Microsoft Defender marque un archivo que otros motores aceptan, especialmente cuando el detonante es heurístico y no una firma concreta del malware.
Evidencias y señalizaciones típicas
- Ruta afectada: caché del navegador (no ubicaciones de arranque ni carpetas del sistema).
- Nombres de amenaza: comenzaron como Trojan:Script/Wacatac.B!ml y en días posteriores cambiaron a Trojan:Win32/Malgent.
- Sin síntomas: no hay procesos extraños, consumo anómalo de CPU ni red, ni persistencia en arranque.
- Otros motores: no marcan la muestra o la clasifican como limpia.
Soluciones y recomendaciones
| Acción | Propósito | Observaciones |
|---|---|---|
| Enviar la muestra a Microsoft • Portal “Submit a file for malware analysis” | Acelerar la reclasificación de firmas | Varios usuarios ya lo hicieron; si Microsoft confirma el falso positivo, publicará una actualización de definiciones. |
| Mantener Defender actualizado | Recibir la corrección en cuanto esté disponible | A veces las detecciones desaparecen tras una nueva base de firmas, como reportó un usuario el 17‑dic. |
| Limpiar o dejar que Defender cuarentene la caché | Eliminar el archivo detectado | No afecta al sistema; el archivo se vuelve a crear al visitar Twitch. |
| Evitar Twitch temporalmente | Prevenir la reaparición de la alerta | Única “solución” segura hasta que Twitch o Microsoft resuelvan. |
| Verificar el archivo manualmente (opcional) • VirusTotal • Comando PowerShell propuesto | Confirmar si la huella coincide con la muestra reportada | Útil para usuarios avanzados; no necesario para la mayoría. |
Guía paso a paso
Cómo enviar la muestra a Microsoft
- Abre Seguridad de Windows > Protección contra virus y amenazas > Historial de protección.
- Localiza la alerta relacionada con Twitch y pulsa Detalles para ver Nombre, Ruta y Acción.
- En la sección de envío de muestras, utiliza el portal llamado “Submit a file for malware analysis” de Microsoft. Sube el archivo desde la ruta indicada por la alerta (si ya fue eliminado, vuelve a visitar Twitch y deja que Defender lo detecte de nuevo para capturarlo).
- Incluye en la descripción que el archivo proviene de la caché del navegador al visitar twitch.tv y que otros motores no lo detectan.
Cuantas más muestras limpias reciba Microsoft, más rápido podrá ajustar las firmas o las reglas heurísticas que están provocando la marca errónea.
Mantén Microsoft Defender al día
- En Windows Update, pulsa Buscar actualizaciones y aplica cualquier actualización pendiente.
- En Seguridad de Windows > Protección contra virus y amenazas > Actualizaciones de protección, pulsa Buscar actualizaciones.
- Para usuarios avanzados, puedes ejecutar en PowerShell (como administrador):
Update-MpSignature Get-MpComputerStatus | Select AMProductVersion, AntimalwareSignatureVersion
Quita la caché o deja que Defender la maneje
No hay indicios de que el archivo en caché ejecute nada por sí mismo. Aun así, si quieres limpiar:
- Edge/Chrome: pulsa Ctrl+Shift+Supr, marca Imágenes y archivos en caché y confirma. Cierra y reabre el navegador.
- Firefox: Opciones > Privacidad y seguridad > Cookies y datos del sitio > Limpiar datos. Cierra y reabre.
- También puedes dejar que Defender cuarentene el archivo; al revisitar Twitch, se regenerará la caché y, si ya hay firma corregida, no volverás a ver la alerta.
Evita Twitch temporalmente
Si no quieres ver alertas repetidas hasta que haya una actualización de firmas o un cambio de Twitch, la opción más simple es no visitar el sitio por unos días. Es la vía más conservadora si administras equipos de terceros o estaciones de trabajo críticas.
Verificación manual para usuarios avanzados
Si necesitas confirmar que la muestra corresponde a este incidente, puedes inspeccionarla sin ejecutarla y calcular su hash. El objetivo es verificar que:
- Está GZip‑comprimida (cabecera
1F 8B 08). - Contiene JavaScript altamente ofuscado típico de empaquetadores de front‑end.
