Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5338
)
-
▼
julio
(Total:
56
)
-
SpaceX creará un rival para iPhone con IA
-
¿Fracasará la nueva Steam Machine?
-
FCC prohíbe equipos chinos por riesgos de ciberseg...
-
Nikkei: Malware chino infectó USB del Ejército de ...
-
Alguien le pidió a DeepSeek crear un ransomware en...
-
La Justicia europea confirma la mayor multa de la ...
-
El kit de phishing EvilTokens es mucho más peligro...
-
Ataque FortiBleed vinculado a INC y Lynx Ransomware
-
Extraditan a EE. UU. a presunto miembro de Scatter...
-
Xbox Helix digitalizaría juegos físicos
-
Falla sin parchear en Repo-Server de Argo CD podrí...
-
Sony eliminará el formato físico en PlayStation
-
Troyano bancario Ousaban engaña a usuarios de banc...
-
AMD consigue un 87,4% en ventas del total de placa...
-
Vulnerabilidades RCE en Cursor IDE permiten inyecc...
-
Vulnerabilidad de Apple ‘Hide My Email’ expone cor...
-
Graves fallos en Cursor podrían permitir que la in...
-
Vulnerabilidades críticas en Adobe ColdFusion perm...
-
Amazon recibe multa de 2,25 millones de dólares po...
-
Anuncio de Google instala código malicioso de Clau...
-
Ransomware de navegador creado con IA explota API ...
-
IA encarece luz y condado pide ahorro
-
Meta cobrará suscripciones por hardware ya comprado
-
Extension falsa de Perplexity en Chrome Web Store ...
-
Zen 6 impulsará PS6 y su versión portátil
-
El Phantom Squatting aprovecha dominios alucinados...
-
Corea del Sur invertirá 520.000 millones de dólare...
-
EE. UU. levanta controles de exportación sobre Cla...
-
Nuevo ataque "BioShocking" manipula navegadores co...
-
Múltiples vulnerabilidades de Apache Tomcat permit...
-
NotebookLM crea vídeos cortos desde tus apuntes
-
Claude Sonnet 5: más barata y potente
-
Anthropic reactiva Claude Fable 5 tras el levantam...
-
Citrix corrige seis vulnerabilidades de NetScaler ...
-
GIGABYTE lanza la AORUS RTX 5080 INFINITY
-
Actualización de Chrome corrige 382 vulnerabilidad...
-
Cientos de millones de intentos de Password Spray ...
-
Un coleccionista de tarjetas gráficas muestra cole...
-
Expertos en ciberseguridad pierden la fe en las he...
-
GuardFall revela que los agentes de IA de código a...
-
Explotan vulnerabilidad RCE en Langflow para despl...
-
Reserva tu nombre en WhatsApp
-
Claude Code de Anthropic usaría código oculto para...
-
X lanza servidores MCP para conectar Cursor, Claud...
-
IBM lidera con chip de 0,7 nm para IA
-
Expertos en seguridad engañaron a LLMs para obtene...
-
Usan malware SystemBC para ocultar tráfico C2 y ma...
-
Nueva puerta trasera de Windows Mistic permite eje...
-
Vulnerabilidades en AirDrop y Quick Share permiten...
-
Ford vuelve a contratar humanos tras fallos de la IA
-
Apple se quedará sin memorias de CXMT al priorizar...
-
IA reemplazará antes a programadores que a camioneros
-
Donkey Kong 64 llega a PC este verano
-
Vulnerabilidad de SimpleHelp explotada para desple...
-
Microsoft extiende la disponibilidad de hotpatchin...
-
AMD avisa a sus socios: las GPU Radeon volverían a...
