Los virus han aprendido a 'pensar'. La nueva frontera de los Virus IA
En junio de 2025, los analistas del Grupo de Inteligencia de Amenazas de Google interceptaron algo que nunca antes habían visto. Un dropper en VBScript contenía una función llamada "Thinking Robot" que, a intervalos regulares, contactaba con la API de Gemini con una solicitud precisa: "reescríbeme para evadir los antivirus". El malware, bautizado como PROMPTFLUX, no se limitaba a usar la inteligencia artificial como herramienta de desarrollo. La incorporaba en su propio código, transformándola en una capacidad operativa activa durante la ejecución.
Es el momento en que el software malicioso deja de ser una secuencia fija de instrucciones y se convierte en algo más parecido a un organismo adaptativo. Como escribe el equipo de investigación en su informe técnico, nos enfrentamos a un cambio de fase: los atacantes ya no usan la IA solo para aumentar la productividad, sino que están desplegando malware habilitado para IA en operaciones reales, con capacidad de alterar dinámicamente su propio comportamiento durante la ejecución.
La anatomía de la auto-mutación
PROMPTFLUX representa la expresión más clara de esta evolución. El dropper está escrito en VBScript, un lenguaje aparentemente anticuado pero todavía eficaz para eludir algunas defensas modernas. Su arquitectura prevé una carga de trabajo de señuelo, que enmascara la actividad principal mientras, en segundo plano, el módulo "Thinking Robot" envía solicitudes POST al punto final de Gemini especificando el modelo "gemini-1.5-flash-latest". La elección de la etiqueta "latest" no es casual: garantiza que el malware utilice siempre la versión más reciente del modelo, haciéndolo resistente a las nuevas contramedidas.
El prompt enviado al LLM es quirúrgico en su precisión. Pide código VBScript para la evasión de antivirus e instruye al modelo para que devuelva solo el código en sí, sin preámbulos ni formato markdown. La respuesta se registra en un archivo temporal y, aunque en las versiones analizadas la función de auto-actualización está comentada, la intención del diseño es muy clara: crear un script metamórfico capaz de evolucionar con el tiempo. Una variante más reciente sustituye el "Thinking Robot" por una función llamada "Thinging" que reescribe todo el código fuente cada hora, incorporando la carga útil original, la clave de la API y la lógica de auto-regeneración en un ciclo recursivo de mutación.
El caso más inquietante, sin embargo, llega de Rusia. En junio, APT28 - el grupo de ataque patrocinado por el gobierno ruso también conocido como FROZENLAKE - utilizó contra objetivos ucranianos un malware llamado PROMPTSTEAL, reportado por el CERT-UA como LAMEHUG. Esto representa la primera observación confirmada de malware que interroga a un LLM en operaciones en vivo. PROMPTSTEAL se hace pasar por un programa de "generación de imágenes" y, mientras guía al usuario a través de prompts aparentemente inofensivos, interroga a la API de Hugging Face para obtener comandos que ejecutar. El modelo utilizado es Qwen2.5-Coder-32B-Instruct, un LLM de código abierto especializado en código. Los prompts piden al LLM que genere comandos para recopilar información del sistema y copiar documentos en directorios específicos. La salida es ejecutada a ciegas por el malware y luego exfiltrada a servidores de comando y control.
La evolución técnica continúa con PROMPTLOCK, un ransomware multiplataforma escrito en Go que utiliza LLMs para generar y ejecutar scripts Lua maliciosos en tiempo de ejecución. Sus capacidades incluyen el reconocimiento del sistema de archivos, la exfiltración de datos y el cifrado en sistemas Windows y Linux. Aunque se ha identificado como una prueba de concepto, demuestra la versatilidad del enfoque: en lugar de codificar funcionalidades específicas, el malware delega en la inteligencia artificial la generación justo a tiempo de código adecuado al contexto operativo.