- No hay llamadas evidentes a APIs de persistencia ni a binarios externos.
Ejemplo de extracción segura con PowerShell (lee el archivo, lo descomprime a texto y calcula el hash):
# <Rellena $path con la ruta que muestra Defender en la alerta>
$path = "C:\Users\TU_USUARIO\AppData\Local\Microsoft\Edge\User Data\Default\Cache\xxxxxxxx"
$bytes = [IO.File]::ReadAllBytes($path)
Detecta cabecera GZip
if (\$bytes.Length -gt 2 -and \$bytes\[0] -eq 0x1f -and \$bytes\[1] -eq 0x8b) {
\$ms = New-Object IO.MemoryStream(\$bytes)
\$gz = New-Object IO.Compression.GzipStream(\$ms, \[IO.Compression.CompressionMode]::Decompress)
\$sr = New-Object IO.StreamReader(\$gz)
\$content = \$sr.ReadToEnd()
\$out = Join-Path \$env\:TEMP "twitch-sample.js"
\$content | Set-Content -Path \$out -Encoding UTF8
Write-Host "JS descomprimido en: \$out"
}
Huella
Get-FileHash -Path \$path -Algorithm SHA256Nota: no abras el archivo con el navegador ni lo ejecutes. La inspección debe hacerse como texto plano.
Rutas de caché típicas por navegador
| Navegador | Ruta habitual de caché en Windows | Comentarios |
|---|---|---|
| Microsoft Edge | C:\Users<usuario>\AppData\Local\Microsoft\Edge\User Data\Default\Cache\ | A veces aparece en Code Cache\js, donde se almacenan scripts compilados. |
| Google Chrome | C:\Users<usuario>\AppData\Local\Google\Chrome\User Data\Default\Cache\ | Estructura similar a Edge por compartir base Chromium. |
| Mozilla Firefox | C:\Users<usuario>\AppData\Local\Mozilla\Firefox\Profiles<perfil>\cache2\entries\ | La nomenclatura de archivos no conserva la extensión original. |
Buenas prácticas y lo que conviene evitar
- No crees exclusiones globales en Defender para la carpeta de caché: sería una puerta abierta a amenazas futuras.
- No pulses “Permitir en el dispositivo” salvo que entiendas perfectamente el riesgo; es preferible dejar que el archivo sea eliminado o cuarentenado.
- Actualiza primero y vuelve a probar. Muchas oleadas de falsos positivos se corrigen en horas o pocos días con nuevas firmas.
- Supervisa: si aparecen síntomas reales (persistencia, procesos desconocidos, conexiones salientes extrañas), ya no estaríamos ante un falso positivo y deberías profundizar.
Cómo diferenciar un falso positivo de una infección real
| Señal | Falso positivo probable | Compromiso probable |
|---|---|---|
| Ubicación del archivo | Sólo en caché del navegador | Copias en carpetas de inicio, ProgramData o Run/RunOnce |
| Tiempo de la alerta | Minutos u horas después de navegar | Inmediata al ejecutar un binario o tras reiniciar |
| Otros síntomas | Ninguno | Procesos desconocidos, cambios en el navegador, red anómala |
| Otros antivirus | No detectan | Varios motores marcan el mismo artefacto |
Cronología resumida de diciembre de dos mil veinticuatro
- Once a doce de diciembre: comienzan alertas de Wacatac.B!ml vinculadas a scripts servidos por Twitch.
- Días posteriores: el nombre de la amenaza pasa a Malgent, consistente con ajustes de firmas.
- Diecisiete de diciembre: usuarios informan que, tras actualizar firmas, la alerta deja de reproducirse en algunos equipos.
Preguntas frecuentes
¿La alerta implica que mi equipo está infectado?
No necesariamente. En este caso concreto, todo apunta a un falso positivo contra un script legítimo pero fuertemente ofuscado en la caché del navegador.
¿Por qué aparece la alerta cuando no estoy navegando?
