Instaladores de IA, una nueva vía de distribución de malware

Los ciberdelincuentes han encontrado en los instaladores de IA una nueva vía de distribución de malware, según alertan desde la división de ciber-inteligencia de Cisco. El caso confirma que la convergencia de la inteligencia artificial y la ciberseguridad representa uno de los desafíos estratégicos más profundos a los que se enfrentan las organizaciones modernas.

Cisco Talos ha descubierto un nuevo malware altamente destructivo identificado como ‘Numero’, que se presenta como un instalador legítimo de herramientas de Inteligencia Artificial. Esta amenaza afecta gravemente a los sistemas comprometidos, manipulando los componentes de la interfaz gráfica de usuario (GUI) en sistemas operativos Windows, lo que provoca su completa inutilización.

Su impacto operativo lo convierte en una amenaza crítica, especialmente para entornos empresariales que dependen de la disponibilidad continua de sus dispositivos.

Y es que a medida que las herramientas de IA generativa se han vuelto más potentes, asequibles y accesibles, los ciberdelincuentes las adoptan cada vez más para respaldar todo tipo de ataques, desde fraudes comerciales hasta extorsión y el robo de identidades, con especial significación en los Deepfakes por IA, un mecanismo que utiliza plataformas de generación de video, audio e imágenes disponibles comercialmente para generar deepfakes realistas que se utilizan para engañar tanto a individuos como a organizaciones. Estas herramientas son económicas, fáciles de usar y cada vez más capaces de eludir los sistemas de verificación de identidad y los controles de seguridad.

Cisco Talos también ha detectado el ransomware CyberLock, desarrollado mediante PowerShell, que se enfoca en cifrar archivos específicos en el sistema de la víctima. Este malware destaca por una táctica de manipulación particularmente engañosa: en la nota de rescate, los atacantes afirman que los pagos exigidos serán destinados a ayuda humanitaria en regiones como Palestina, Ucrania, África y Asia, con el fin de generar empatía y presionar psicológicamente a los afectados para facilitar el pago del rescate.

Por último, Cisco Talos ha identificado Lucky_Gh0$t, una nueva variante del ransomware Yashma, la sexta iteración dentro de la familia Chaos. Esta versión presenta modificaciones menores, indicando una evolución técnica limitada con respecto a versiones anteriores. A pesar de su menor sofisticación, su detección refuerza la necesidad de vigilancia continua frente a familias de malware ya conocidas.