La compañía de ciberseguridad ESET, con sede en Eslovaquia, anunció el hallazgo del que sería “el primer ransomware conocido impulsado por inteligencia artificial”, capaz de generar scripts maliciosos en tiempo real directamente en las máquinas infectadas.
Este malware ha sido bautizado como PromptLock y ya cuenta con muestras subidas a VirusTotal, tanto para Microsoft Windows como para Linux.
Un ransomware experimental en desarrollo
Según ESET, PromptLock aún no se encuentra completamente desarrollado. Todo apunta a que es un proof of concept (PoC) o un proyecto en fase experimental, más que un malware plenamente funcional desplegado en el mundo real.
Lo particular de este ransomware es que está escrito en Go y utiliza el modelo de código abierto GPT-OSS:20b (bajo licencia Apache), al que accede mediante la API de Ollama, para generar dinámicamente scripts en lenguaje Lua.
Cómo funciona PromptLock
- En lugar de descargar el pesado modelo de 20.000 millones de parámetros (varios gigabytes), el atacante puede establecer una conexión vía proxy o túnel hacia un servidor que ejecute la API de Ollama con el modelo cargado.
- Una serie de prompts predefinidos generan los scripts Lua, que permiten al malware:
- Enumerar el sistema de archivos de la máquina comprometida.
- Inspeccionar archivos específicos y extraer datos seleccionados.
- Cifrar información sensible.
Además, incluye un prompt diseñado para implementar el algoritmo de cifrado SPECK de 128 bits, desarrollado por la NSA (National Security Agency), lo que permite encriptar archivos rápidamente.
Multiplataforma y con potencial destructivo
Una de las características más llamativas es que los scripts Lua generados son multiplataforma, lo que les permite ejecutarse no solo en Linux, sino también en Windows y macOS.
ESET también señala que PromptLock contiene funciones destructivas, aunque estas aún no están implementadas en la versión actual.
Como detalle curioso, la dirección de Bitcoin incluida en los prompts corresponde a la utilizada por el misterioso creador de la criptomoneda, Satoshi Nakamoto, cuya identidad real sigue siendo desconocida.
El descubrimiento de PromptLock representa un punto de inflexión en la evolución del ransomware: el uso de IA generativa para crear código malicioso en tiempo real.
Aunque por ahora parece ser solo un experimento académico o prototipo, su existencia confirma que el cibercrimen potenciado por inteligencia artificial es ya una realidad y que, en un futuro cercano, podría derivar en amenazas más sofisticadas y difíciles de detectar.
Fuente: somoslibres
