Malware disfrazado de agentes de inteligencia artificial: así operan las nuevas campañas

El auge de los asistentes de inteligencia artificial no solo ha cambiado la forma en la que trabajamos, programamos o buscamos información: también ha abierto una autopista para que los ciberdelincuentes distribuyan malware disfrazado de herramientas de IA. Desde instaladores falsos de Claude Code o DeepSeek, hasta skills maliciosos para OpenClaw, extensiones de navegador y apps para Android, el panorama se está llenando de trampas muy bien preparadas.

Lo preocupante es que muchas de estas campañas se apoyan en canales aparentemente fiables como Google Search, redes sociales o tiendas de extensiones, lo que hace que incluso usuarios con cierta experiencia puedan caer en la trampa. Además, el objetivo ya no es solo el usuario particular: las empresas, sus desarrolladores y su personal de oficina se han convertido en un blanco muy rentable, tanto para robar información como para inutilizar sistemas completos.

Cómo se aprovechan los atacantes del boom de los agentes de IA

Los grupos maliciosos han entendido muy rápido que los agentes y asistentes de IA están de moda y que hay prisas por probarlos. Por eso se apoyan en marcas y nombres de IA muy conocidos (Claude Code, OpenClaw, DeepSeek, ChatGPT, Sora, Midjourney, etc.) para camuflar código malicioso bajo la apariencia de instaladores, documentación o skills.

Un primer patrón común es el uso de anuncios de Google Search y técnicas de SEO poisoning. Los atacantes registran dominios muy parecidos a los oficiales, montan webs con un diseño casi idéntico al de las páginas legítimas y luego pagan campañas de anuncios o manipulan el posicionamiento para aparecer en los primeros resultados cuando alguien busca “descargar Claude Code”, “DeepSeek para PC” o “ChatGPT 4.0 premium”.

En paralelo, otras campañas se apoyan en redes sociales como X (antes Twitter), Facebook o canales de Telegram. Comprometen cuentas de empresas o usuarios, publican enlaces a supuestos instaladores de IA y amplifican el alcance mediante redes de bots que repostean y comparten el contenido hasta acumular centenares de miles de visualizaciones. Este tipo de operaciones refuerza la necesidad de proteger las cuentas en redes sociales y revisar enlaces antes de ejecutar descargas.

Este cóctel se ve reforzado por un tercer factor: la falta de canales oficiales claros en muchos proyectos de IA de código abierto. Rebrands, forks y cambios de nombre constantes facilitan que aparezcan repositorios, tiendas de skills o webs “paralelas” que parecen totalmente legítimas pero que en realidad están preparadas para distribuir malware.

Malware distribuido a través de Google Ads y búsquedas de herramientas de IA

Una de las campañas más llamativas detectadas recientemente utiliza como gancho la instalación de Claude Code, el agente de programación de Anthropic, así como otros asistentes de IA populares como el chino Doubao o el automatizador de workflows OpenClaw. El objetivo es infectar tanto equipos macOS como Windows con diferentes familias de malware especializadas en el robo de información.

El ataque comienza cuando un usuario busca algo tan inocente como “descargar Claude Code” en Google. Entre los primeros resultados aparecen enlaces patrocinados que llevan a una página aparentemente oficial, creada con servicios legítimos como Squarespace para saltarse muchos filtros antiphishing. El sitio imita con bastante precisión la documentación original, incluyendo el apartado de instalación mediante línea de comandos.

En la guía falsa, al usuario se le indica que copie y ejecute un comando en la terminal, tal y como haría con el procedimiento real de Claude Code. La diferencia es que ese comando no instala ningún agente de IA, sino que descarga e instala malware en segundo plano. Se trata de una variación de la técnica conocida como ClickFix, a la que algunos investigadores han bautizado como “InstallFix” por su foco en los procesos de instalación; por eso es vital saber detectar comandos maliciosos ejecutados en terminal.

Para sistemas macOS, el comando se basa en la herramienta de línea de comandos curl, igual que en las instrucciones genuinas, pero en realidad descarga e implanta el spyware AMOS, un ladrón de información para macOS que ya se ha utilizado en otras campañas previas. En el caso de Windows, en lugar de curl se abusa de mshta.exe, una utilidad del sistema diseñada para ejecutar aplicaciones basadas en HTML, que en este contexto se emplea para desplegar el infostealer Amatera.

