Descubren el primer ransomware nativo del navegador asistido por inteligencia artificial
728 x 90 px
El panorama de la ciberseguridad corporativa y de consumo experimenta una transformación radical debido a la autonomía operativa que los modelos de lenguaje masivos confieren a los actores de amenazas. En la actualidad, la división de Inteligencia de Amenazas de Check Point Research ha identificado un hito alarmante: el primer código de ransomware que se ejecuta por completo en el navegador web del usuario, diseñado mediante un proceso de razonamiento independiente por un modelo de inteligencia artificial.
Este descubrimiento marca un cambio de paradigma en el desarrollo de software malicioso. Tradicionalmente, la creación de un secuestrador de datos requería una alta especialización para evadir los sistemas de detección del sistema operativo mediante exploits complejos o la inyección de archivos ejecutables binarios. En esta oportunidad, un modelo de IA logró vincular un riesgo teórico de la navegación web con una técnica funcional de secuestro de información, prescindiendo por completo de la instalación de aplicaciones o de la explotación de fallas lógicas en el software de la víctima.
El hallazgo técnico en el ecosistema de los modelos de libre acceso
La detección del código se produjo durante una inspección detallada de aproximadamente 3.000 archivos atribuidos a la telemetría pública del modelo de código abierto DeepSeek. Los investigadores aislaron una estructura desarrollada bajo el framework Python Flask que, en su diseño general, presentaba fallas estructurales severas al intentar consolidar en una misma página web herramientas de captura de teclado (keyloggers), sistemas de robo de credenciales corporativas y bloqueadores de pantalla; componentes que las directivas de seguridad de los navegadores modernos neutralizan de forma predeterminada.
(Automático aquí)
No obstante, en medio de este diseño ineficiente, los analistas descubrieron un acierto crítico de programación: la invocación legítima de la API web nativa conocida como showDirectoryPicker(). Esta función estándar de la interfaz de desarrollo permite que un sitio web solicite al usuario acceso explícito a un directorio local de su almacenamiento. Al recibir la autorización del internauta, el script adquiere la capacidad técnica de leer los archivos alojados en esa carpeta, alterarlos mediante algoritmos de cifrado y transmitirlos de forma síncrona hacia un servidor de comando y control controlado por el atacante, todo ello operando de forma interna dentro del navegador y de manera transparente para los antivirus tradicionales.
El ecosistema Android y las especificaciones de la vulnerabilidad en navegadores
Mientras que corporaciones líderes en el desarrollo de inteligencia artificial como OpenAI o Anthropic han implementado rigurosas barreras de control de seguridad para impedir que sus modelos procesen solicitudes vinculadas a ransomware o malware, la consistencia en los filtros de modelos gratuitos o descentralizados resulta considerablemente menor. Ángel Salazar, Gerente de Ingeniería de Canales en América Latina de Check Point Software, precisó que una única instrucción formulada en lenguaje natural genérico bastó para que el modelo generara el script funcional, reduciendo al mínimo las barreras técnicas de entrada para delincuentes informáticos sin competencias de programación avanzadas.
Para comprobar la viabilidad operativa de este vector de ataque, se estructuró una prueba de concepto consistente en un portal web fraudulento que simulaba ser una herramienta de optimización de imágenes potenciada por IA. El flujo de interacción resulta cotidiano para la víctima: el sitio web solicita seleccionar un directorio local del dispositivo para guardar los supuestos archivos procesados. Al aceptar la ventana emergente estándar del navegador, se otorga el permiso de escritura que el script necesita para cifrar la carpeta en segundo plano.
Este vector de ataque adquiere una gravedad extrema dentro del ecosistema móvil de Google. Tras la incorporación del soporte nativo para la API de Acceso al Sistema de Archivos en la versión de Chrome 132+, las verificaciones técnicas ejecutadas en la actualización actual de Chrome 148 ratificaron que una página web maliciosa puede solicitar y obtener acceso directo a la carpeta de almacenamiento DCIM, el directorio principal donde los smartphones Android guardan las fotografías de la cámara, capturas de pantalla con información confidencial, imágenes de documentos de identidad y códigos de recuperación. La pérdida o exfiltración de este volumen de información personal expone de inmediato a los usuarios a campañas de extorsión y brechas de privacidad corporativa. En contraste, las especificaciones de software de iOS impiden por ahora este ataque debido a que el navegador Safari no tiene expuesta dicha API.
Pautas de defensa y mitigación proactiva contra el malware en el navegador
Debido a que este ransomware nativo del navegador no depende de la descarga de archivos ejecutables ni activa las alertas tradicionales de las suites de seguridad perimetral, es indispensable que los administradores de sistemas y usuarios adopten pautas estrictas de prevención técnica:
- Escrutinio riguroso de solicitudes web: Desconfiar sistemáticamente de cualquier ventana emergente del navegador que solicite privilegios de lectura o escritura sobre carpetas locales, evaluando si dicha tarea requiere acceso al disco duro.
- Aislamiento preventivo de directorios: En caso de requerir el uso de herramientas web cuya procedencia no esté verificada, se debe asignar una carpeta temporal completamente vacía, evitando exponer la biblioteca de imágenes principal o directorios con datos irremplazables.
- Políticas de respaldos externos: Mantener copias de seguridad periódicas, cifradas y totalmente desconectadas de la red para garantizar la recuperación de la información en caso de un secuestro de datos en la interfaz web.
- Implementación de tecnologías antiphishing avanzadas: Dado que la entrega del ataque depende estrictamente de atraer al usuario hacia un dominio web fraudulento, la utilización de motores de inspección en la nube como Check Point Threat Cloud Anti-Phishing resulta vital para interceptar y bloquear los enlaces maliciosos antes de que ocurra la interacción con la API de almacenamiento.
Por el momento, las auditorías globales no registran evidencias de que este método esté siendo explotado en campañas activas en la red. La divulgación anticipada de este vector responde a una labor de prevención técnica temprana destinada a preparar las firmas de seguridad ante un paradigma donde la inteligencia artificial automatiza la fase de descubrimiento de vulnerabilidades lógicas dentro de las plataformas de software de uso cotidiano.