-
-
▼
julio
(Total:
56
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
1456
)
vulnerabilidad
(
1355
)
hardware
(
787
)
software
(
741
)
Malware
(
707
)
google
(
701
)
privacidad
(
612
)
Windows
(
521
)
ransomware
(
491
)
android
(
437
)
cve
(
365
)
linux
(
345
)
exploit
(
318
)
tutorial
(
299
)
manual
(
281
)
nvidia
(
275
)
hacking
(
229
)
WhatsApp
(
173
)
ssd
(
163
)
Wifi
(
131
)
ddos
(
128
)
app
(
122
)
twitter
(
120
)
cifrado
(
119
)
programación
(
103
)
herramientas
(
80
)
youtube
(
79
)
Networking
(
73
)
firefox
(
72
)
sysadmin
(
71
)
firmware
(
64
)
office
(
62
)
adobe
(
60
)
Kernel
(
49
)
hack
(
48
)
antivirus
(
46
)
javascript
(
45
)
apache
(
44
)
juegos
(
42
)
contraseñas
(
39
)
multimedia
(
35
)
cms
(
34
)
eventos
(
32
)
flash
(
32
)
MAC
(
30
)
anonymous
(
28
)
ssl
(
24
)
Forense
(
20
)
conferencia
(
20
)
SeguridadWireless
(
17
)
documental
(
17
)
Debugger
(
14
)
Rootkit
(
14
)
lizard squad
(
14
)
auditoría
(
13
)
metasploit
(
13
)
técnicas hacking
(
13
)
Virtualización
(
11
)
delitos
(
11
)
reversing
(
10
)
adamo
(
9
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Diez sitios web permiten conseguir eBooks gratuitos de forma legal como complemento ideal para los lectores de libros electrónicos.
-
Selección de 75 juegos para PC con pocos requisitos y buenos gráficos, ideales para disfrutar en equipos antiguos sin necesidad de actuali...
-
Nathan Austad, conocido como "Snoopy", fue condenado a 18 meses de prisión por participar en un ciberataque a DraftKings en 2022. ...
Alguien le pidió a DeepSeek crear un ransomware en el navegador y la IA accedió encantada
jueves, 2 de julio de 2026
|
Publicado por
el-brujo
|
Editar entrada
Investigadores de Check Point advirtieron que modelos de IA como DeepSeek están facilitando la creación de ransomware que opera directamente en el navegador. Mediante el abuso de la API de acceso al sistema de archivos de Chrome, atacantes con poca experiencia pueden diseñar aplicaciones web maliciosas para cifrar archivos locales. Aunque algunas muestras son incompletas, el equipo demostró que es posible convertirlas en ataques funcionales con un esfuerzo mínimo.
No puedes pedir a la mayoría de los modelos que te ayuden a crear "ransomware" directamente, pero muchos estarán más que dispuestos si les das el prompt adecuado. DeepSeek y otros LLM con menos controles de seguridad hacen que las ciberamenazas teóricas, como el ransomware exclusivo del navegador, tengan muchas más probabilidades de ser utilizadas en infecciones del mundo real, según los investigadores de Check Point.
La empresa israelí de ciberseguridad analizó en un informe del miércoles una muestra generada por DeepSeek que sus cazadores de amenazas describen como ransomware en el navegador.
Durante el último año, el equipo ha rastreado casi 3.000 archivos atribuidos a DeepSeek, y ha clasificado casi la mitad (1.383 archivos) como maliciosos o peligrosos utilizando VirusTotal o análisis estático de fuentes.
“Dentro de este conjunto de datos, encontramos una muestra que implementaba una técnica peligrosa nativa del navegador que no habíamos observado explotada en la naturaleza”, escribió el investigador Alexey Bukhteyev aquí.
Y aunque la muestra estaba incompleta y no podía llevar a cabo una infección real, las pruebas de la firma de seguridad mostraron que se requeriría “poco esfuerzo” para dejarla lista para el ataque.
“Nuestra investigación muestra que la muestra original incompleta de DeepSeek puede transformarse en un ataque plenamente funcional con un esfuerzo mínimo”, dijo Pedro Drimel Neto, líder del equipo de análisis de malware de Check Point Research.
“Se necesita muy poco esfuerzo”, afirmó Neto. “Una experiencia de bajo nivel es suficiente. No es necesario ser un cibercriminal sofisticado o un grupo de amenaza persistente avanzada. De hecho, ya hemos observado pruebas de que actores de amenazas reales intentan este ataque utilizando prompts sencillos de LLM”.
