¿Necesitas ayuda o prefieres visitarnos?
Teléfono:
960 260 360
Dirección:
Plaza País Valencia, 25 (bajo)
Investigadores de ESET han descubierto PromptLock, el primer ransomware que usa IA para crear scripts maliciosos en tiempo real, compatible con Windows, Linux y macOS, marcando un nuevo y peligroso hito en el cibercrimen. Este ransomware, impulsado por el modelo gpt-oss:20b de OpenAI, genera dinámicamente scripts en Lua, lo que permite ataques multiplataforma que desafían las soluciones de seguridad tradicionales.
Descubrimiento del Ransomware PromptLock
Investigadores de ESET han identificado un prototipo de ransomware llamado PromptLock, con una particularidad inquietante, utiliza inteligencia artificial para generar scripts maliciosos en tiempo real. El hallazgo se produjo tras analizar muestras subidas a VirusTotal desde Estados Unidos el 25 de agosto de 2025, un detalle que ayudó a trazar la cronología del caso. Este comportamiento dinámico sitúa a PromptLock como un punto de inflexión en la evolución del cibercrimen, ya que altera la manera en que concebimos la detección y respuesta.
PromptLock está escrito en Golang y se conecta mediante proxy al modelo gpt-oss:20b a través de la API de Ollama, un componente clave para orquestar la generación de código dañino. En lugar de incluir scripts estáticos, el malware pide a la IA que produzca, bajo instrucciones codificadas, piezas de Lua que buscan ficheros, los inspeccionan, ejecutan exfiltración selectiva y aplican cifrado. Esta elasticidad operativa complica el análisis forense, ya que cada ejecución puede dar lugar a un artefacto distinto.
Imagen generada por IA con licencia de Freepik
El prototipo emplea SPECK de 128 bits, un algoritmo poco habitual en ransomware y más asociado a entornos de RFID, lo que dificulta la firma basada en patrones comunes. Aunque se sospecha que integra rutinas de borrado o filtrado de datos, los indicios apuntan a que esas capacidades no están completamente desplegadas, por lo que encaja más en la categoría de prueba de concepto. Un investigador se atribuyó su desarrollo y afirmó que el código se filtró de forma accidental, una circunstancia que no reduce el riesgo sino que subraya la fragilidad del ecosistema.
Cibercrimen potenciado por IA: una nueva amenaza
La integración de IA generativa en el ciclo de vida del malware inaugura una fase donde la creatividad de los atacantes se amplifica con automatización y escala. Modelos capaces de producir código, redactar reglas operativas y adaptar estrategias incrementan la tasa de éxito incluso en manos de actores con poca experiencia. Esto democratiza el acceso a herramientas avanzadas y acelera la iteración de técnicas ofensivas.
La generación de scripts a demanda rompe la uniformidad que alimenta las bases de firmas y los indicadores de compromiso tradicionales. Si cada instancia produce un conjunto diferente de instrucciones, el rastro técnico se fragmenta y la detección retroactiva pierde eficacia. Los atacantes además pueden modificar las indicaciones codificadas para introducir cambios sutiles que eludan reglas de heurística predecibles.
En este contexto, la IA no solo automatiza, también introduce capacidad de decisión basada en contexto, por ejemplo selección de tipos de archivos, priorización por sensibilidad o ajuste a las políticas del sistema. El resultado es un ransomware más flexible, capaz de modificar su comportamiento según el entorno Windows, Linux o macOS en el que se ejecute. La profesionalización del delito digital encuentra en la IA un multiplicador que exige defensas centradas en comportamiento, telemetría y respuesta rápida.
Características del modelo GPT-OSS:20B de OpenAI
Según el análisis, PromptLock consulta de forma remota un modelo denominado gpt-oss:20b a través de la API de Ollama, con una conexión mediada por proxy. Este diseño busca separar el binario del proveedor de lógica, lo que facilita actualizar tácticas sin redistribuir el ejecutable. El modelo recibe solicitudes con indicaciones codificadas que describen objetivos, criterios de selección y acciones sobre ficheros.
Una capacidad clave es la generación de Lua adaptada al entorno, lo que incluye funciones para localizar, evaluar y cifrar información. La IA puede variar nombres de funciones, estructuras de control y rutas de ejecución, lo que multiplica los artefactos posibles. Esta diversidad programática reduce la repetición de patrones que de otra forma nutrirían las reglas de detección.
El uso de un modelo de gran tamaño implica que el atacante puede orquestar tareas complejas con un único canal de texto, lo que simplifica el control y dificulta el rastreo. La mediación por proxy añade una capa de ofuscación que oculta el origen de la petición y complica los bloqueos en red. El resultado es una arquitectura donde la IA actúa como motor de personalización maliciosa, con latencia suficiente para generar scripts en tiempo casi real.
