El Uso Malicioso de la Popular Inteligencia Artificial DeepSeek
La popularidad del modelo de lenguaje DeepSeek‑R1, uno de los modelos más conocidos en el mundo de la inteligencia artificial, no solo ha captado la atención de desarrolladores y entusiastas, sino también de actores maliciosos. Estos últimos han encontrado una manera ingeniosa de utilizar la popularidad de DeepSeek para lanzar ataques informáticos cada vez más sofisticados. Según un informe de Kaspersky, la amenaza se presenta a través de páginas de phishing y campañas de publicidad maliciosa, buscando engañar a usuarios de todos los niveles de experiencia e infectarlos con un implante conocido como “BrowserVenom”. Esta nueva estrategia de ataque se basa en la confianza que genera DeepSeek, aprovechando el interés y la curiosidad de los usuarios.
Cómo Funciona el Ataque: Phishing, Descarga y BrowserVenom
El ataque se lleva a cabo en varias etapas. Primero, los atacantes utilizan páginas de phishing y anuncios engañosos para dirigir a los usuarios a un sitio web falso que simula ser el oficial de DeepSeek:
Este componente malicioso comienza a alterar la configuración del sistema para garantizar su persistencia y obtener privilegios elevados. Una de las primeras acciones es intentar excluir la carpeta del usuario de la protección de Windows Defender, con el objetivo de evadir futuras detecciones. Para lograr esto, utiliza comandos de PowerShell y un algoritmo de descifrado AES‑256‑CBC. Esta acción solo se ejecuta si la víctima cuenta con privilegios de administrador, lo que demuestra la sofisticación y el nivel de control que los atacantes buscan.
Posteriormente, el malware descarga un ejecutable adicional desde un dominio generado de manera dinámica, estableciendo una puerta trasera para futuros ataques. Esta estrategia permite a los atacantes mantener el control del sistema y lanzar nuevos ataques sin ser detectados.
La Instalación de BrowserVenom: Interceptando el Tráfico Web
El componente final y más peligroso de esta amenaza es “BrowserVenom”, un implante que modifica la configuración de todos los navegadores instalados en el equipo para obligarlos a utilizar un proxy controlado por los atacantes. Esto les permite interceptar, monitorear y alterar el tráfico de la víctima mientras navega por internet. Para asegurar que esta operación funcione, el malware inserta un certificado en el almacón de autoridades de confianza de Windows. Además, modifica accesos directos de navegadores basados en Chromium y realiza cambios en las configuraciones de navegadores basados en Gecko, garantizando que todas las solicitudes pasen por el proxy maligno. De esta manera, cada clic, búsqueda o acceso de la víctima queda registrado y expuesto a los atacantes.
Una Amenaza Global en Expansión
La investigación alrededor de esta amenaza reveló infecciones en varios países, como Brasil, Cuba, México, India, Nepal, Sudáfrica y Egipto. Esto confirma que estamos ante una operación de alcance global que sigue ganando víctimas a través de tácticas de phishing y publicidad maliciosa. La propagación del malware se ve facilitada por la creciente popularidad de DeepSeek y la facilidad con la que los atacantes pueden aprovechar el interés generado por esta tecnología.
Recomendaciones para los Usuarios
Ante esta situación, es vital que los usuarios adopten prácticas de seguridad al navegar e instalar software. Algunas medidas esenciales incluyen:
- Verificar que las páginas visitadas sean las oficiales.
- Analizar cuidadosamente la dirección y el certificado del sitio antes de realizar cualquier descarga.
- Evitar hacer clic en resultados de búsqueda no verificados.
- Mantener el software antivirus actualizado.
- Ser cauteloso con descargas de ejecutables desconocidos.
En un momento en que la inteligencia artificial y las herramientas derivadas de ella ganan relevancia, la precaución y la cultura de la seguridad digital se convierten en las principales aliadas para mantener a salvo la información personal y profesional de cada usuario.
