Cibercriminales suplantan a DeepSeek IA para atacar a profesionales tecnológicos

Una sofisticada campaña de suplantación digital ha sido detectada en América Latina, dirigida específicamente a profesionales del sector tecnológico que buscan ejecutar inteligencia artificial de forma local. El objetivo: instalar malware en sus equipos bajo la apariencia de herramientas legítimas como DeepSeek y Ollama.

Suplantación con apariencia legítima

Investigadores de Kaspersky revelaron una operación maliciosa que aprovecha la popularidad de DeepSeek IA un chatbot basado en inteligencia artificial para distribuir malware altamente especializado. Utilizando sitios falsos con interfaces pulidas y adaptadas al idioma local, los atacantes ofrecían un supuesto despliegue local de DeepSeek, apelando al interés de desarrolladores, administradores de sistemas e investigadores técnicos.

El archivo malicioso se hacía pasar por Ollama, una plataforma de código abierto muy utilizada para ejecutar modelos de IA generativa en infraestructura propia. Al hacerlo, lograban comprometer dispositivos personales y, posteriormente, escalar a sistemas corporativos con altos privilegios.

Riesgo elevado y técnicas avanzadas

Según Kaspersky, estos ataques representan un riesgo crítico para individuos con acceso a sistemas de TI sensibles. Una vez instalado, el malware abre canales de comunicación encubiertos a través del protocolo KCP, permitiendo el acceso remoto persistente al sistema infectado. La amenaza fue identificada como Backdoor.Win32.Xkcp.a.

Además, en una campaña paralela, se detectaron variantes más sofisticadas del ataque distribuidas desde dominios como deep-seek[.]bar y deep-seek[.]rest, usando técnicas como la esteganografía (ocultamiento de código malicioso en archivos aparentemente inofensivos) y la inyección de procesos, lo que dificulta su detección. Esta segunda amenaza fue clasificada como Trojan.Win32.Agent.xbwfho.

Objetivo: profesionales con privilegios elevados

“La posibilidad de ejecutar herramientas de IA generativa de forma local es atractiva para muchos profesionales de TI, por razones de control, privacidad y rendimiento”, explicó María Isabel Manjarrez, investigadora de seguridad en Kaspersky. “Pero esa misma preferencia los convierte en blancos ideales para los atacantes, que buscan ingresar a redes corporativas a través de dispositivos de confianza”.

Los dominios identificados en la operación incluyen:

• app.delpaseek.com
• app.deapseek.com
• dpsk.dghjwd.cn

¿Cómo protegerse?

Kaspersky emitió recomendaciones clave para evitar caer en estas trampas cibernéticas:

• Control de aplicaciones: Impedir la instalación de software no autorizado mediante soluciones que validen fuentes y comportamientos.
• Capacitación técnica: Instruir a los equipos de TI sobre tácticas de ingeniería social y riesgos asociados al uso de IA local.
• Soluciones de seguridad empresarial: Usar plataformas como Kaspersky Next, que ofrecen protección avanzada y detección en tiempo real de amenazas dirigidas.

Un llamado urgente a la vigilancia

Esta campaña revela una tendencia preocupante: los ciberdelincuentes están sofisticando sus métodos para infiltrarse en los eslabones más técnicos de las organizaciones. Lo que inicia como un intento aislado de descarga termina comprometiendo redes enteras, con consecuencias potencialmente devastadoras.

La lección es clara: la seguridad digital debe evolucionar al mismo ritmo que la tecnología. Verificar fuentes, fortalecer la ciberhigiene y usar herramientas de protección robustas ya no es opcional, sino esencial.