Ransomware en navegadores: nueva amenaza generada por IA en Windows y Android
Publicado el
Introducción
Recientemente, investigadores de ciberseguridad han identificado un nuevo tipo de ransomware que aprovecha la API de Chromium para ejecutar ataques en navegadores de Windows y Android. Este malware, creado mediante la herramienta DeepSeek, combina conceptos teóricos de ransomware con capacidades reales de los navegadores, lo que representa un avance preocupante en el panorama de amenazas.
Descripción del malware
El artefacto malicioso, una aplicación de Python Flask denominada "deepseek_python_20260125_da0631.py", fue detectado en VirusTotal el 25 de enero de 2026. Este programa, conocido como InfernoGrabber v9.0, se presenta como un servidor web malicioso que atrae a las víctimas con un supuesto mejorador de avatares de Discord basado en IA. Sin embargo, en su funcionamiento clandestino, realiza diversas acciones perjudiciales como el robo de tokens de Discord, números de tarjetas de crédito y frases semilla de criptomonedas, además de registrar pulsaciones de teclas y capturar feeds no autorizados de cámaras y micrófonos.
Mecanismo de ataque
El código de este ransomware incluye rutinas específicas para la explotación de navegadores, apuntando a vulnerabilidades como CVE-2023-4863. Utiliza un webhook de Discord para la exfiltración de datos y presenta una pantalla de bloqueo que exige un rescate en Bitcoin. Además, cuenta con un panel administrativo que permite al atacante gestionar la información robada.
Los investigadores de Check Point advierten que este es el primer caso documentado donde un modelo de IA ha logrado conectar de manera efectiva una teoría de ransomware basada en navegador con una cadena de ataque funcional. Esto representa un cambio significativo, ya que los defensores deben adaptarse a esta nueva realidad antes de que los actores de amenazas la operativicen a gran escala.
Implicaciones de la IA en la ciberseguridad
La aparición de este ransomware subraya cómo la inteligencia artificial y los modelos de lenguaje de gran tamaño (LLMs) están redefiniendo el paisaje de las ciberamenazas. DeepSeek, en particular, ha mostrado tasas de rechazo más bajas para solicitudes cibernéticas maliciosas en comparación con sus contrapartes occidentales, como Anthropic, Google y OpenAI. Su acceso gratuito y la capacidad de generar aplicaciones maliciosas a partir de un único comando amplio contribuyen a su creciente uso en la creación de malware.
Riesgos futuros
La técnica de ataque del ransomware implica engañar al usuario para que otorgue acceso al sistema de archivos a una página web. Una vez concedido, el malware puede enumerar archivos locales, leer y exfiltrar su contenido, cifrarlo y sobrescribirlo, y finalmente mostrar una nota de extorsión al usuario. Esta metodología es alarmante porque se puede ejecutar sin necesidad de instalar un payload nativo, explotar una vulnerabilidad específica del navegador o requerir acceso root.
Aunque actualmente no hay evidencia de que este patrón de ransomware basado en navegador se haya utilizado en ataques reales, la facilidad con la que los actores maliciosos pueden generar código ofensivo a través de la IA es preocupante. Los modelos de IA pueden transformar ideas maliciosas abstractas en ataques concretos, incluso si los atacantes no conocen las funcionalidades existentes en las plataformas.
Conclusión
El surgimiento de este ransomware representa un cambio fundamental en la forma en que se desarrollan los ataques cibernéticos. La capacidad de un modelo de IA para razonar de manera independiente sobre funciones legítimas de la plataforma y generar una técnica de ataque operativa es un indicativo de que las barreras para la operativización de ataques complejos están disminuyendo, lo que tiene profundas implicaciones para la ciberseguridad en el futuro.