Porque Defender realiza escaneos diferidos de archivos en reposo. Es normal que señale ítems de caché horas después.
¿Es seguro seguir usando Twitch?
Si necesitas usarlo, puedes permitir que Defender elimine o cuarentene el archivo detectado y continuar. Si prefieres evitar notificaciones hasta que se aclare, simplemente no entres a Twitch por unos días.
¿Debo desactivar Defender para evitar la alerta?
No. No se recomienda desactivar la protección en tiempo real ni crear exclusiones amplias. Es mejor actualizar firmas y esperar la corrección.
¿La aplicación de escritorio de Twitch o consolas se ven afectadas?
El problema reportado está asociado al contenido web en navegadores. No hay informes asociados a aplicaciones nativas o consolas en este contexto.
Checklist rápido para administradores
- Reproducir el caso en un entorno aislado y confirmar que la detección proviene de la caché tras cargar twitch.tv.
- Actualizar definiciones de Defender en todos los equipos (Update-MpSignature o mediante WSUS/Intune) y volver a probar.
- Enviar al portal de muestras el artefacto detectado desde varios navegadores para acelerar la reclasificación.
- Evitar crear exclusiones y documentar la incidencia como falso positivo probable mientras se aguarda confirmación oficial.
Motivos técnicos de la detección
Los nombres de amenaza observados encajan con clasificaciones genéricas:
- Script/Wacatac.B!ml suele asociarse a heurísticas de machine learning para JavaScript densamente ofuscado o empaquetado.
- Win32/Malgent se usa para artefactos con comportamientos sospechosos de loader/agent, a menudo detonados por patrones de empaque o cadenas.
En ambos casos, la clave es que no hay evidencia de ejecución maliciosa desde la caché ni persistencia posterior. Eso refuerza la hipótesis de un falso positivo derivado de la combinación de gzip + ofuscación + tamaño + patrones de empaquetado del front‑end de Twitch.
Decisión práctica y gestión del riesgo
Si administras tu propio equipo:
- Opción conservadora: no visitar Twitch hasta que un ajuste de firmas elimine la alerta.
- Opción pragmática: seguir usando Twitch y permitir que Defender elimine o cuarentene el archivo cuando aparezca la alerta.
Si administras equipos de terceros o producción:
- Etiqueta internamente el incidente como “falso positivo probable” y documenta los pasos seguidos.
- Bloquea temporalmente el dominio si las alertas impactan productividad, pero planifica revertirlo cuando se confirme la corrección.
Conclusión
Todo indica que estamos ante un falso positivo en Microsoft Defender contra un script legítimo ofuscado que Twitch sirve al cargar su página. La medida más efectiva es mantener Defender actualizado y, en paralelo, permitir que el motor elimine o cuarentene el archivo de caché sin tocar configuraciones críticas. Hasta que Microsoft ajuste sus firmas o Twitch modifique el script, la decisión práctica es:
- Ignorar la alerta (dejando que Defender cuarentene el archivo) si confías en Twitch, o
- No visitar Twitch por unos días si prefieres evitar notificaciones.
En cualquier caso, no hay señales de daño ni de ejecución maliciosa; por tanto, no se recomienda desactivar la protección ni crear exclusiones amplias. Con una actualización de firmas o un cambio menor en el front‑end, estas detecciones deberían desaparecer.
Apéndice. A modo de referencia, esta es una plantilla breve para registrar el incidente en tu mesa de ayuda:
Título: Detecciones de Microsoft Defender al visitar Twitch.tv
Estado: Investigación – falso positivo probable
Impacto: Alertas intermitentes en caché del navegador; sin síntomas de compromiso
Primeros reportes: 11–12 dic 2024
Motores afectados: Microsoft Defender
Nombres de amenaza: Trojan:Script/Wacatac.B!ml; Trojan:Win32/Malgent
Acciones realizadas: actualización de firmas, envío de muestra a Microsoft, limpieza de caché
Plan: esperar reclasificación/actualización, evitar exclusiones; comunicar resolución a usuarios