Amatera está centrado en robar contraseñas, cookies e información de navegadores, datos de monederos de criptomonedas y contenido de la carpeta del usuario. Todo ese material se envía a un servidor de mando y control remoto (C2) controlado por los atacantes. Para minimizar el impacto de estos robos es recomendable usar un gestor de contraseñas con funciones avanzadas y autenticación multifactor.

Profundizando en la campaña: Claude Code, Doubao y OpenClaw como cebo

El interés por asistentes de codificación y agentes de automatización ha disparado su uso en entornos corporativos, a menudo sin pasar por procesos formales de aprobación. Es bastante habitual que un desarrollador o un empleado curioso busque por su cuenta Claude Code, Doubao o OpenClaw en Google para “probarlos rápido” en su equipo de trabajo.

En muchas empresas estos servicios todavía no han sido formalmente adoptados, ni se han comprado licencias ni se han definido políticas de uso seguro, así que los usuarios se buscan la vida. Esta mezcla de urgencia y falta de canales oficiales se traduce en que un enlace patrocinado con una guía de instalación falsa tiene muchas probabilidades de ser creído y seguido al pie de la letra, sobre todo si copia la documentación original casi al milímetro. Por eso muchas organizaciones deberían ofrecer alternativas seguras y evitar que los empleados proben herramientas por su cuenta.

En el caso de las campañas analizadas, los atacantes no solo replican el aspecto visual de la documentación, sino que reescriben apartados completos de texto, copian secciones de comandos y plagian la estructura de la web. Lo único que cambia es el payload final. El usuario ve una web aparentemente coherente, con su logo, sus bloques de texto técnico y sus pasos bien numerados; por tanto, la sospecha es mínima.

Este enfoque se ha observado también en campañas dirigidas a macOS en las que el malware AMOS se distribuye mediante anuncios de Google Ads que enlazan a páginas controladas por los atacantes, pero alojadas en dominios con aspecto profesional. A menudo se aprovecha incluso de referencias legítimas a OpenAI o a chats con asistentes de IA reales para dar más credibilidad a la operación.

El resultado de todo esto es que los dispositivos corporativos terminan expuestos a spyware e infostealers que pueden acceder a repositorios de código, credenciales de servicios internos, documentación confidencial o incluso a monederos de criptomonedas usados en operaciones financieras de la empresa. Un solo descuido de un empleado puede abrir una puerta de entrada muy seria a la red corporativa; por eso es crucial contar con estrategias de recuperación ante fallos graves.

DeepSeek AI falso: geofencing, cuentas comprometidas y bots en X

Otra campaña especialmente sofisticada gira en torno a DeepSeek AI, un chatbot generativo muy popular. Aquí los atacantes optan por clonar la web oficial mediante dominios muy parecidos, como “deepseek-pc-aicom” o “deepseek-ai-softcom”, y luego refinan el ataque con técnicas de segmentación geográfica (geofencing) y amplificación en redes sociales.

La idea de fondo es que la web maliciosa analiza la dirección IP del visitante para adaptar el contenido según su ubicación. Esto permite mostrar el payload dañino solo a usuarios de países específicos, mientras que a otras regiones se les sirve contenido inocuo o incluso se redirige a sitios legítimos, reduciendo así la probabilidad de ser detectados por analistas de seguridad o por sistemas automatizados de monitorización.

El canal principal de distribución en este caso fue la plataforma X. Los delincuentes se hicieron con el control de la cuenta de una empresa australiana y publicaron desde ahí un tuit con enlaces a las webs fraudulentas. Esa publicación alcanzó entorno a 1,2 millones de impresiones y fue compartida cientos de veces, buena parte de ellas por cuentas de bots con patrones de nombres similares y perfiles casi vacíos, lo que apunta a una red de automatización preparada ex profeso.

La víctima que hace clic en el enlace es dirigida a una página donde se le ofrece descargar una supuesta aplicación de escritorio de DeepSeek para Windows. El instalador está empaquetado con Inno Setup, un framework legítimo muy usado por desarrolladores de software, lo que ayuda a no levantar sospechas ni disparar detecciones básicas.

Una vez ejecutado, el instalador malicioso intenta contactar con servidores de comando y control para descargar scripts PowerShell codificados en Base64. Dichos scripts activan y reconfiguran el servicio SSH integrado de Windows, introduciendo claves controladas por el atacante para conseguir acceso remoto silencioso al sistema comprometido. Esta puerta trasera les permite moverse con calma, instalar herramientas adicionales, exfiltrar información o pivotar hacia otros equipos de la red. En estos casos conviene eliminar el malware mediante análisis sin conexión cuando sea posible.

