El primer ransomware impulsado por IA ya tiene nombre y ficha técnica, y llega de la mano de ESET Research. Se llama PromptLock, nace como prueba de concepto y aún no hay víctimas, pero marca un antes y un después. Si combina modelos de lenguaje con scripts a medida, ¿qué cambia para ti y para tu empresa?
Según ESET, PromptLock es el primer ransomware impulsado por IA conocido. Fue presentado como PoC y, a día de hoy, no hay señales de ataques en la naturaleza. El proyecto muestra cómo un LLM puede generar código malicioso en tiempo real y en varios sistemas. Aquí es donde su flexibilidad multiplica el riesgo, y donde las defensas tradicionales empiezan a quedarse cortas.
La idea central es sencilla: el malware usa un modelo de lenguaje para crear scripts Lua que enumeran el sistema de archivos, seleccionan objetivos, exfiltran datos y cifran ficheros. Este ransomware impulsado por IA funciona en Windows, Linux y macOS, y eso no es casualidad. Los scripts Lua que produce son portables, así que un solo “cerebro” puede adaptarse a tres entornos con rapidez.
A 4 de septiembre de 2025, ESET no reporta ataques reales, y el cifrado que implementa es SPECK de 128 bits en modo ECB. El detalle técnico importa por dos motivos: 128 bits es la longitud de clave, y ECB fragmenta en bloques de 16 bytes, lo que condiciona los patrones de cifrado. Que sea PoC no lo hace inofensivo si otros copian el diseño y cambian piezas.
Así funciona el ransomware impulsado por IA PromptLock
El flujo técnico sigue un orden claro. Primero, el binario en Go levanta un LLM local mediante la API de Ollama y lanza prompts predefinidos. Con esos prompts, el modelo genera scripts Lua que recorren el disco, hacen filtros y ejecutan tareas muy concretas.
El proceso empieza con la enumeración del sistema de archivos y un inventario de posibles objetivos en scan.log. Luego estrecha el tiro: analiza tu directorio personal para localizar ficheros con información crítica, y vuelca resultados en target_file_list.log. Con eso, hace una lista final en target.log. También crea payloads.txt para metadatos o etapas previas. Esa cadencia da a este ransomware impulsado por IA precisión y velocidad.
El cifrado usa SPECK-128 en modo ECB y escribe el texto cifrado sobre el original. La clave se guarda en la variable key como cuatro palabras de 32 bits en formato little-endian y se genera de forma dinámica. Tras cifrar, crea notas de rescate “sobre la marcha”, que pueden incluir una dirección de Bitcoin, incluso la primera de la historia (1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa), y un importe ficticio por ser PoC.
Para moverse por tu sistema, los scripts imprimen claves de entorno en minúsculas con formato “key: value”: os, username, home, hostname, temp, sep y cwd. ‘username’ y ‘home’ salen de variables estándar según el sistema; ‘hostname’ puede llegar desde COMPUTERNAME, HOSTNAME o por comando; ‘temp’ prioriza TMPDIR, TEMP o TMP, y si no, usa ‘/tmp’; ‘sep’ aclara el separador de rutas; y el directorio actual (cwd) lo obtiene con ‘pwd’ o ‘cd’ según toque.
En los últimos meses, se han multiplicado las PoCs de malware alimentado por IA, y eso obliga a ajustar la defensa. No basta con firmas estáticas. Vas a necesitar detección conductual, modelos que entiendan prompts maliciosos y análisis de generación de scripts en tiempo real.
¿Qué mirar a partir de ahora? Señales como inventarios repentinos de ficheros (scan.log), listas de objetivos en tu perfil (target_file_list.log y target.log), creación de payloads.txt, impresión masiva de variables de entorno con “key: value”, o el uso de un LLM local vía Ollama. Si ves más de una a la vez, prepárate para contener y erradicar.
Hoy, esta PoC no ha salido del laboratorio, y eso nos da margen. Pero el diseño modular de este ransomware impulsado por IA es fácil de copiar y difícil de parar con reglas simples. Te conviene reforzar la telemetría, vigilar procesos que generen Lua bajo demanda y adoptar defensas impulsadas por IA que sigan el ritmo de la ofensa. SEQRITE ya detecta PromptLock y su variante PromptLock.49912.GC, y seguiremos atentos a nuevas muestras y movimientos cercanos a producción.
Directora de operaciones en GptZone. IT, especializada en inteligencia artificial. Me apasiona el desarrollo de soluciones tecnológicas y disfruto compartiendo mi conocimiento a través de contenido educativo. Desde GptZone, mi enfoque está en ayudar a empresas y profesionales a integrar la IA en sus procesos de forma accesible y práctica, siempre buscando simplificar lo complejo para que cualquiera pueda aprovechar el potencial de la tecnología.