Inteligencia Artificial aplicada en ciberataques
La aplicación de IA generativa en ciberataques no se limita a crear piezas de código, también optimiza el flujo de decisión. Un modelo puede priorizar directorios, descartar ficheros irrelevantes y adaptar el ritmo de ejecución para evadir EDR que monitorizan picos de actividad. El operador establece los objetivos en las indicaciones y la IA resuelve los detalles con variaciones naturales.
La IA facilita además técnicas de living off the land mediante sugerencias contextuales que evitan dependencias extra, aunque el diseño concreto de PromptLock se centra en Lua. Esto reduce el ruido y complica el uso de listas blancas basadas en binarios conocidos. Con cada ejecución, el conjunto de acciones es distinto, lo que retrasa la convergencia de la inteligencia compartida.
Para los defensores, este cambio exige controles que midan intención y efecto, por ejemplo correlacionar acceso masivo a ficheros, aperturas de manejadores y llamadas de cifrado en ventanas temporales. La telemetría enriquecida, el modelado de comportamiento y los playbooks de respuesta automatizada adquieren protagonismo. La IA, utilizada de forma responsable por el defensor, puede contrarrestar la variabilidad generada por el atacante.
Compatibilidad multiplataforma del ransomware
PromptLock ha sido diseñado para operar de manera multiplataforma, un objetivo que logra combinando un ejecutable en Golang con scripts en Lua. Golang facilita la compilación cruzada, y Lua aporta un entorno de ejecución ligero y portable. Este tándem reduce la necesidad de mantener variantes específicas para cada sistema operativo.
La capa de IA agrega adaptación contextual, ya que genera funciones que reconocen particularidades de Windows, Linux y macOS. Esto abarca desde rutas de usuario y permisos hasta convenciones de extensiones y ubicaciones de datos. La misma familia de instrucciones puede reescribirse para ajustarse a diferencias de seguridad o estructura del sistema.
Para las empresas, la consecuencia es clara, la superficie de ataque se amplía de forma homogénea y la segmentación por plataforma pierde eficacia como medida de contención. La gestión de parches y el control de aplicaciones deben cubrir por igual los entornos de escritorio y servidores. La convergencia de técnicas hace imprescindible un inventario riguroso y políticas de mínimo privilegio bien aplicadas en todas las plataformas.
Ataques dirigidos a Windows, Linux y macOS
En Windows, los atacantes suelen encontrar entornos con abundantes credenciales en memoria y rutas de documentos muy estandarizadas. Un script generado podría priorizar perfiles de usuario y repositorios locales sincronizados con la nube, dado su alto valor. Las políticas de control de cuentas y el AMSI ayudan, aunque la variabilidad del código dificulta la intervención temprana.
En Linux, la diversidad de distribuciones convive con patrones comunes en rutas de configuración y montajes de red. La IA puede proponer búsquedas selectivas en directorios de trabajo colaborativo y volúmenes compartidos, buscando maximizar el impacto operativo. Los servidores con tareas automatizadas y servicios expuestos merecen especial atención en monitorización.
En macOS, las protecciones nativas como Gatekeeper y System Integrity Protection elevan la barrera, pero no la hacen infranqueable ante ingeniería social y credenciales válidas. La generación dinámica permite adaptar llamadas y flujos para convivir con alertas y permisos. Un enfoque de seguridad unificado, con control de aplicaciones, telemetría y copias de seguridad probadas, es esencial en los tres ecosistemas.
Scripts Maliciosos en Tiempo Real
La capacidad de producir scripts en tiempo real cambia el equilibrio entre ofensiva y defensa. PromptLock no almacena una lista fija de acciones, solicita a la IA que redacte un Lua específico para cada ejecución. Esta estrategia produce artefactos efímeros, difíciles de clasificar con técnicas basadas en firmas o similitud.
El resultado es un comportamiento emergente, ya que los scripts pueden elegir distintas rutas para alcanzar un mismo fin. Un día la cadena puede centrarse en enumerar documentos, y al siguiente privilegiar bases de datos o correo local. Esta variabilidad introduce incertidumbre en reglas que dependen de secuencias de eventos previsibles.
Para los equipos de seguridad, la respuesta pasa por vigilar la combinación de acceso masivo a ficheros, apertura de manejadores y llamadas a bibliotecas de cifrado. Los sensores deben observar flujos y no firmas, y correlacionar procesos que actúan en concierto en ventanas cortas de tiempo. La detección en memoria y el aislamiento temprano de procesos sospechosos ganan relevancia.
