Investigadores de la compañía de ciberseguridad ESET han identificado un nuevo tipo de ransomware que incorpora inteligencia artificial generativa (GenAI) para llevar a cabo ataques. El malware, bautizado como PromptLock, utiliza un modelo de lenguaje ejecutado localmente para generar scripts maliciosos en tiempo real y decidir de manera autónoma qué archivos copiar o cifrar.
Según ESET, este hallazgo supone un punto de inflexión en la evolución del ransomware, al mostrar cómo los ciberdelincuentes pueden apoyarse en la IA para diseñar amenazas más flexibles y difíciles de detectar.
“El surgimiento de herramientas como PromptLock pone de manifiesto un cambio significativo en el panorama de las ciberamenazas”, señaló Anton Cherepanov, investigador sénior de malware en ESET, que analizó el código junto a su colega Peter Strýček.
Cómo opera PromptLock
PromptLock genera scripts en Lua, compatibles con sistemas como Windows, Linux y macOS. Durante la infección, el malware escanea los archivos locales, analiza su contenido y, en función de instrucciones predefinidas, decide si debe exfiltrarlos o cifrarlos.
El código, desarrollado en Golang, emplea el algoritmo de cifrado SPECK de 128 bits y contiene ya una función destructiva, aunque por el momento no está activa. Las primeras variantes han sido detectadas en la plataforma de análisis de malware VirusTotal.
Los investigadores advierten de que PromptLock no necesita de un gran equipo de desarrolladores para crear nuevas variantes, ya que la propia IA se encarga de adaptar el código malicioso.
“Con la ayuda de la IA, lanzar ataques sofisticados se ha vuelto mucho más sencillo”, añadió Cherepanov. “Un modelo de IA bien configurado ahora basta para generar malware complejo y autoajustable, lo que podría complicar enormemente la detección y hacer más difícil la labor de los ciberdefensores”.
Un modelo de IA accesible y con guiños a Bitcoin
PromptLock accede a un modelo de lenguaje disponible de forma gratuita a través de una API, de modo que los scripts generados se envían directamente al dispositivo infectado. Entre los detalles curiosos descubiertos en el código destaca que el prompt incluye una dirección de Bitcoin vinculada al alias de Satoshi Nakamoto, el creador de la criptomoneda.
Clasificación y advertencia
ESET ha clasificado la amenaza como Filecoder.PromptLock.A y, aunque considera que se trata de una prueba de concepto, advierte de que su desarrollo es una señal clara de hacia dónde pueden evolucionar las ciberamenazas con la integración de modelos de IA generativa.
La compañía ha publicado detalles técnicos del hallazgo con el fin de alertar a la comunidad de ciberseguridad y reforzar la vigilancia ante posibles variantes más agresivas en el futuro.