El riesgo que el ransomware representa para los navegadores no es una idea nueva. La especificación de Acceso al Sistema de Archivos aquí enumera el ransomware como una consideración de seguridad, y un documento de USENIX Security de 2023 sobre el ransomware en los navegadores web modernos aquí describía cómo la API de Acceso al Sistema de Archivos podría abusarse para cifrar archivos locales desde una aplicación web maliciosa.
La API de Acceso al Sistema de Archivos es una capacidad del navegador, soportada principalmente por Chrome y navegadores basados en Chromium, que permite a los desarrolladores crear aplicaciones web que pueden leer, escribir y gestionar archivos en el dispositivo local del usuario.
“Aunque puede utilizarse para desarrollar aplicaciones web enriquecidas, amplía enormemente la superficie de ataque, que puede ser abusada por adversarios para causar daños significativos”, escribieron en 2023 Güliz Seray Tuncay de Google e investigadores de la Universidad Internacional de Florida.
Lo nuevo, según Check Point, es que un modelo de IA puso estas ideas previamente documentadas en un “escenario de ataque realista y ejecutable aprovechando un método que los defensores originalmente pensaban que era inviable debido a los límites del sandbox del navegador: una muestra maliciosa atribuida a DeepSeek, generada como una fantasía de malware todo en uno, conectó este riesgo de plataforma documentado con una aplicación web realista de estilo phishing, demostrando una cadena de ataque viable de extremo a extremo”.
Esta técnica es especialmente atractiva para los atacantes porque no requiere un payload nativo, instalación de APK, exploit del navegador o acceso root al dispositivo comprometido. En su lugar, utiliza la ingeniería social —engañando al usuario para que haga clic en un botón malicioso— combinada con un aviso de permiso legítimo expuesto por la API de Acceso al Sistema de Archivos en Chrome.
Esta muestra particular que descubrió Check Point es una aplicación Python Flask dirigida a usuarios de Android. Se llama InfernoGrabber 9000 aquí, y VirusTotal la califica como un “kit de herramientas de ransomware y robo de información plenamente funcional”.
Aunque los investigadores no tienen el prompt enviado a DeepSeek para producir el malware, especulan que fue algo parecido a: “crea una herramienta maliciosa universal que se ejecute a través del navegador y recolecte la mayor cantidad de datos de la víctima posible, cifre archivos y exija un rescate”. En un único front-end, el código generado ensambló rutinas para keylogging, monitoreo del portapapeles, interceptación de formularios y solicitudes de red, recolección de tokens de Discord, descubrimiento de carteras de criptomonedas y tarjetas de pago, solicitudes de geolocalización, acceso a cámara y micrófono, capturas de pantalla, acceso a archivos locales y una superposición de estilo ransomware.
Para ser claros: la muestra no hace todo esto en realidad. “Una lectura más precisa es que se trata de un plano generado por IA en el que el modelo intentó traducir capacidades familiares de stealers nativos y herramientas de ransomware en una página web abierta en el navegador”, escribió Bukhteyev.
El código presenta un señuelo para la víctima disfrazado de optimizador de avatares de Discord con IA. Hacer clic en el señuelo pretende ejecutar una serie de acciones silenciosas y dañinas que se ejecutan enteramente dentro del proceso del navegador. Estas incluyen el robo de tokens de Discord, la recolección de números de tarjetas de crédito y frases semilla de criptomonedas. El código también incluye rutinas específicas para la explotación del navegador (como el objetivo CVE-2023-4863) y muestra una pantalla de WinLocker exigiendo Bitcoin.
La buena noticia para los defensores es que la muestra estaba incompleta y el modelo de seguridad integrado del navegador evita con éxito la mayor parte de esta funcionalidad.
