¿uTorrent tiene virus? No es un virus en sentido estricto, pero Windows Defender lo clasifica como PUA:Win32/uTorrent con severidad grave porque su instalador descarga y ejecuta software de terceros sin consentimiento claro: McAfee WebAdvisor, RAV Endpoint Protection y AVG Antivirus. En 2015 instaló silenciosamente un minero de criptomonedas llamado Epic Scale. El sandbox ANY.RUN clasifica el instalador actual como actividad maliciosa con las etiquetas adware y loader. No es un falso positivo.

uTorrent tiene más de 150 millones de usuarios y lleva décadas siendo el cliente torrent más usado del mundo. También lleva años siendo detectado por Windows Defender, Malwarebytes, ESET, McAfee y Sophos como software potencialmente peligroso. Aquí está todo lo que ocurre realmente cuando lo instalas, con el análisis técnico del instalador incluido.
Qué detecta Windows Defender y por qué no es un error
Cuando descargas el instalador de uTorrent en Windows 10 o Windows 11 con la protección PUA activa, Windows Defender detecta inmediatamente el archivo con la alerta PUABundler:Win32/uTorrent_BundleInstaller o PUA:Win32/uTorrent, mostrándote una advertencia de severidad grave similar a la que usa para ransomware básico y troyanos bancarios, aunque te permite continuar con «Permitir en el dispositivo».
PUA significa Potentially Unwanted Application: software que no es un virus en sentido estricto, pero que instala cosas que el usuario no pidió explícitamente. En el caso de uTorrent, no son uno ni dos motores antivirus: 19 motores distintos detectan el instalador en VirusTotal como riskware, bundled installer, Trojan.BtcMine o adware. Cuando 19 empresas de seguridad independientes llegan a la misma conclusión sobre el mismo archivo, la palabra «falso positivo» deja de tener sentido.

La captura de VirusTotal añade un matiz importante: no todos los motores lo clasifican como malware, pero varios sí lo marcan como archivo problemático. En este análisis concreto, utorrent_installer.exe aparece con 3 detecciones sobre 70 motores, entre ellas PUP.Optional.BundleInstaller en Malwarebytes, Win/grayware_confidence_60% (W) en CrowdStrike Falcon y una detección genérica como malicious en DeepInstinct.
No es una cifra especialmente alta, pero tampoco encaja con la idea de un instalador completamente limpio.
Lo relevante aquí no es solo el número, sino el tipo de etiquetas que recibe. No estamos viendo firmas aleatorias sin contexto, sino clasificaciones ligadas a bundleware, grayware y software potencialmente no deseado.
Traducido a lenguaje normal: VirusTotal no dice que uTorrent sea un virus clásico, pero sí deja claro que su instalador arrastra suficiente mala reputación como para despertar sospechas en varios motores de seguridad.
Análisis del instalador: lo que ocurre en los primeros 60 segundos
El sandbox ANY.RUN analizó el instalador utorrent_installer.exe (versión 3.6.0, SHA256: BDB05A92A4C80A2D3E186B8667C0B2F69DEDD79A65160E5D8279CF50327F8C0E) y el veredicto es actividad maliciosa, con las clasificaciones adware y loader. El análisis completo está publicado en any.run/tasks/b20acda4-8f54-4032-8c45-911fa3d8ce4f.

Esto es lo que el instalador hace durante la ejecución, explicado paso a paso:
El instalador descarga ejecutables adicionales en tiempo real. Nada más arrancar, utorrent_installer.tmp contacta con api.playanext.com y con d1l65h99sv20xf.cloudfront.net antes de que hayas visto ninguna pantalla de instalación. PlayAnext es el proveedor de ofertas de terceros que gestiona qué software adicional se te presenta. Es decir, el instalador ya ha comunicado tu presencia a un sistema externo antes de que hayas aceptado nada.
Lanza avg_antivirus_free_setup.exe sin que lo hayas pedido. El análisis de ANY.RUN muestra que durante la instalación se ejecuta avg_antivirus_free_setup.exe y avg_antivirus_free_online_setup.exe, que a su vez conectan con v7event.stats.avast.com para enviar telemetría. AVG pertenece a Avast, y su instalador llega como parte del paquete de uTorrent aunque en muchos casos el usuario no haya visto ni aceptado esa oferta de forma consciente.
Se instala en AppData en lugar de Program Files. Los archivos de uTorrent se copian en C:\Users\admin\AppData\Roaming\uTorrent\ en lugar de en C:\Program Files\. Este detalle importa: los programas instalados en Program Files necesitan permisos de administrador para modificarse. Los instalados en AppData no. uTorrent evita ese mecanismo de seguridad de Windows de forma deliberada.
Modifica el registro de arranque automático. El proceso utorrent.exe escribe en la clave de registro de autorun para que el programa arranque con Windows sin que el usuario lo haya configurado así explícitamente.
Lanza utorrentie.exe, un proceso WebHelper oculto. El análisis muestra que uTorrent ejecuta utorrentie.exe con descripción WebHelper con nivel de integridad LOW, lo que significa que corre con los mínimos privilegios del sistema pero con acceso a red. Este proceso es el responsable de cargar los anuncios dentro del cliente y de gestionar la comunicación con los servidores de BitTorrent Inc.
Realiza 149 conexiones de red en la primera sesión, incluyendo llamadas a update.utorrent.li en Islandia, a servidores de Amazon AWS y a bench.utorrent.com para métricas de uso.
El minero de criptomonedas de 2015: Epic Scale
En marzo de 2015, uTorrent 3.4.2 instaló en millones de equipos un software llamado Epic Scale sin consentimiento claro. Epic Scaleusaba los ciclos de CPU del usuario para minar Litecoin y Bitcoin para terceros. Los usuarios lo descubrieron porque sus equipos iban lentos, los ventiladores funcionaban a máxima velocidad con el PC en reposo y la CPU aparecía al 100% en el Administrador de tareas sin ningún proceso visible que lo justificara.

