{"id":15445,"date":"2025-06-26T18:22:58","date_gmt":"2025-06-26T23:22:58","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=15445"},"modified":"2025-06-26T18:23:12","modified_gmt":"2025-06-26T23:23:12","slug":"kaspersky-alerta-sobre-un-nuevo-malware-que-se-hace-pasar-por-un-asistente-de-ia-para-robar-datos-de-usuarios","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/kaspersky-alerta-sobre-un-nuevo-malware-que-se-hace-pasar-por-un-asistente-de-ia-para-robar-datos-de-usuarios\/","title":{"rendered":"Kaspersky alerta sobre un nuevo malware que se hace pasar por un asistente de IA para robar datos de usuarios"},"content":{"rendered":"\n

DeepSeek, uno de los modelos de inteligencia artificial m\u00e1s populares, fue usado como se\u00f1uelo en una campa\u00f1a por ciberdelincuentes que ya afect\u00f3 a usuarios en Am\u00e9rica Latina.<\/em><\/p>\n\n\n\n

19 de junio de 2025<\/p>\n\n\n\n

Los investigadores de Kaspersky GReAT descubrieron una nueva campa\u00f1a maliciosa que distribuye un troyano a trav\u00e9s de una aplicaci\u00f3n falsa llamada DeepSeek-R1 Large Language Model<\/em> (LLM), que simula ser un modelo de lenguaje para PC. Este malware, hasta ahora desconocido, se propaga mediante un sitio de phishing que imita la p\u00e1gina oficial de DeepSeek y se promociona a trav\u00e9s de anuncios en Google. El objetivo es instalar BrowserVenom, un programa malicioso que modifica el navegador de la v\u00edctima para desviar el tr\u00e1fico web hacia servidores controlados por los atacantes, permiti\u00e9ndoles recopilar datos personales. Se han detectado varias infecciones en Am\u00e9rica Latina \u2014especialmente en Brasil, M\u00e9xico y Cuba\u2014 y tambi\u00e9n en pa\u00edses como India, Nepal, Sud\u00e1frica y Egipto.<\/p>\n\n\n\n

DeepSeek-R1 es uno de los modelos de inteligencia artificial m\u00e1s populares actualmente, conocidos como modelos de lenguaje (LLM, por sus siglas en ingl\u00e9s). Kaspersky ya hab\u00eda reportado ataques anteriores en los que se usaban versiones falsas de esta herramienta para enga\u00f1ar a los usuarios. DeepSeek puede ejecutarse sin conexi\u00f3n en una PC mediante programas como Ollama o LM Studio, y justamente estas opciones fueron aprovechadas por los atacantes en su campa\u00f1a.<\/p>\n\n\n\n

Los usuarios fueron redirigidos a un sitio de phishing que imitaba la direcci\u00f3n de la plataforma original de DeepSeek mediante Google Ads. El enlace aparec\u00eda en el anuncio al buscar “deepseek r1”. Al acceder al sitio falso de DeepSeek, se verificaba el sistema operativo de la v\u00edctima. Si era Windows, se mostraba un bot\u00f3n para bajar las herramientas y trabajar con el LLM sin conexi\u00f3n. En el momento de la investigaci\u00f3n, no se incluyeron otros sistemas operativos.<\/p>\n\n\n\n

Despu\u00e9s de hacer clic en el bot\u00f3n y completar una prueba CAPTCHA, se descargaba un archivo malicioso que ofrec\u00eda al usuario la opci\u00f3n de instalar Ollama o LM Studio. Aunque los instaladores de estas herramientas eran reales, ven\u00edan acompa\u00f1ados por un malware oculto que se instalaba en el sistema al mismo tiempo. Para evitar ser detectado por Windows Defender, el malware usaba un algoritmo especial. Sin embargo, solo lograba infectar el equipo si el usuario ten\u00eda permisos de administrador en su perfil de Windows; de lo contrario, la instalaci\u00f3n no se completaba.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Dos opciones para instalar frameworks LLM mal utilizados<\/em><\/p>\n\n\n\n

Una vez instalado, el malware modificaba todos los navegadores del equipo para obligarlos a usar un proxy controlado por los atacantes. Esto les permit\u00eda espiar la actividad en l\u00ednea del usuario y acceder a informaci\u00f3n confidencial como contrase\u00f1as o datos personales. Por su comportamiento invasivo y malicioso, los investigadores de Kaspersky lo nombraron BrowserVenom. <\/p>\n\n\n\n

\u201cSi bien ejecutar grandes modelos de lenguaje sin conexi\u00f3n ofrece beneficios de privacidad y reduce la dependencia de los servicios en la nube, tambi\u00e9n puede conllevar riesgos considerables si no se toman las precauciones adecuadas. Los ciberdelincuentes aprovechan cada vez m\u00e1s la popularidad de las herramientas de IA de c\u00f3digo abierto al distribuir paquetes maliciosos e instaladores falsos que pueden instalar de forma encubierta keyloggers, criptomineros o ladrones de informaci\u00f3n. Estas herramientas falsas comprometen los datos confidenciales del usuario y representan una amenaza, especialmente cuando las han bajado de fuentes no verificadas\u201d,<\/em> comenta Lisandro Ubiedo, investigador de seguridad de GReAT de Kaspersky.<\/strong><\/p>\n\n\n\n

Para evitar estas amenazas, los expertos Kaspersky recomienda:<\/p>\n\n\n\n