En este tipo de campaña, los proveedores de seguridad ya han clasificado las cargas útiles como variantes de Trojan-Downloader.Win32.TookPS.*, que combinan descarga de componentes, uso intensivo de PowerShell y técnicas de persistencia para mantenerse en el equipo incluso después de reinicios o intentos de limpieza superficial.

Falsos instaladores de IA que distribuyen ransomware y malware destructivo

Los instaladores falsos de herramientas de IA no solo se utilizan para robar información; también están siendo empleados como vector para ransomware y malware capaz de inutilizar completamente un equipo. Investigaciones recientes de Cisco Talos han identificado varias familias destacadas: Numero, CyberLock y Lucky_Gh0$t.

Numero es un malware especialmente destructivo que se hace pasar por instalador legítimo del servicio InVideo AI. Su comportamiento va mucho más allá de cifrar archivos o robar datos: manipula constantemente los componentes gráficos de Windows (ventanas, títulos, botones, etc.) hasta que el sistema se vuelve prácticamente inusable para el usuario.

Este malware despliega varios componentes internos, entre ellos un ejecutable que se encarga de recorrer las ventanas activas del escritorio y sobrescribir sus elementos de interfaz con cadenas numéricas repetitivas. Desde el punto de vista práctico, el equipo se transforma en una suerte de mosaico de números en el que es imposible trabajar con normalidad. Además, los autores han programado el código para detectar y evadir herramientas de análisis y depuración habituales, como IDA, x64dbg o WinDbg, dificultando el trabajo forense.

CyberLock, por su parte, es un ransomware escrito en PowerShell que se distribuye a través de un dominio fraudulento, novaleadsaicom, diseñado para imitar a la plataforma de monetización novaleads.app. El archivo ejecutable NovaLeadsAI.exe actúa como loader y, al ponerse en marcha, despliega el ransomware en el sistema de la víctima.

Una vez activo, CyberLock cifra archivos de las particiones principales y les añade la extensión .cyberlock, dejando en el escritorio una nota de rescate. En ella los atacantes exigen 50.000 dólares en Monero y amenazan con publicar información confidencial, aunque el análisis del código no ha encontrado indicios claros de exfiltración de datos. Para aumentar la presión psicológica, el mensaje afirma que el dinero se destinará a causas humanitarias en Palestina, Ucrania, África y Asia, una táctica emocional para intentar justificar el pago.

Por último, Lucky_Gh0$t es una nueva variante dentro de la familia Chaos, considerada su sexta iteración. Se distribuye en archivos comprimidos que fingen ser instaladores de “ChatGPT 4.0 premium” e integran herramientas legítimas de Microsoft como señuelo. El ransomware cifra archivos de menos de 1,2 GB usando AES-256 y RSA-2048, añadiendo extensiones aleatorias, mientras que los archivos de mayor tamaño se sustituyen por copias casi vacías con un solo carácter, incorporando un componente claramente destructivo.

La nota de rescate asociada a Lucky_Gh0$t incluye un identificador personal y exige que las víctimas se pongan en contacto a través de la plataforma getsessionorg. Aunque su evolución técnica frente a versiones previas es limitada, el hecho de que siga circulando demuestra que familias de ransomware ya conocidas continúan generando ingresos y representan una amenaza constante, especialmente cuando se combinan con cebos tan efectivos como los instaladores falsos de herramientas de IA. Para contextualizar el auge del ransomware y su impacto regional, conviene revisar mapas de actividad de malware y ransomware.

OpenClaw y ClawHub: skills maliciosos y confusión en proyectos open source

Más allá de los instaladores, los atacantes también están explotando el ecosistema de skills y complementos de asistentes de IA de código abierto. Un ejemplo claro es el caso de ClawHub, una tienda de habilidades para OpenClaw que ha ganado visibilidad como repositorio donde la comunidad comparte extensiones para automatizar tareas y conectar servicios.

La popularidad repentina de ClawHub fue el detonante perfecto: entre el 27 y el 29 de enero se detectaron al menos 14 skills maliciosos subidos por actores malintencionados, algunos de ellos llegando incluso a aparecer como destacados en la portada de la plataforma. La técnica de engaño era simple pero efectiva: los skills se presentaban como herramientas para automatizar trading de criptomonedas y pedían al usuario ejecutar comandos “raros” en la terminal para terminar de configurarlos.

