Mayo de 2025
Los equipos de Investigación de Amenazas y Tecnología de IA de Kaspersky
identificaron conjuntamente una sofisticada campaña de malware diseñada
específicamente para atacar a profesionales del sector tecnológico —como
administradores de sistemas, desarrolladores e investigadores técnicos— a través de
sitios fraudulentos que simulan ofrecer DeepSeek AI. Los atacantes crearon interfaces
pulidas y creíbles, en idioma local, promoviendo el supuesto despliegue local de
DeepSeek, con el objetivo de atraer a usuarios avanzados interesados en ejecutar
sistemas de IA de forma completamente autónoma en su propio hardware.
Según el análisis de Kaspersky, el malware oculto en estas campañas representa un riesgo
especialmente alto para personas con conocimientos técnicos que manejan sistemas de TI
sensibles. El archivo malicioso se hace pasar por Ollama, un marco de código abierto muy
popular para ejecutar modelos de IA generativa de forma local. Dado que Ollama permite a
los usuarios técnicos desplegar servicios de IA en su propia infraestructura, los atacantes
aprovecharon este atractivo para infiltrarse deliberadamente en sistemas de individuos con
altos privilegios.
“El atractivo de ejecutar herramientas de IA generativa de forma local —mayor control, menor
dependencia de servicios en la nube y mejor privacidad— es comprensible entre los
profesionales de TI,” explica María Isabel Manjarrez, investigadora de seguridad en el
Equipo Global de Investigación y Análisis para América Latina en Kaspersky. “Al
dirigirse explícitamente a estos usuarios técnicamente capacitados, los atacantes logran una
vía para pasar de dispositivos personales comprometidos a entornos corporativos con altos
privilegios. Lo que parece una intrusión individual puede escalar rápidamente a un incidente
cibernético organizacional de gran magnitud.”
Los investigadores de Kaspersky identificaron los dominios engañosos app.delpaseek[.]com,
app.deapseek[.]com y dpsk.dghjwd[.]cn como distribuidores de este malware especializado. Si
los usuarios instalan lo que creen que es una herramienta legítima de despliegue local de IA,
el malware establece túneles de comunicación encubiertos mediante el protocolo KCP, lo que
podría permitir acceso remoto persistente al sistema comprometido.
Este acceso encubierto permite a los atacantes extraer información sensible, capturar
credenciales, monitorear la actividad del sistema y moverse lateralmente dentro de las redes
corporativas en las que trabajan los profesionales afectados. La Red de Seguridad de
Kaspersky detecta estas amenazas como Backdoor.Win32.Xkcp.a.
En una campaña paralela, se descubrieron dominios como deep-seek[.]bar y deep-seek[.]rest
que distribuyen malware con técnicas avanzadas de evasión, incluyendo esteganografía
(ocultar código malicioso dentro de archivos aparentemente inofensivos) e inyección de
procesos, lo que permite al malware operar dentro de procesos legítimos del sistema y
dificulta significativamente su detección. Kaspersky identifica esta amenaza como
Trojan.Win32.Agent.xbwfho.
Para protegerse de estos ataques, los expertos de Kaspersky recomiendan:
Implementar controles de aplicaciones: Usar soluciones con capacidades estrictas
de control de aplicaciones para impedir la instalación de herramientas no autorizadas,
incluso si parecen legítimas.
Realizar capacitaciones específicas en ciberseguridad: Educar a los especialistas
técnicos sobre tácticas de ingeniería social centradas en la IA, destacando cómo su
interés en ejecutar modelos de forma local los convierte en objetivos atractivos.
Desplegar soluciones de seguridad empresarial: La línea de productos Kaspersky
Next ofrece protección en tiempo real contra estas amenazas, lo cual es
especialmente importante para los sistemas utilizados por personal técnico con
privilegios elevados en la red.
Para más información sobre nuevas amenazas de seguridad, visita nuestro blog.
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones
dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques dirigidos, la profunda
experiencia en inteligencia de amenazas y seguridad de Kaspersky se está continuamente transformando en
innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y
consumidores en todo el mundo. El extenso portafolio de productos de seguridad de la empresa incluye su
reputada solución de protección para endpoints, junto con una serie de soluciones y servicios de seguridad
especializados, así como soluciones Cyber Immune para combatir las sofisticadas y cambiantes amenazas
digitales. Ayudamos a más de 200.000 clientes corporativos a proteger lo que más valoran. Obtenga más
información en https://latam.kaspersky.com
Kaspersky en redes sociales:
X: @KasperskyLatino IG: Kaspersky Latinoamérica
FB: KasperskyLabLatam IN: Kaspersky Lab Latinoamérica
