Investigadores de ESET han descubierto un nuevo tipo de ransomware que
utiliza inteligencia artificial generativa (GenAI) para ejecutar ataques.
Bautizado como PromptLock, este malware emplea un modelo de lenguaje de
IA accesible localmente para generar scripts maliciosos en tiempo real.
Durante la infección, la propia IA decide de forma autónoma qué archivos
buscar, copiar o cifrar, lo que marca un posible punto de inflexión en la forma
de operar de los ciberdelincuentes.
“El surgimiento de herramientas como PromptLock pone de manifiesto un cambio significativo en el panorama de las ciberamenazas”, afirmó Anton Cherepanov, investigador sénior de malware en ESET, que analizó el código junto a su colega Peter Strýček.
Cómo funciona PromptLock
PromptLock genera scripts en Lua compatibles con varios sistemas operativos, entre ellos Windows, Linux y macOS. El malware escanea archivos locales, analiza su contenido y, basándose en instrucciones predefinidas, determina si exfiltrar o cifrar los datos. El código ya contiene una función destructiva integrada, aunque actualmente permanece inactiva.
PromptLock está escrito en Golang y utiliza el algoritmo de cifrado SPECK de 128 bits. Sus primeras variantes ya han aparecido en la plataforma de análisis de malware VirusTotal.
“Con la ayuda de la IA, lanzar ataques sofisticados se ha vuelto mucho más sencillo, eliminando la necesidad de equipos de desarrolladores altamente especializados”, añadió Cherepanov. “Un modelo de IA bien configurado ahora basta para crear malware complejo y autoajustable. Si se implementa correctamente, este tipo de amenazas podría complicar enormemente la detección y hacer mucho más difícil la labor de los ciberdefensores”.
PromptLock accede a un modelo de lenguaje disponible de forma gratuita mediante una API, lo que significa que los scripts maliciosos generados se envían directamente al dispositivo infectado. El prompt incluye incluso una dirección de Bitcoin supuestamente vinculada al creador de esta criptomoneda, Satoshi Nakamoto.
Clasificación y advertencia
Aunque ESET considera PromptLock como una prueba de concepto, la amenaza que representa es real. Los detalles técnicos han sido publicados por ESET para concienciar a la comunidad de ciberseguridad. El malware ha sido clasificado como Filecoder.PromptLock.A.
Para más noticias de ESET Research, sigue a sus perfiles en X, BlueSky y Mastodon.