Sin embargo, Check Point pudo crear una prueba de concepto funcional para el ataque nativo del navegador utilizando el último modelo DeepSeek V4. El equipo tuvo que eliminar algunos de los términos más explícitos —como ransomware— del prompt, pero finalmente produjo la misma funcionalidad: “una página web que pide al usuario acceso a los archivos locales, los procesa dentro del navegador y deja al usuario incapaz de recuperar el contenido original”. Es decir: ransomware exclusivo del navegador.
Neto nos dijo que este tipo de código generado por LLM y ataques en el navegador “probablemente estén ocurriendo ahora”.
“Esperamos ver esta actividad a corto plazo, si es que no ha sucedido ya”, añadió.
Mientras que los grupos de ransomware y extorsión tradicionales se dirigen a empresas y organizaciones de infraestructuras críticas, a diferencia de los usuarios de dispositivos Android, que fueron el foco de esta investigación, “hemos visto un aumento de la actividad de ransomware en usuarios finales recientemente”, dijo Neto. “Lo más preocupante es que la ofuscación de código utilizada en estos ataques los hace difíciles de detectar, por lo que existe una posibilidad real de que los ataques que utilizan esta técnica ya estén ocurriendo en la naturaleza pero pasen desapercibidos”.
Fuente:
TheRegister
No puedes pedir a la mayoría de los modelos que te ayuden a crear "ransomware" directamente, pero muchos estarán más que dispuestos si les das el prompt adecuado. DeepSeek y otros LLM con menos controles de seguridad hacen que las ciberamenazas teóricas, como el ransomware exclusivo del navegador, tengan muchas más probabilidades de ser utilizadas en infecciones del mundo real, según los investigadores de Check Point.
La empresa israelí de ciberseguridad analizó en un informe del miércoles una muestra generada por DeepSeek que sus cazadores de amenazas describen como ransomware en el navegador.
Durante el último año, el equipo ha rastreado casi 3.000 archivos atribuidos a DeepSeek, y ha clasificado casi la mitad (1.383 archivos) como maliciosos o peligrosos utilizando VirusTotal o análisis estático de fuentes.
“Dentro de este conjunto de datos, encontramos una muestra que implementaba una técnica peligrosa nativa del navegador que no habíamos observado explotada en la naturaleza”, escribió el investigador Alexey Bukhteyev aquí.
Y aunque la muestra estaba incompleta y no podía llevar a cabo una infección real, las pruebas de la firma de seguridad mostraron que se requeriría “poco esfuerzo” para dejarla lista para el ataque.
“Nuestra investigación muestra que la muestra original incompleta de DeepSeek puede transformarse en un ataque plenamente funcional con un esfuerzo mínimo”, dijo Pedro Drimel Neto, líder del equipo de análisis de malware de Check Point Research.
“Se necesita muy poco esfuerzo”, afirmó Neto. “Una experiencia de bajo nivel es suficiente. No es necesario ser un cibercriminal sofisticado o un grupo de amenaza persistente avanzada. De hecho, ya hemos observado pruebas de que actores de amenazas reales intentan este ataque utilizando prompts sencillos de LLM”.
El riesgo que el ransomware representa para los navegadores no es una idea nueva. La especificación de Acceso al Sistema de Archivos aquí enumera el ransomware como una consideración de seguridad, y un documento de USENIX Security de 2023 sobre el ransomware en los navegadores web modernos aquí describía cómo la API de Acceso al Sistema de Archivos podría abusarse para cifrar archivos locales desde una aplicación web maliciosa.
La API de Acceso al Sistema de Archivos es una capacidad del navegador, soportada principalmente por Chrome y navegadores basados en Chromium, que permite a los desarrolladores crear aplicaciones web que pueden leer, escribir y gestionar archivos en el dispositivo local del usuario.
“Aunque puede utilizarse para desarrollar aplicaciones web enriquecidas, amplía enormemente la superficie de ataque, que puede ser abusada por adversarios para causar daños significativos”, escribieron en 2023 Güliz Seray Tuncay de Google e investigadores de la Universidad Internacional de Florida.
