Por Mid 
PromptLock: el primer ransomware impulsado por IA
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Alta
Conclusiones clave
- PromptLock es el primer ransomware que utiliza inteligencia artificial para generar scripts maliciosos en tiempo real.
- Compatible con los sistemas operativos Windows, Linux y macOS, lo que lo hace versátil y preocupante.
- Genera dinámicamente scripts en Lua, complicando la detección por parte de herramientas de seguridad.
- Utiliza un algoritmo de cifrado inusual, SPECK de 128 bits, comúnmente asociado con aplicaciones de RFID.
- Subraya la necesidad urgente de fortalecer la ciberseguridad frente a malware creado con inteligencia artificial generativa.
Índice
- Descubrimiento del PromptLock
- Metodología de operación
- Implicaciones de la aparición de PromptLock
- Conclusiones
- Referencias
Descubrimiento del PromptLock
Un equipo de investigadores de ESET ha descubierto un prototipo de ransomware denominado PromptLock, el primero en hacer uso de inteligencia artificial para la creación de scripts maliciosos en tiempo real. Este malware es compatible con los sistemas operativos Windows, Linux y macOS, lo que introduce un nuevo y preocupante escenario en el ámbito del cibercrimen.
Metodología de operación
PromptLock, desarrollado en Golang, establece una conexión remota mediante un proxy al modelo gpt-oss:20b de OpenAI a través de la API de Ollama. A diferencia de otros tipos de ransomware que emplean scripts de ataque predefinidos, este malware tiene la capacidad de generar dinámicamente scripts en Lua, basándose en instrucciones codificadas que determinan cómo localizar archivos, examinarlos, exfiltrar información y cifrarlos. Esta metodología tiene varias implicaciones alarmantes.
La capacidad de crear scripts en Lua permite a PromptLock operar de forma multiplataforma, ejecutándose en diversos sistemas operativos sin requerir adaptaciones significativas. La naturaleza dinámica del ransomware implica que cada ejecución puede generar un script único, lo que complica enormemente su detección por parte de las herramientas de seguridad convencionales. Además, utiliza el algoritmo de cifrado SPECK de 128 bits, que es inusual en ransomware y se asocia más comúnmente con aplicaciones de RFID.
Implicaciones de la aparición de PromptLock
Aunque se presume que tiene la facultad de eliminar o exfiltrar datos, estas funcionalidades todavía no están completamente implementadas, posicionándolo más como un proof-of-concept que como una amenaza totalmente operativa. El hallazgo de este malware se realizó tras el análisis de muestras presentadas en VirusTotal desde Estados Unidos el 25 de agosto de 2025. Poco tiempo después, un investigador reclamó la autoría de la herramienta, aunque alegó que el código había sido filtrado por accidente.
Más allá de este incidente en particular, el surgimiento de PromptLock enfatiza un problema más amplio: la creciente facilidad con que, mediante el uso de inteligencia artificial generativa, individuos con escasos conocimientos técnicos pueden crear malware versátil y difícil de detectar. Esto marca un avance significativo en la profesionalización de los ataques cibernéticos y representa un desafío inmediato para la ciberseguridad.
Conclusiones
La aparición de este prototipo subraya la urgente necesidad de fortalecer los mecanismos de detección de amenazas emergentes que utilicen inteligencia artificial generativa. No es suficiente contar con sistemas de defensa basados en firmas; es esencial avanzar hacia soluciones enfocadas en el análisis de comportamiento. También se destaca la importancia de monitorear el uso de modelos de inteligencia artificial de acceso público, ya que pueden convertirse en herramientas para realizar ciberataques cada vez más sofisticados.