Uso de Lua para generar scripts dinámicos
Lua es un lenguaje ligero, embebible y portable, cualidades que lo hacen especialmente atractivo para un operador que busca flexibilidad. Su intérprete ocupa poco, se integra con facilidad y permite manipular ficheros y directorios con bajo coste. En un contexto malicioso, esto se traduce en una movilidad notable entre plataformas.
La IA puede modular el estilo del código, por ejemplo cambiando nombres, bloques lógicos o estrategias de iteración sobre ficheros. Estas variaciones alteran la huella estática y confunden reglas basadas en estructura del programa. Además, Lua facilita la incorporación de pequeñas funciones auxiliares para clasificación o registro mínimo de eventos.
Desde la defensa, entender Lua como vector de ejecución ayuda a priorizar controles de control de aplicaciones y políticas que limiten intérpretes no autorizados. La inspección de actividades de lectura y escritura a gran escala, unida a la supervisión de acceso a bibliotecas de cifrado, ofrece señales valiosas. Combinar listas de permisos, telemetría y respuesta automatizada permite cortar la ejecución antes de la fase de impacto.
Desafíos para las Soluciones de Seguridad
Las soluciones centradas en firmas y patrones sufren cuando el adversario introduce variabilidad sintética en cada ejecución. Si el script cambia, la huella cambia, y el tiempo necesario para consolidar una detección compartida se alarga. El uso de proxy y servicios externos añade opacidad a las comunicaciones salientes.
Los motores que se apoyan en listas de indicadores estáticos, como nombres de archivos o rutas repetidas, pierden tracción ante una IA que reescribe esos elementos de forma continua. Del mismo modo, las técnicas de ofuscación generadas por la IA degradan la utilidad de reglas de desensamblado y patrones de cadenas. La consecuencia es una caída en la precisión de la primera capa de defensa.
Para revertir esta desventaja, conviene priorizar EDR/XDR con análisis de comportamiento, inspección en memoria y correlación de eventos. La visibilidad de procesos, accesos a sistemas de ficheros y uso de criptografía debe alimentar modelos que detecten trayectorias anómalas. Complementar con segmentación de red, copias de seguridad desconectadas y control de privilegios reduce el margen de maniobra del atacante.
Imagen generada por IA con licencia de Freepik
Por qué las herramientas tradicionales fallan ante el PromptLock
PromptLock aprovecha tres debilidades de las herramientas tradicionales, dependencia de firmas, suposición de estabilidad y visibilidad limitada del contexto. La primera falla cuando la IA altera el código en cada ejecución, y la segunda se rompe porque la táctica ya no es estable. La tercera se manifiesta cuando el análisis no correlaciona procesos, ficheros y red en tiempo real.
El empleo del algoritmo SPECK de 128 bits, menos común en ransomware, reduce la eficacia de reglas que buscan bibliotecas de cifrado populares. La generación con Lua dificulta reglas estáticas y produce secuencias lógicas variadas que confunden patrones. Además, la conexión mediante proxy a la API externa complica el bloqueo por dominios o rutas conocidas.
Para contrarrestar, las organizaciones deben adoptar detección basada en comportamiento, control de aplicaciones estricto, autenticación robusta y copias de seguridad verificadas y aisladas. En el hogar, mantener el sistema operativo y el antivirus al día, desconfiar de adjuntos y activar la restauración fuera de línea reduce el impacto potencial. La colaboración entre equipos, el intercambio de inteligencia y el uso responsable de IA defensiva son esenciales para cerrar la brecha que PromptLock ha puesto en evidencia.
Contacto
Si deseas obtener ayuda personalizada para proteger tu empresa contra ransomware como PromptLock, no dudes en contactar con nosotros. En Wifilinks, ofrecemos asesoría especializada en ciberseguridad que incluye la implementación de sistemas avanzados de detección y defensa. Considerando las variaciones de amenazas emergentes basadas en IA, es fundamental tener un enfoque proactivo en la defensa de tus activos digitales. Un análisis exhaustivo de tus sistemas puede marcar la diferencia en la protección contra estos nuevos tipos de ataques.
- 📞 Teléfono: 960 260 360
- ✉️ Correo electrónico: info@wifilinks.es
- 📍 Dirección: Pl. País Valencia, 25, 46760 Tavernes de la Valldigna, Valencia
- 🌐 Sitio web: www.wifilinks.es
No subestimes el avance del ransomware basado en IA; un plan de acción ahora puede prevenir pérdidas significativas a futuro. Al contactar con Wifilinks hoy, podrás implementar soluciones efectivas que aseguren la integridad de tus datos y sistemas. No dejes tu seguridad en manos del azar, toma la decisión correcta y protégete contra las nuevas amenazas.
Fuente: thehackernews.com
