TLauncher tiene virus? El instalador oficial de TLauncher no contiene virus en sentido estricto. Sin embargo, el sandbox ANY.RUN analiza TLauncher.exe con veredicto actividad maliciosa y lo clasifica como loader con comportamiento antiVM.
El programa descarga su propio entorno Java desde servidores propios con vulnerabilidades conocidas, recopila datos del hardware mediante WMIC y conecta con dominios de reputación desconocida en el primer arranque.
Las versiones distribuidas por terceros fuera de tlauncher.org sí incorporan malware real documentado. La respuesta depende de dónde lo descargaste.

Hay una pregunta que llevan años haciéndose millones de jugadores de Minecraft y a la que nadie ha dado una respuesta técnica real en español. No un hilo de Reddit, no un vídeo de TikTok, no la propia web de TLauncher diciéndote que no tienes nada que temer. Aquí están los datos del sandbox, el análisis de VirusTotal y lo que encontré dentro del ejecutable cuando lo dejé correr en un entorno controlado.
La distinción entre versión oficial vs copias falsas
TLauncher existe en dos versiones completamente distintas: el instalador oficial disponible en tlauncher.org y las decenas de copias modificadas que circulan en webs de descarga de terceros, foros y resultados de Google que imitan el dominio oficial.
Las copias falsas son malware sin discusión. Kaspersky identificó en marzo de 2025 el loader RenEngine distribuyéndose a través de versiones falsas de TLauncher junto a juegos pirateados, con stealers de contraseñas documentados.
Si descargaste TLauncher de cualquier sitio que no sea tlauncher.org, esa es tu primera preocupación antes de seguir leyendo.
El instalador oficial tiene firma digital verificable de TLauncher Inc. y un SHA256 que puedes comprobar tú mismo: 2b0e05e169643319074f306153e55f2d839adb0378d6e721c04198233b892bfa. Cualquier archivo con un hash distinto no es el programa real.
Análisis en ANY.RUN: lo que hace el ejecutable oficial
El sandbox ANY.RUN ejecutó TLauncher.exe versión 2.9319 — análisis completo disponible en app.any.run/tasks/a04b6c72-fee1-4abf-8b1a-e9aaf21843e6.

SHA256 analizado:A7D271B12CE557516CD8F46ACC4CE86D3F65B1BB323932119706B367EBAA6F20Sistema: Windows 10 Professional 64-bit Veredicto:Actividad maliciosaClasificación:Loader · AntiVM
El veredicto suena peor de lo que es en algunos aspectos, y más preocupante de lo que TLauncher admite en otros. Voy por partes.
Al ejecutarse, TLauncher arranca javaw.exe para cargar su interfaz. Hasta ahí, nada raro. Lo que hace ese proceso en los minutos siguientes es lo que cambia el análisis.
Ejecuta cuatro instancias de cmd.exe con estos comandos específicos: wmic CPU get NAME para identificar el procesador exacto del equipo, wmic qfe get HotFixID para listar todos los parches de seguridad instalados en el sistema, y dxdiag /whql:off /t para volcar el diagnóstico completo de DirectX incluyendo tarjeta gráfica, resolución y drivers.
Esos tres comandos juntos construyen un perfil de hardware muy detallado de tu PC antes de que hayas aceptado instalar ningún juego.
Las conexiones de red en la primera sesión incluyen repo.tlauncher.org (Cloudflare, reputación conocida), img.fastrepo.org y repo.fastrepo.org en Hetzner Online GmbH, Alemania (reputación desconocida), y advancedrepository.com, también en Hetzner, con reputación desconocida según ANY.RUN.
Esta última URL recibe un HEAD request desde javaw.exe en el primer minuto. TLauncher no documenta en ningún sitio qué hay detrás de advancedrepository.com ni para qué sirve esa conexión.
El comportamiento antiVM es la señal técnica más llamativa. La etiqueta aparece porque java.exe contiene código YARA que detecta activamente si está corriendo dentro de una máquina virtual: detección de VirtualBox, de VMware y de entornos de sandbox genéricos.
Un lanzador de juegos no tiene ningún motivo funcional para detectar si está en una VM. Esta es la característica que comparte con el malware real: los programas maliciosos detectan entornos de análisis para comportarse diferente cuando saben que los están observando.
TLauncher no ha documentado públicamente por qué su ejecutable incluye esa detección.
El análisis registra 16.476 eventos de registro con 94 escrituras, y genera el archivo starter.json en AppData\Roaming\.tlauncher\starter\, que el launcher lee en cada arranque. También establece una clave de autorun en el registro de Windows para ejecutarse con el sistema sin que el usuario lo haya configurado así.
Las alertas de red del análisis revelan otro problema:ET INFO Vulnerable Java Version 1.8.x Detected y ET INFO Vulnerable Java Version 21.0.x Detected.
TLauncher descarga e instala su propio entorno Java desde sus servidores en lugar de usar el Java del sistema o el de Mojang.
Las versiones que instala no son las más recientes y tienen vulnerabilidades conocidas. Usar un Java con CVEs sin parchear para ejecutar mods y código de servidores de terceros amplía la superficie de ataque de tu equipo.
Qué dice VirusTotal del instalador oficial