La ingeniería social de los algoritmos
Pero hay un problema para los atacantes: los modelos de IA tienen barreras de seguridad diseñadas para rechazar solicitudes maliciosas. ¿La respuesta? Aplicar la ingeniería social no a los humanos, sino a las propias máquinas. El informe de Google documenta tácticas sorprendentemente eficaces. Un actor vinculado a China, bloqueado por una respuesta de seguridad de Gemini cuando preguntaba cómo identificar vulnerabilidades en un sistema comprometido, simplemente reformuló el prompt presentándose como participante en una competición de "Capture The Flag". El contexto lúdico-educativo funcionó: Gemini proporcionó información técnica detallada que, en un contexto diferente, se habría negado a compartir.
La técnica del "pretexto CTF" fue luego sistematizada por el actor chino, que la utilizó para el desarrollo de phishing, exploits y shells web, anteponiendo a las solicitudes frases como "estoy trabajando en un problema de CTF" o "estoy en una competición de CTF y he visto a alguien de otro equipo decir...". La paradoja es evidente: los mismos prompts que, planteados por un participante real en una competición, serían solicitudes legítimas, se convierten en vectores de ataque cuando son utilizados por actores de amenazas. Es un desafío filosófico además de técnico: ¿cómo distinguir la intención cuando el contenido es idéntico?
El grupo iraní TEMP.Zagros, también conocido como Muddy Water, adoptó una variante del pretexto educativo. Cuando se encontraba con respuestas de seguridad, se presentaba como un estudiante universitario trabajando en un proyecto final, o como un investigador que escribía un artículo internacional sobre ciberseguridad. La ironía de la situación se manifiesta cuando, al pedir ayuda para un script de comando y control, el grupo expuso involuntariamente a Gemini información sensible codificada: el dominio C2 y la clave de cifrado del script. Un fallo de seguridad operativa que permitió a Google desmantelar porciones significativas de la infraestructura del atacante.
Los actores norcoreanos han mostrado una sofisticación particular. UNC1069, un grupo especializado en el robo de criptomonedas, utilizó Gemini para investigar conceptos de cripto, localizar datos de carteras y generar material de ingeniería social. Particularmente relevante es la capacidad de superar las barreras lingüísticas: el grupo hizo que el modelo generara excusas de trabajo en español y solicitudes para posponer reuniones, ampliando el alcance geográfico de las operaciones sin necesidad de competencia lingüística directa. Otros grupos norcoreanos han experimentado con deepfakes para hacerse pasar por figuras de la industria de las criptomonedas, distribuyendo la puerta trasera BIGMACHO a través de enlaces falsos a un "SDK de Zoom".
El mercado negro de la inteligencia
Mientras los grupos patrocinados por estados nacionales experimentan con capacidades personalizadas, el mercado clandestino ha alcanzado una madurez sorprendente. En 2025, según el análisis de Google de los foros en inglés y ruso, han surgido ofertas de herramientas multifuncionales diseñadas para apoyar todo el ciclo de ataque. Casi todas las herramientas anunciadas mencionan explícitamente capacidades de apoyo a campañas de phishing, pero la oferta abarca desde la generación de deepfakes hasta la creación de malware, desde la investigación de vulnerabilidades hasta el soporte técnico para el desarrollo.
Lo que llama la atención es la similitud con el mercado legítimo. Los desarrolladores de herramientas de IA ilícitas utilizan un lenguaje de marketing idéntico al de los proveedores convencionales, enfatizando la eficiencia del flujo de trabajo y la optimización del esfuerzo. Los modelos de precios reflejan los convencionales: versiones gratuitas con publicidad integrada y niveles de suscripción que desbloquean funcionalidades avanzadas como la generación de imágenes, el acceso a la API y la integración con Discord. Es un ecosistema maduro que democratiza el acceso a capacidades ofensivas sofisticadas.