Esos comandos servían de puerta de entrada para descargar el resto del malware, con acceso tanto al sistema de archivos como a la red. Desde ahí, el código malicioso podía leer información del navegador, extraer datos de monederos de criptomonedas o acceder a otros recursos sensibles del equipo, todo ello bajo la fachada de una herramienta aparentemente útil para invertir de forma automatizada.

OpenClaw es un asistente autoalojable y muy flexible, características que lo convierten en un caramelo para entornos corporativos donde muchos administradores optan por instalarlo fuera de los canales oficiales de TI para no tener que esperar aprobaciones. Esto implica que las instancias pueden estar mal auditadas, con plugins externos añadidos sin revisión de código y sin un proceso formal de validación de origen.

A todo esto se suma la confusión generada por rebrands y cambios de nombre en los proyectos open source, que facilitan las suplantaciones: dominios alternativos, repositorios “no oficiales” que parecen legítimos, forks con nombres muy parecidos… Todo ello facilita la distribución de empaquetados falsos y skills manipulados sin que muchos usuarios perciban el riesgo hasta que es demasiado tarde.

La moraleja en este ámbito es clara: aunque los agentes de IA pueden ser tremendamente potentes, no dejan de ser software que puede contener código malicioso. Si el usuario tiene aunque sea unas nociones mínimas, es recomendable revisar el código de los skills, desconfiar de los que solicitan comandos manuales extraños y no fiarse ciegamente ni siquiera de lo que está en portada o marcado como “destacado”.

Malware en Android y extensiones de navegador disfrazadas de IA

El fenómeno del malware camuflado como herramientas de IA no se limita a ordenadores de sobremesa: los móviles Android y las extensiones de navegador también se han convertido en vectores muy activos. Diversas investigaciones han detectado aplicaciones que se presentan como soluciones de seguridad o como clientes móviles para servicios de IA, pero que en realidad actúan como descargadores y espías sofisticados. Un ejemplo reciente y relevante es PromptSpy, un malware para Android que se apoya en IA.

En el entorno Android, muchas de estas campañas siguen un patrón parecido: se utiliza una primera app como contenedor, distribuida a través de tiendas de terceros, webs de dudosa procedencia o incluso enlaces en redes sociales. Una vez instalada, esta app descarga componentes adicionales, muestra ventanas que imitan actualizaciones oficiales del sistema e intenta convencer al usuario para que habilite permisos de accesibilidad.

Al conseguir esos permisos, el malware es capaz de leer lo que aparece en pantalla, registrar pulsaciones, superponer interfaces falsas (por ejemplo, pantallas de login idénticas a las de apps bancarias) y acceder a datos extremadamente sensibles sin que el usuario sea consciente. Los atacantes además generan versiones ligeramente distintas del malware de forma frecuente, lo que complica la detección basada en firmas y les permite mantener una presencia continuada en el ecosistema.

En paralelo, se ha observado un incremento de extensiones de navegador promocionadas en redes sociales, en particular en Facebook, que prometen llevar directamente al sitio oficial de OpenAI, Gemini u otros servicios populares de IA. Algunas se hacen pasar incluso por utilidades tan aparentemente inocentes como Google Translate.

Detrás de esa fachada, sin embargo, se esconden infostealers cuyo objetivo principal es robar credenciales de Facebook u otras plataformas. Aprovechan los permisos que concede el navegador a la extensión para capturar sesiones, cookies y formularios, permitiendo a los atacantes secuestrar cuentas y utilizarlas después para amplificar nuevas campañas o lanzar fraudes a contactos de la víctima.

Los datos recopilados por empresas de seguridad muestran que solo en el segundo semestre de 2023 se bloquearon centenares de miles de intentos de acceso a dominios maliciosos que contenían cadenas tipo “chapgpt” o similares, un indicador claro de la magnitud del problema y de cómo los atacantes juegan con errores tipográficos o variaciones mínimas de nombre para despistar al usuario medio.

Riesgos para usuarios y empresas: del robo de datos a la paralización total

La consecuencia directa de todo este ecosistema de malware disfrazado de agentes de IA es que tanto usuarios particulares como organizaciones se enfrentan a un abanico muy amplio de riesgos. En el plano individual, el robo de credenciales, el acceso a cuentas bancarias, la filtración de conversaciones privadas o el secuestro de perfiles en redes sociales son ya un clásico.