El instalador firmado digitalmente de TLauncher Inc. produce 2 detecciones de 72 motores en VirusTotal, ambas clasificadas como grayware o PUP. No es un resultado limpio, pero no es el escenario de 19 detecciones de uTorrent.
TLauncher argumenta en su web que la firma digital reduce detecciones en cualquier ejecutable, incluso en los de Avast o Windows Update. El argumento es válido a medias: la firma digital sí reduce falsos positivos, pero no explica el comportamiento antiVM documentado en el sandbox ni las conexiones a dominios sin documentar.
Las versiones sin firma que circulan en webs de terceros tienen entre 20 y 55 detecciones según Hybrid Analysis, con clasificaciones que incluyen Win32/Convagent (variante de troyano) e instalación silenciosa de Yandex Browser como componente no declarado.
Qué datos recopila TLauncher según su política de privacidad
TLauncher es transparente sobre parte de su telemetría. El instalador recopila versión del sistema operativo, cantidad de RAM, espacio libre en disco, versión del launcher y presencia de Yandex Browser y Opera para ofrecerte su instalación.
El launcher en funcionamiento recopila nombre del procesador (vía WMIC), parches de seguridad instalados (vía WMIC), configuración completa de DirectX y el GUID único de la máquina leído desde el registro de Windows.
El GUID de máquina es el dato más revelador. Es un identificador único que persiste entre sesiones y permite vincular todas las sesiones de un usuario concreto aunque cambie de cuenta o reinstale el launcher. TLauncher lo lee en cada arranque y lo envía a sus servidores. Su política de privacidad no menciona explícitamente este identificador ni para qué lo usa.
Cómo desinstalarlo limpiamente
Desinstalar TLauncher desde el Panel de control no elimina todos sus archivos. Los directorios que quedan son dos: .tlauncher y .minecraft en C:\Users\TU_USUARIO\AppData\Roaming\. Para eliminarlos pulsa Windows + R, escribe %appdata%, y dentro de Roaming elimina ambas carpetas con Shift + Suprimir para borrarlas sin que pasen por la papelera.
Si tienes partidas de Minecraft guardadas que quieres conservar, copia primero la carpeta saves que hay dentro de .minecraft a otro lugar antes de borrar nada. Después ejecuta un análisis completo con Malwarebytes Free (malwarebytes.com) para verificar que no quedan componentes adicionales.
La alternativa real: PrismLauncher
PrismLauncher (prismlauncher.org) es código abierto, auditado públicamente y aparece limpio en VirusTotal. No descarga Java de servidores propios, no recopila datos de hardware mediante WMIC y no tiene comportamiento antiVM documentado. La interfaz cubre las mismas funciones que TLauncher y permite gestionar mods y versiones personalizadas sin las preguntas que plantea el ejecutable analizado aquí.

Si tienes menos de 18 años, Microsoft ofrece cuentas de Minecraft a precio reducido que eliminan todos estos riesgos de raíz.
Preguntas frecuentes
¿TLauncher me robó las contraseñas? El instalador oficial no contiene código de robo de credenciales documentado. Si descargaste TLauncher de cualquier web que no sea tlauncher.org, la respuesta puede ser diferente: las copias falsas distribuidas por terceros sí incorporan stealers documentados por Kaspersky. Si tienes dudas sobre el origen de tu descarga, cambia las contraseñas de las cuentas que usaste en ese equipo y ejecuta Malwarebytes.
¿Por qué mi antivirus no detectó nada cuando lo instalé? Porque el instalador oficial está firmado digitalmente, lo que hace que muchos antivirus lo traten como software legítimo. La firma digital no garantiza que el software sea benigno, solo que no ha sido modificado desde que fue firmado.
¿Qué significa que TLauncher tenga comportamiento antiVM? Significa que el ejecutable detecta activamente si está corriendo dentro de una máquina virtual o entorno de análisis. Un lanzador de juegos no tiene motivos funcionales documentados para hacer eso. TLauncher no ha explicado públicamente por qué incluye esa detección en su código.
¿Es ilegal usar TLauncher? El programa es legal. Lo que viola los términos de servicio de Mojang/Microsoft es jugar sin comprar el juego, lo que puede resultar en el baneo de cuentas asociadas.
¿PrismLauncher es completamente seguro? Es código abierto, auditado públicamente y aparece limpio en VirusTotal. No tiene ninguno de los comportamientos documentados en el análisis de TLauncher. Es la alternativa más segura disponible actualmente.
¿La versión uTorrent Web es más segura que Classic? Esta pregunta no aplica a TLauncher. Si llegaste aquí buscando información sobre uTorrent, tenemos un análisis técnico completo también disponible en razorman.net.




