El primer ransomware impulsado por IA ya tiene nombre y ficha técnica, y llega de la mano de ESET Research. Se llama PromptLock, nace como prueba de concepto y aún no hay víctimas, pero marca un antes y un después. Si combina modelos de lenguaje con scripts a medida, ¿qué cambia para ti y para tu empresa?
Según ESET, PromptLock es el primer ransomware impulsado por IA conocido. Fue presentado como PoC y, a día de hoy, no hay señales de ataques en la naturaleza. El proyecto muestra cómo un LLM puede generar código malicioso en tiempo real y en varios sistemas. Aquí es donde su flexibilidad multiplica el riesgo, y donde las defensas tradicionales empiezan a quedarse cortas.
La idea central es sencilla: el malware usa un modelo de lenguaje para crear scripts Lua que enumeran el sistema de archivos, seleccionan objetivos, exfiltran datos y cifran ficheros. Este ransomware impulsado por IA funciona en Windows, Linux y macOS, y eso no es casualidad. Los scripts Lua que produce son portables, así que un solo “cerebro” puede adaptarse a tres entornos con rapidez.
A 4 de septiembre de 2025, ESET no reporta ataques reales, y el cifrado que implementa es SPECK de 128 bits en modo ECB. El detalle técnico importa por dos motivos: 128 bits es la longitud de clave, y ECB fragmenta en bloques de 16 bytes, lo que condiciona los patrones de cifrado. Que sea PoC no lo hace inofensivo si otros copian el diseño y cambian piezas.
El flujo técnico sigue un orden claro. Primero, el binario en Go levanta un LLM local mediante la API de Ollama y lanza prompts predefinidos. Con esos prompts, el modelo genera scripts Lua que recorren el disco, hacen filtros y ejecutan tareas muy concretas.
El proceso empieza con la enumeración del sistema de archivos y un inventario de posibles objetivos en scan.log. Luego estrecha el tiro: analiza tu directorio personal para localizar ficheros con información crítica, y vuelca resultados en target_file_list.log. Con eso, hace una lista final en target.log. También crea payloads.txt para metadatos o etapas previas. Esa cadencia da a este ransomware impulsado por IA precisión y velocidad.
El cifrado usa SPECK-128 en modo ECB y escribe el texto cifrado sobre el original. La clave se guarda en la variable key como cuatro palabras de 32 bits en formato little-endian y se genera de forma dinámica. Tras cifrar, crea notas de rescate “sobre la marcha”, que pueden incluir una dirección de Bitcoin, incluso la primera de la historia (1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa), y un importe ficticio por ser PoC.
Para moverse por tu sistema, los scripts imprimen claves de entorno en minúsculas con formato “key: value”: os, username, home, hostname, temp, sep y cwd. ‘username’ y ‘home’ salen de variables estándar según el sistema; ‘hostname’ puede llegar desde COMPUTERNAME, HOSTNAME o por comando; ‘temp’ prioriza TMPDIR, TEMP o TMP, y si no, usa ‘/tmp’; ‘sep’ aclara el separador de rutas; y el directorio actual (cwd) lo obtiene con ‘pwd’ o ‘cd’ según toque.
En los últimos meses, se han multiplicado las PoCs de malware alimentado por IA, y eso obliga a ajustar la defensa. No basta con firmas estáticas. Vas a necesitar detección conductual, modelos que entiendan prompts maliciosos y análisis de generación de scripts en tiempo real.
¿Qué mirar a partir de ahora? Señales como inventarios repentinos de ficheros (scan.log), listas de objetivos en tu perfil (target_file_list.log y target.log), creación de payloads.txt, impresión masiva de variables de entorno con “key: value”, o el uso de un LLM local vía Ollama. Si ves más de una a la vez, prepárate para contener y erradicar.
Hoy, esta PoC no ha salido del laboratorio, y eso nos da margen. Pero el diseño modular de este ransomware impulsado por IA es fácil de copiar y difícil de parar con reglas simples. Te conviene reforzar la telemetría, vigilar procesos que generen Lua bajo demanda y adoptar defensas impulsadas por IA que sigan el ritmo de la ofensa. SEQRITE ya detecta PromptLock y su variante PromptLock.49912.GC, y seguiremos atentos a nuevas muestras y movimientos cercanos a producción.
Directora de operaciones en GptZone. IT, especializada en inteligencia artificial. Me apasiona el desarrollo de soluciones tecnológicas y disfruto compartiendo mi conocimiento a través de contenido educativo. Desde GptZone, mi enfoque está en ayudar a empresas y profesionales a integrar la IA en sus procesos de forma accesible y práctica, siempre buscando simplificar lo complejo para que cualquiera pueda aprovechar el potencial de la tecnología.
La Newsletter Diaria Sobre Inteligencia Artificial. Además: Portal de Noticias, Tutoriales, Tips y Trucos de ChatGpt, Openai e Inteligencia Artificial.
Nuestra web está alojada en:
