El 26 de agosto de 2025, los investigadoresde ESET anunciaron un descubrimiento significativo: PromptLock, el primer ransomware conocido que utiliza inteligencia artificial para generar sus scripts maliciosos en tiempo real.
Aunque todavía se encuentra en fase experimental, esta innovación técnica ilustra la evolución esperada del ransomware en un contexto en el que la IA se está volviendo ampliamente accesible.
PromptLock utiliza el modelo gpt-oss:20b de OpenAI a través de la API Ollama para crear dinámicamente scripts Lua adaptados a cada entorno objetivo.
Veamos qué revela este descubrimiento sobre el futuro de la ciberseguridad y las implicaciones prácticas para las organizaciones.
Cómo funciona PromptLock técnicamente
Una arquitectura innovadora
Según el análisis de SecurityWeek, PromptLock funciona según el siguiente proceso:
- Binary Go: el programa principal lanza prompts predefinidos
- Generación de IA: el modelo gpt-oss:20b crea scripts Lua maliciosos
- Ejecución adaptativa: estos scripts se adaptan a los sistemas Windows, Linux y macOS
- Acciones maliciosas: reconocimiento, exfiltración y cifrado SPECK de 128 bits
Despliegue flexible
Contrariamente a las primeras impresiones, PromptLock no requiere necesariamente la instalación de Ollama en cada máquina de destino.
Como explican los expertos deIT News Australia, el malware puede conectarse a un servidor Ollama remoto a través de un proxy o túnel, ampliando considerablemente su potencial de despliegue…
El modelo gpt-oss:20b es de código abierto, accesible a todos y relativamente ligero. Sólo necesita 16GB de Vram para ejecutar el modelo sobre Gpus.
PromptLock tiene capacidades completas de robo y cifrado de datos. Sin embargo, los investigadores de ESET han identificado una función de destrucción de datos que actualmente no está implementada en el código.
«Dependiendo de los archivos de usuario detectados, el malware puede exfiltrar los datos, cifrarlos o potencialmente destruirlos. Aunque la funcionalidad de destrucción aún no parece haber sido implementada», afirman los expertos de ESET Research.
Un detalle intrigante: la dirección de Bitcoin utilizada en los mensajes parece pertenecer a Satoshi Nakamoto, el creador de Bitcoin, probablemente un guiño simbólico de los desarrolladores.
PromptLock utiliza el algoritmo SPECK de 128 bits para el cifrado. Aunque ESET considera que este código es una prueba de concepto o un proyecto en desarrollo, el equipo de investigación destaca la importancia de alertar a la comunidad de ciberseguridad sobre estos riesgos emergentes.
Estado actual e implicaciones
Una prueba de concepto con un futuro brillante
PromptLock sigue siendo una prueba de concepto por el momento. ESET confirma que no se han observado ataques activos, y la página Ransomware. live no enumera actualmente ninguna víctima.
Esta situación ofrece una valiosa oportunidad para prepararse antes de que una amenaza similar entre en funcionamiento.
Anton Cherepanov de ESET, entrevistado por CyberScoop, lo confirma: «No hay evidencia de uso malicioso en nuestra telemetría». Este margen de tiempo es inestimable para adaptar las defensas.
La evolución de las ciberamenazas
PromptLock ilustra una tendencia importante: la integración de la IA en los ciberataques. Esta evolución plantea nuevos retos:
- Mayor variabilidad: cada ejecución genera scripts diferentes
- Detección más compleja: las firmas fijas resultan insuficientes.
- Adaptación necesaria: las estrategias defensivas deben evolucionar
Impacto en las estrategias de ciberseguridad
Nuevos retos defensivos
La principal innovación de PromptLock no es técnica, sino conceptual: el ensamblaje dinámico de las etapas del ataque. Este enfoque deja obsoletos algunos métodos de detección tradicionales y exige un cambio de prácticas.
Recomendaciones estratégicas
Los expertos recomiendan un triple enfoque:
1. 1. Vigilancia del comportamiento
- 2. Supervisión de ejecuciones inusuales de scripts Lua
- Detección de anomalías en el acceso a los datos
- Correlación inteligente de eventos
2. Controles de red
- Supervisión de las conexiones a servicios LLM no autorizados
- Supervisión del puerto 11434 (Ollama por defecto si el despliegue local es adoptado por hackers)
- Segmentación reforzada de las redes críticas
3. Gobernanza de la IA
- Políticas de utilización de herramientas internas de IA
- Salvaguardias contra el uso indebido de la IA
- Formación de equipos en nuevas amenazas
Comparación con el ransomware tradicional
| Aspecto | ransomware tradicional | PromptLock |
|---|---|---|
| Código | Estático, predefinido | Generado dinámicamente |
| Detección | Firmas identificables | Huella variable |
| Desarrollo | Se requieren conocimientos técnicos | Asistido por IA |
| Adaptabilidad | Limitada a casos previstos | Flexible en función del entorno |
Esta comparación revela la amplitud del cambio conceptual que representa PromptLock, incluso en su versión experimental.
Perspectivas de futuro
Lo que PromptLock nos enseña
Este descubrimiento nos da una idea de la evolución probable de las ciberamenazas:
- Automatización creciente: La IA facilitará la creación de malware sofisticado.
- Personalizaciónavanzada: ajuste fino a los entornos objetivo
- Barreras más bajas: Acceso más fácil a técnicas avanzadas para un mayor número de actores
Preparación necesaria
Las organizaciones que se anticipen a esta evolución obtendrán una ventaja competitiva. La inversión en tecnologías defensivas basadas en IA se está convirtiendo en estratégica.
Posibles inversiones
- Soluciones de seguridad basadas en IA
- Plataformas avanzadas de detección de comportamientos
- Capacidades de respuesta automatizada inteligente
A tener en cuenta
PromptLock marca un hito importante en la evolución del riesgo de ransomware Esta prueba de concepto demuestra que la integración de la IA en los ataques ya no es una cuestión de ciencia ficción, sino una realidad técnica que pronto se aplicará en casos reales de ataques de ransomware.
Puntos clave:
- La IA está cambiando las reglas del juego en ciberseguridad
- Las defensas tradicionales están mostrando sus límites
- La adaptación proactiva se convierte en una ventaja competitiva
- La ventana de oportunidad para prepararse está abierta
Conclusión
El descubrimiento de PromptLock ofrece una oportunidad única: anticipar la evolución de las amenazas antes de que se vuelvan críticas. Esta innovación técnica, incluso en fase experimental, revela la dirección más probable de los futuros ciberataques.
Las organizaciones que comprendan esta evolución y adapten ahora sus estrategias defensivas llevarán una ventaja decisiva. Integrar la IA en la ciberseguridad ya no es una opción, sino una necesidad estratégica.
El futuro de la ciberseguridad se prepara hoy. PromptLock nos muestra el camino: hacia una ciberseguridad en la que la inteligencia artificial redefine el equilibrio, creando nuevos retos a los que las organizaciones deben adaptarse lo antes posible.
Fuentes principales:
