Wednesday, September 3, 2025

RANSOMWARE potenciado por IA

 

La evolución del ransomware ha dado un giro inquietante con la aparición de PromptLock, identificado por investigadores de la firma de seguridad ESET como el primer ransomware que hace uso de inteligencia artificial (IA) para potenciar sus capacidades. Aunque por ahora se considera un proof-of-concept (PoC) y no ha sido observado en campañas activas, su existencia marca un antes y un después en el panorama de amenazas digitales.

La irrupción de la IA en el ransomware

A diferencia de los ransomwares tradicionales, PromptLock integra un modelo local de IA -GPT-OSS:20B, ejecutado a través de la API Ollama- capaz de generar scripts maliciosos en tiempo real. Esta capacidad lo convierte en una herramienta dinámica y adaptable, que puede:

  • Escanear el sistema comprometido.

  • Identificar archivos críticos.

  • Extraer, cifrar o destruir información.

El malware está desarrollado en Golang, lo que le permite ser multiplataforma (Windows, Linux, macOS). Para el cifrado utiliza el algoritmo SPECK de 128 bits, conocido por su ligereza y velocidad. Además, incluye direcciones de Bitcoin vinculadas al propio Satoshi Nakamoto como parte del proceso de rescate.

¿Cómo opera PromptLock?

ESET detalla una cadena de ejecución en cinco fases principales:

  1. Inicialización en Golang
    Ejecución como binario multiplataforma.

  2. Invocación del modelo de IA
    Carga del modelo local y generación de scripts maliciosos en tiempo real.

  3. Generación dinámica de payloads
    Variabilidad en cada ejecución, dificultando la detección tradicional.

  4. Cifrado de archivos
    Uso del algoritmo SPECK, con velocidad y adaptabilidad en distintos entornos.

  5. Nota de rescate
    Instrucciones de pago en Bitcoin hacia direcciones vinculadas a Satoshi.

Indicadores de compromiso (IoCs)

ESET ha identificado múltiples muestras asociadas al ransomware bajo la familia Filecoder.PromptLock.A, incluyendo hashes SHA1 como:

  • 24BF7B72F54AA5B93C6681B4F695E794D7C1C102

  • AD2257EBB4563446A4EE5227357BBFDC8AD3A797

  • 639D8C9B36509D63471A42FCAE64725B09F73270

Estos IoCs permiten a los equipos de seguridad actualizar sus mecanismos de detección y reforzar sus defensas.

Relevancia y riesgos estratégicos

PromptLock no solo representa un nuevo tipo de ransomware: es una prueba de concepto de lo que está por venir en la era del cibercrimen impulsado por IA. Sus implicaciones son profundas:

  • Evolución técnica: el malware no se limita a un código estático, sino que genera scripts dinámicos, reduciendo la efectividad de firmas y heurísticas tradicionales.

  • Reducción de barreras: cualquier actor con acceso a modelos de IA locales podría generar malware avanzado sin necesidad de amplios conocimientos técnicos.

  • Obsolescencia defensiva: la naturaleza no determinista de los scripts generados obliga a repensar los sistemas de detección actuales.

Reflexión final: una amenaza emergente

Si bien PromptLock aún no ha demostrado capacidad destructiva en entornos reales, su aparición debe ser entendida como un llamado de alerta. El uso de IA en ransomware abre la puerta a ataques más sofisticados, evasivos y personalizados, que desafían las defensas actuales y amplían la superficie de exposición de empresas y gobiernos.

La ciberseguridad entra en una nueva etapa: una en la que el adversario no solo programa malware, sino que lo entrena. Ante ello, la comunidad de seguridad debe acelerar la adopción de enfoques basados en detección conductual, inteligencia artificial defensiva y estrategias proactivas de threat hunting.

at
Labels: , , , , ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

En el contexto creciente de convergencia entre sistemas industriales, inteligencia artificial (IA) y digitalización, la gestión del riesgo c...