Lo nuevo, según Check Point, es que un modelo de IA puso estas ideas previamente documentadas en un “escenario de ataque realista y ejecutable aprovechando un método que los defensores originalmente pensaban que era inviable debido a los límites del sandbox del navegador: una muestra maliciosa atribuida a DeepSeek, generada como una fantasía de malware todo en uno, conectó este riesgo de plataforma documentado con una aplicación web realista de estilo phishing, demostrando una cadena de ataque viable de extremo a extremo”.
Esta técnica es especialmente atractiva para los atacantes porque no requiere un payload nativo, instalación de APK, exploit del navegador o acceso root al dispositivo comprometido. En su lugar, utiliza la ingeniería social —engañando al usuario para que haga clic en un botón malicioso— combinada con un aviso de permiso legítimo expuesto por la API de Acceso al Sistema de Archivos en Chrome.
Esta muestra particular que descubrió Check Point es una aplicación Python Flask dirigida a usuarios de Android. Se llama InfernoGrabber 9000 aquí, y VirusTotal la califica como un “kit de herramientas de ransomware y robo de información plenamente funcional”.
Aunque los investigadores no tienen el prompt enviado a DeepSeek para producir el malware, especulan que fue algo parecido a: “crea una herramienta maliciosa universal que se ejecute a través del navegador y recolecte la mayor cantidad de datos de la víctima posible, cifre archivos y exija un rescate”. En un único front-end, el código generado ensambló rutinas para keylogging, monitoreo del portapapeles, interceptación de formularios y solicitudes de red, recolección de tokens de Discord, descubrimiento de carteras de criptomonedas y tarjetas de pago, solicitudes de geolocalización, acceso a cámara y micrófono, capturas de pantalla, acceso a archivos locales y una superposición de estilo ransomware.
Para ser claros: la muestra no hace todo esto en realidad. “Una lectura más precisa es que se trata de un plano generado por IA en el que el modelo intentó traducir capacidades familiares de stealers nativos y herramientas de ransomware en una página web abierta en el navegador”, escribió Bukhteyev.
El código presenta un señuelo para la víctima disfrazado de optimizador de avatares de Discord con IA. Hacer clic en el señuelo pretende ejecutar una serie de acciones silenciosas y dañinas que se ejecutan enteramente dentro del proceso del navegador. Estas incluyen el robo de tokens de Discord, la recolección de números de tarjetas de crédito y frases semilla de criptomonedas. El código también incluye rutinas específicas para la explotación del navegador (como el objetivo CVE-2023-4863) y muestra una pantalla de WinLocker exigiendo Bitcoin.
La buena noticia para los defensores es que la muestra estaba incompleta y el modelo de seguridad integrado del navegador evita con éxito la mayor parte de esta funcionalidad.
Sin embargo, Check Point pudo crear una prueba de concepto funcional para el ataque nativo del navegador utilizando el último modelo DeepSeek V4. El equipo tuvo que eliminar algunos de los términos más explícitos —como ransomware— del prompt, pero finalmente produjo la misma funcionalidad: “una página web que pide al usuario acceso a los archivos locales, los procesa dentro del navegador y deja al usuario incapaz de recuperar el contenido original”. Es decir: ransomware exclusivo del navegador.
Neto nos dijo que este tipo de código generado por LLM y ataques en el navegador “probablemente estén ocurriendo ahora”.
“Esperamos ver esta actividad a corto plazo, si es que no ha sucedido ya”, añadió.
Mientras que los grupos de ransomware y extorsión tradicionales se dirigen a empresas y organizaciones de infraestructuras críticas, a diferencia de los usuarios de dispositivos Android, que fueron el foco de esta investigación, “hemos visto un aumento de la actividad de ransomware en usuarios finales recientemente”, dijo Neto. “Lo más preocupante es que la ofuscación de código utilizada en estos ataques los hace difíciles de detectar, por lo que existe una posibilidad real de que los ataques que utilizan esta técnica ya estén ocurriendo en la naturaleza pero pasen desapercibidos”.
Fuente:
TheRegister
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest


Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.