Para las empresas, el impacto va mucho más allá. Un simple infostealer instalado en el portátil de un desarrollador puede dar acceso a repositorios de código fuente, documentación sensible o credenciales de servicios internos. Un ransomware desplegado a partir de un falso instalador de IA puede paralizar servidores críticos, cifrar archivos de proyectos en producción y detener por completo operaciones de negocio.

El uso de malware destructivo como Numero, que inutiliza la interfaz gráfica de Windows, es especialmente peligroso en entornos que dependen de la disponibilidad continua de sus equipos, como centros de atención al cliente, plantas de producción industrial o empresas de servicios que trabajan con terminales dedicados. La pérdida de productividad y el coste de recuperación pueden ser muy elevados.

Además, la combinación de acceso remoto no autorizado (como el SSH manipulado en la campaña de DeepSeek), robo de datos y cifrado con ransomware permite a los atacantes encadenar varios modelos de negocio: extorsión, venta de datos y uso de la infraestructura comprometida para nuevos ataques, por ejemplo como parte de una botnet o para desplegar más malware.

Todo ello se ve agravado por la tendencia a usar herramientas de IA en la sombra dentro de las compañías: empleados que, ante la falta de soluciones oficiales aprobadas o por impaciencia, instalan por su cuenta agentes de automatización y asistentes de IA en sus equipos de trabajo, sin controles ni revisiones previas del área de seguridad.

Buenas prácticas y defensas para frenar el malware camuflado de IA

La parte positiva es que muchas de estas amenazas pueden reducirse significativamente combinando formación, buenas prácticas y soluciones técnicas adecuadas. A nivel de usuario, un primer paso esencial es desconfiar de instaladores y extensiones que no procedan de fuentes oficiales, así como revisar cuidadosamente las URLs antes de descargar nada relacionado con IA.

Es importante fijarse en que el dominio coincida exactamente con el sitio legítimo, sin palabras añadidas, guiones extra ni variaciones de letras. Si algo huele raro, lo más sensato es buscar la web oficial a través de canales verificados (sitios corporativos, repositorios oficiales, tiendas de aplicaciones reconocidas) y evitar atajos a través de anuncios o enlaces acortados compartidos en redes sociales.

En el ámbito corporativo, resulta clave ofrecer a los empleados alternativas seguras y aprobadas para usar agentes de IA, en lugar de bloquearlos sin más. Plataformas de concienciación en seguridad, como los programas de formación automatizada, ayudan a explicar con ejemplos reales cómo operan estas campañas, qué señales de alerta deben buscar y por qué no deben instalar por su cuenta herramientas “de moda”.

Desde el punto de vista técnico, conviene proteger todos los dispositivos corporativos con soluciones de seguridad de confianza que incluyan protección web, análisis de comportamiento y detección de scripts sospechosos (PowerShell, mshta, etc.). En móviles, es recomendable activar mecanismos nativos como Play Protect, mantener el sistema y las apps al día, y usar autenticación multifactor para reducir el impacto de un posible robo de credenciales.

Para organizaciones con flotas amplias de dispositivos, la implantación de soluciones de gestión de dispositivos móviles (MDM), políticas de privilegios mínimos y herramientas de detección y respuesta en endpoints (EDR) se vuelve casi obligatoria. Las auditorías periódicas, las pruebas de intrusión y la revisión de aplicaciones antes de su despliegue ayudan a descubrir vectores de ataque antes de que sean explotados.

Por último, integrar capacidades de inteligencia y analítica avanzada —por ejemplo, pipelines de datos en la nube (AWS, Azure), cuadros de mando con BI y detección asistida por IA para correlacionar eventos— permite reaccionar con más rapidez cuando se detecta un comportamiento anómalo. Servicios especializados de consultoría y pentesting pueden apoyar a los equipos internos para diseñar arquitecturas más seguras desde el inicio del ciclo de vida del software.

El cruce entre el boom de la inteligencia artificial y la creatividad de los ciberdelincuentes está generando un escenario en el que cada nueva herramienta de IA popular se convierte casi de inmediato en un señuelo para distribuir malware; comprender cómo operan estas campañas, reforzar las defensas técnicas y educar a usuarios y empleados para que sospechen de instaladores, skills y extensiones no verificados se ha vuelto imprescindible si queremos aprovechar el potencial de la IA sin pagar el precio de infecciones, robos de datos o sistemas completamente inutilizados.