Según datos de KELA Cyber, las menciones a herramientas de IA en los foros clandestinos han crecido un 200% en el último año. Herramientas como WormGPT y FraudGPT ofrecen servicios completos de IA "sin filtros" diseñados específicamente para usos ilícitos, con tutoriales detallados y soporte al cliente. La barrera de entrada para los atacantes poco cualificados sigue bajando: ya no se necesita una competencia técnica profunda cuando se puede delegar en un LLM la generación de cargas útiles personalizadas o la optimización de campañas.
La economía perversa de la automatización
Detrás de esta evolución tecnológica se esconde un cálculo económico despiadado. Desarrollar malware tradicional requiere competencias específicas, tiempo de desarrollo y un mantenimiento continuo para adaptarse a las nuevas defensas. Con la IA integrada, la ecuación cambia radicalmente.
Un atacante puede invertir unos cientos de dólares en créditos de API y obtener un sistema que se auto-modifica de forma autónoma, reduciendo el coste marginal de cada variante prácticamente a cero. Las llamadas a la API de PROMPTFLUX, incluso considerando el modelo Gemini Flash utilizado, cuestan fracciones de céntimo por consulta. Incluso generando una nueva versión cada hora durante todo un mes, el coste total se mantiene en el orden de las decenas de dólares, frente a los miles necesarios para mantener un equipo de desarrollo de malware.
La paradoja es que los propios atacantes corren el riesgo de exponerse precisamente a través de estas API. Cuando TEMP.Zagros compartió su script C2 con Gemini para depurarlo, le entregó a Google las llaves de su propio castillo. Pero el cálculo de costes y beneficios evidentemente todavía se inclina a favor del riesgo: la velocidad de iteración y la capacidad de escalar las operaciones compensan el peligro de exposición.
Es una apuesta por el volumen: es mejor lanzar cien variantes rápidamente, aunque se corra el riesgo de quemar algunas infraestructuras, que desarrollar manualmente unas pocas versiones perfectas.
Para los defensores, la ecuación se invierte y es dramáticamente desfavorable. Cada nueva variante de malware habilitado para IA requiere un análisis manual, ingeniería inversa y actualización de las firmas. El tiempo humano necesario para analizar una sola muestra puede ser de horas o días. Mientras tanto, el malware ya ha generado decenas de mutaciones. Es la clásica asimetría económica de la ciberseguridad, pero amplificada por la IA: un atacante puede automatizar la ofensiva a costes irrisorios, mientras que la defensa tiene dificultades para escalar al ritmo necesario.
En los Centros de Operaciones de Seguridad, esta presión se traduce en agotamiento cognitivo. Los analistas ya no luchan contra adversarios que siguen libros de jugadas reconocibles, sino contra entidades que cambian de piel continuamente. Alguien del sector dice: "Antes podías estudiar a un grupo de ataque, entender sus TTP, prepararte. Ahora cada campaña parece escrita por alguien diferente porque técnicamente lo es: la IA genera código nuevo cada vez".
La detección se convierte en un juego de probabilidades en el que la experiencia acumulada cuenta menos que la capacidad de razonar sobre anomalías nunca vistas. El resultado es un mercado laboral de la seguridad en transformación. Las competencias requeridas se desplazan del análisis forense clásico hacia la ciencia de datos y el aprendizaje automático.
Ya no basta con reconocer patrones conocidos; es necesario construir modelos estadísticos que identifiquen desviaciones de comportamiento en espacios multidimensionales. Es como pasar de la medicina de los síntomas visibles al diagnóstico por biomarcadores moleculares: cambia todo el marco conceptual del oficio.
La defensa asimétrica
Frente a esta evolución, la industria de la seguridad debe replantearse paradigmas consolidados. Google ha respondido con el Secure AI Framework 2.0, una arquitectura conceptual para construir y desplegar IA de forma responsable. Pero el problema fundamental persiste: los sistemas de detección basados en firmas estáticas son ineficaces contra el malware que se reescribe continuamente. Cuando el código muta cada hora, las listas negras basadas en hash se vuelven obsoletas por definición.