BitTorrent Inc. defendió la práctica argumentando que la oferta se podía rechazar durante la instalación. El problema documentado en foros de la época es que muchos usuarios recibieron Epic Scale sin haber visto ninguna pantalla de aceptación, y otros que sí la vieron y rechazaron la oferta lo encontraron instalado igualmente.
El CEO de Epic Scale confirmó públicamente en los foros de Kaspersky que al desinstalar el programa dejaba una clave de registro permanente «para dar la contabilidad correcta a los socios de distribución». Un minero de criptomonedas que se instala sin permiso claro y que al desinstalarse deja rastro en el registro es, por definición, comportamiento de malware.
BitTorrent Inc. retiró Epic Scale en marzo de 2015 tras la cobertura mediática. El minero ya no está presente en las versiones actuales, pero el modelo de instalador agresivo con bundleware no cambió.
Software que instala uTorrent actualmente



Las versiones actuales de uTorrent Classic 3.6.x siguen apoyándose en un instalador cargado de ofertas opcionales de terceros, entre ellas CCleaner, Opera GX y Avast Free Antivirus. Aunque aparecen marcadas como “Optional Offer”, su integración dentro del asistente está pensada para empujar a aceptarlas sin detenerse demasiado a revisar cada pantalla.
En las capturas se ve claramente el patrón: propuestas visualmente destacadas, botones de aceptación muy visibles y un flujo de instalación que presenta estas ofertas como parte natural del proceso. No son componentes obligatorios de uTorrent, pero el diseño del instalador juega a que muchos usuarios avancen por inercia y terminen aceptando software adicional que no habían buscado.
CCleaner se presenta como una herramienta para limpiar y optimizar el PC, Opera GX como navegador orientado al juego y Avast Free Antivirus como protección adicional. El problema no es la existencia de estas ofertas, sino la forma en que se empaquetan y se presentan. El instalador no está diseñado para minimizar fricciones, sino para maximizar la conversión de software añadido.
En la práctica, esto deja una imagen poco limpia de uTorrent: un programa que no se limita a instalarse a sí mismo, sino que utiliza su propia instalación como vehículo para colar productos de terceros. Aunque el usuario pueda rechazarlos, el enfoque es deliberadamente agresivo y poco transparente.
Cómo instalar uTorrent si aún lo necesitas
Si tienes razones concretas para seguir usando uTorrent, el proceso limpio es este:
Abre Seguridad de Windows – Protección contra virus y amenazas – Configuración de protección → Administrar configuración y desactiva Detección de aplicaciones potencialmente no deseadas.

Descarga el instalador exclusivamente desde utorrent.com, ningún otro sitio: las versiones redistribuidas en webs de descarga frecuentemente incluyen malware real incrustado por encima del bundleware original. Durante la instalación, lee cada pantalla y desmarca todas las ofertas que te he mostrado. Al terminar, vuelve a activar la protección PUA en Windows Defender.
Después de instalar, comprueba en Panel de control – Programas – Desinstalar un programa que no haya aparecido nada que no pusiste tú. Revisa también las extensiones del navegador.
Por qué qBittorrent es la alternativa real

qBittorrent es código abierto, no tiene publicidad, no instala bundleware y su instalador aparece prácticamente limpio en VirusTotal.
La interfaz es funcionalmente idéntica a uTorrent Classic y soporta las mismas funciones que uTorrent pone detrás de su versión de pago: descarga secuencial, gestión de ancho de banda, soporte de trackers privados, RSS automático y control remoto por interfaz web. Los archivos de configuración de uTorrent son compatibles con qBittorrent, así que la migración es directa.
Descarga directa: qbittorrent.org/download.php
Preguntas frecuentes
¿uTorrent sigue teniendo el minero de criptomonedas? No. Epic Scale se eliminó del instalador en marzo de 2015. Las versiones actuales no incluyen mineros. El problema presente hoy es el bundleware (McAfee, RAV, AVG) y la clasificación como PUA grave por parte de Windows Defender y otros 18 motores antivirus.
¿Tengo que desinstalar uTorrent si ya lo tenía instalado? No es urgente, pero merece la pena revisar la lista de programas instalados buscando McAfee WebAdvisor, RAV Endpoint Protection y AVG Antivirus, y desinstalar lo que no pusiste tú deliberadamente. Revisa también las extensiones del navegador.
¿Por qué qBittorrent también aparece a veces detectado por Windows Defender? En 2021 Microsoft añadió qBittorrent a su base de datos de PUAs como política general contra clientes torrent en entornos de empresa, no por comportamiento malicioso concreto. A diferencia de uTorrent, el instalador de qBittorrent en VirusTotal aparece prácticamente limpio. La diferencia es que uTorrent tiene 19 detecciones con clasificaciones que incluyen Trojan.BtcMine y adware; qBittorrent tiene cero detecciones de comportamiento malicioso.
¿Es ilegal usar uTorrent? El programa es completamente legal. Lo que puede ser ilegal es el contenido que descargas con él, dependiendo de la legislación de tu país y los derechos de autor del material.
¿La versión uTorrent Web es más segura que Classic? No cambia el problema. Misma empresa, mismo modelo de monetización con bundleware. La superficie de ataque es distinta porque corre en el navegador, pero las prácticas del instalador son idénticas.




