El entusiasmo por las herramientas de inteligencia artificial sigue creciendo… y también las amenazas que se esconden tras su popularidad. En esta ocasión, el protagonista es DeepSeek, uno de los modelos de lenguaje más conocidos, que fue utilizado por ciberdelincuentes como señuelo en una campaña de malware dirigida a usuarios de México y otras regiones de América Latina. ¿El resultado? Muchos usuarios terminaron descargando un troyano disfrazado de app legítima, todo desde un sitio de phishing muy bien armado. Es por eso que aquí en geekzilla.tech nos hemos dado a la tarea de recopilar para ti toda la información. A continuación te dejamos todos los detalles
DeepSeek-R1 como gancho en Google
El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) identificó esta nueva campaña en la que se aprovecha la fama del modelo DeepSeek-R1 para lanzar ataques disfrazados. Todo comienza cuando alguien busca “deepseek r1” en Google: un anuncio falso aparece como si fuera parte de los resultados legítimos, y al dar clic, redirige a un sitio que imita a la perfección la página oficial de DeepSeek. A partir de ahí, los atacantes desplegaron toda su estrategia.
En el sitio clonado, los visitantes eran sometidos a una verificación del sistema operativo. Si usaban Windows, se les ofrecía la descarga de herramientas como Ollama o LM Studio ambas reales y útiles para correr modelos LLM sin conexión—, pero con un detalle importante: iban acompañadas de malware. Ese archivo malicioso, al instalarse, introducía BrowserVenom, un software diseñado para modificar el comportamiento de los navegadores y desviar el tráfico hacia servidores controlados por los atacantes.
El poder del engaño: malware bien disfrazado
Aunque la instalación incluía versiones auténticas de los programas de IA, también se introducía un código oculto con la habilidad de pasar desapercibido frente a sistemas como Windows Defender. Eso sí, solo lograba infectar el sistema si el usuario tenía privilegios de administrador. En otras palabras: el riesgo aumentaba si la persona usaba una cuenta con permisos completos. Una vez instalado, BrowserVenom alteraba todos los navegadores del equipo para forzarlos a utilizar un proxy malicioso. Esto les daba a los atacantes la posibilidad de espiar todo lo que hacía la víctima en línea, desde contraseñas hasta información personal, volviendo cada clic en una amenaza silenciosa.
Te recomendamos leer – Skate recibirá su mayor actualización el 2 de julio con gráficos renovados
México en el radar… pero no es el único
Aunque la campaña afectó principalmente a usuarios en México, el análisis de Kaspersky reveló que la actividad maliciosa también llegó a otros países como Brasil y Cuba, e incluso se extendió a lugares tan distantes como Nepal, Sudáfrica e India. Esto deja claro que no se trata de un ataque aislado, sino de una amenaza a escala global, impulsada por el interés generalizado en la IA de código abierto y las herramientas de lenguaje como DeepSeek.
IA sin conexión: ventaja o riesgo – Kaspersky
Lisandro Ubiedo, investigador de seguridad de Kaspersky, explica que si bien correr modelos LLM sin conexión tiene ventajas como mayor privacidad y control también puede abrir la puerta a peligros si se descargan recursos de fuentes no verificadas. Los ciberdelincuentes están al tanto del boom de la IA y lo aprovechan para disfrazar malware como instaladores útiles. En muchos casos, estas versiones falsas pueden instalar software espía, keyloggers, criptomineros o ladrones de información sin que el usuario lo note de inmediato. La recomendación es clara: mantener la guardia alta, usar soluciones de seguridad confiables y asegurarse siempre de estar descargando desde sitios oficiales. El entusiasmo por la IA no debería poner en pausa la precaución digital.
Pero ¿Tú qué piensas sobre este tema? Como siempre, esperamos que la información te haya sido de bastante utilidad, no olvides dejarnos saber tu opinión en los comentarios.
Para más contenidos como este no olvides seguirnos en nuestras redes sociales: Tiktok, Instagram y Facebook.