La respuesta pasa necesariamente por la IA contra la IA. Google DeepMind ha desarrollado BigSleep, un agente que busca proactivamente vulnerabilidades desconocidas en el software. El sistema ya ha encontrado su primera vulnerabilidad en el mundo real y, en un caso crítico, identificó un fallo que estaba a punto de ser explotado por actores de amenazas, lo que permitió al GTIG intervenir de forma preventiva. Es un enfoque que da la vuelta a la tortilla: en lugar de esperar a que los atacantes encuentren vulnerabilidades, la IA defensiva las descubre primero.
Paralelamente, Google está experimentando con CodeMender, un agente de IA que no solo encuentra vulnerabilidades, sino que las repara automáticamente, aprovechando las capacidades de razonamiento avanzadas de los modelos Gemini. El objetivo es reducir la ventana de tiempo entre el descubrimiento y el parche, el período crítico en el que los sistemas permanecen expuestos.
Pero hay un aspecto más sutil de la defensa: mejorar los propios modelos para hacerlos menos susceptibles a la manipulación. Cada vez que Google identifica un caso de abuso, esa inteligencia se utiliza para reforzar tanto los clasificadores como el modelo. Es un proceso iterativo que endurece progresivamente las defensas, aunque la carrera entre los prompts de ataque y las barreras de defensa recuerda al juego sin fin entre los virus biológicos y el sistema inmunitario.
Hacia la autonomía operativa
Mirando hacia el futuro, la trayectoria parece clara. PROMPTFLUX y PROMPTSTEAL son todavía experimentales o están limitados a ámbitos circunscritos, pero representan una prueba de concepto validada. En los próximos 12-24 meses, es razonable esperar que las técnicas de auto-modificación se generalicen en el arsenal de los atacantes más sofisticados. La progresión natural conduce a malware con grados crecientes de autonomía: no solo auto-modificación para la evasión, sino capacidades de toma de decisiones sobre tácticas y objetivos.
Para los Centros de Operaciones de Seguridad, las implicaciones son profundas. La detección ya no puede basarse únicamente en el reconocimiento de patrones de comportamientos conocidos. Es necesario desarrollar capacidades de reconocimiento de anomalías más sofisticadas, sistemas que identifiquen desviaciones estadísticas en el comportamiento de las redes y los sistemas, incluso cuando el código específico nunca se ha visto antes. La arquitectura de confianza cero se convierte no en una opción, sino en una necesidad, asumiendo las violaciones y limitando el movimiento lateral.
Luego está la cuestión de la cooperación internacional. Como señala el Centro Nacional de Ciberseguridad del Reino Unido, el impacto de la IA en la ciberamenaza requiere la coordinación entre los gobiernos, la industria y la investigación académica. Pero la propia naturaleza de la IA - modelos de código abierto, API públicas, mercados clandestinos - dificulta cualquier forma de control en las fronteras.
Queda abierta una pregunta ética: ¿hasta qué punto podemos impulsar la autonomía de los agentes de IA defensivos sin crear sistemas que escapen al control humano? El paralelismo con la automatización militar es inevitable. Como en el debate sobre los sistemas de armas autónomos, también en el ciberespacio la pregunta es: ¿quién decide cuándo puede actuar la IA sin supervisión humana en el bucle?
Una cosa es cierta: la era del malware estático ha terminado. Hemos entrado en la fase en la que el código malicioso ya no es una secuencia fija de instrucciones, sino una entidad adaptativa capaz de evolucionar en respuesta a su entorno. Como en las novelas ciberpunk de William Gibson, donde los programas inteligentes del Neuromante vagaban autónomos por la matriz, estamos viendo surgir los primeros ejemplos de software malicioso que difuminan la línea entre la herramienta y el agente. ¿La diferencia? Esta vez no es ciencia ficción.