Los equipos de Investigación de Amenazas y Tecnología de IA de Kaspersky han identificado una campaña de malware diseñada específicamente para atacar a profesionales del sector tecnológico. Los ciberdelincuentes han creado sitios web fraudulentos que simulan ofrecer el popular marco de código abierto Ollama para ejecutar modelos de IA de forma local.
Estos sitios web, en idioma local, promocionan el supuesto despliegue local de DeepSeek AI, con el objetivo de atraer a usuarios técnicamente avanzados interesados en ejecutar sistemas de IA de manera autónoma en su propio hardware. Sin embargo, el malware oculto en estas campañas representa un riesgo especialmente alto para personas con conocimientos técnicos que manejan sistemas de TI sensibles.
El Atractivo de la IA Local y los Peligros Ocultos
Según María Isabel Manjarrez, investigadora de seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky, el atractivo de ejecutar herramientas de IA generativa de forma local —mayor control, menor dependencia de servicios en la nube y mejor privacidad— es comprensible entre los profesionales de TI. Sin embargo, los ciberdelincuentes han aprovechado este interés para infiltrarse deliberadamente en sistemas de individuos con altos privilegios.
Al dirigirse a estos usuarios técnicamente capacitados, los atacantes logran una vía para pasar de dispositivos personales comprometidos a entornos corporativos con altos privilegios. Lo que parece una intrusión individual puede escalar rápidamente a un incidente cibernético organizacional de gran magnitud.
Técnicas Avanzadas de Evasión y Acceso Persistente
Los investigadores de Kaspersky han identificado varios dominios engañosos que distribuyen este malware especializado, como app.delpaseek[.]com, app.deapseek[.]com y dpsk.dghjwd[.]cn. Si los usuarios instalan lo que creen que es una herramienta legítima de despliegue local de IA, el malware establece túneles de comunicación encubiertos mediante el protocolo KCP, lo que podría permitir acceso remoto persistente al sistema comprometido.
Además, se han descubierto dominios como deep-seek[.]bar y deep-seek[.]rest que distribuyen malware con técnicas avanzadas de evasión, incluyendo esteganografía (ocultar código malicioso dentro de archivos aparentemente inofensivos) e inyección de procesos, lo que permite al malware operar dentro de procesos legítimos del sistema y dificulta significativamente su detección.
Protege a tu Organización de estos Ataques
Para protegerse de estos ataques, los expertos de Kaspersky recomiendan:
- Implementar controles de aplicaciones: Usar soluciones con capacidades estrictas de control de aplicaciones para impedir la instalación de herramientas no autorizadas, incluso si parecen legítimas.
- Realizar capacitaciones específicas en ciberseguridad: Educar a los especialistas técnicos sobre tácticas de ingeniería social centradas en la IA, destacando cómo su interés en ejecutar modelos de forma local los convierte en objetivos atractivos.
- Desplegar soluciones de seguridad empresarial: La línea de productos Kaspersky Next ofrece protección en tiempo real contra estas amenazas, lo cual es especialmente importante para los sistemas utilizados por personal técnico con privilegios elevados en la red.
