Ya no hacen falta hackers humanos (ni siquiera en el cibercrimen): llega VoidLink, el virus que una IA escribió según la norma GOST.
Detectan el primer caso de uso a gran escala de agentes de IA para crear un virus modular y complejo.
Los especialistas de Check Point en un nuevo informe revelaron detalles sobre VoidLink – una plataforma maliciosa tan madura y compleja que su desarrollo, según las evidencias encontradas, se realizó casi por completo con la ayuda de la IA y, probablemente, bajo la dirección de una sola persona.
Antes, las "pistas" de uso de IA en malware solían ser más modestas. Se trataba o bien de novatos que generaban código sin pulir, o de casos en los que el resultado reproducía funciones ya conocidas de herramientas de código abierto. VoidLink, según los especialistas, fue el primer ejemplo bien documentado en el que se usó la IA como acelerador para un desarrollo realmente avanzado, con arquitectura, módulos e iteraciones rápidas como los de un equipo completo.
Cuando los analistas encontraron VoidLink por primera vez, les sorprendió el nivel de madurez. En la descripción aparecen tecnologías como eBPF, rootkits basados en LKM, módulos separados para reconocimiento de infraestructura en la nube y acciones en entornos de contenedores tras la intrusión. A medida que lo observaron, el proyecto cambió casi ante sus ojos. Rápidamente pasó de una "compilación de trabajo" a un framework modular con gestión y una infraestructura de servidores de comando bien organizada.
El giro clave fueron los errores del propio desarrollador. Por fallos en la seguridad operativa salieron a la luz materiales internos: documentación, fragmentos de código fuente y componentes del proyecto. Entre ellos había un plan de trabajo detallado para decenas de semanas, redactado como si fuera para tres equipos distintos con tareas separadas, sprints y normas de codificación. Desde fuera parecía la historia de un grupo bien financiado. Pero, en la práctica, el ritmo de desarrollo que observaron los investigadores no concordaba con ese plan a largo plazo.
Lo que siguió fue aún más interesante. Los artefactos indicaban que el propio plan y las especificaciones fueron generados por un modelo de lenguaje y luego usados como "plano" para el desarrollo. El informe incluyó también rastros de la formulación inicial de la tarea, entre ellos instrucciones en chino que dejó un asistente de IA en el entorno TRAE, orientado a trabajar con modelos agentes. Según los investigadores, ese enfoque permitió llevar la idea hasta el primer implante funcional en menos de una semana. Como punto de control se menciona un artefacto del 4 de diciembre de 2025. Para entonces VoidLink ya era funcional, y el tamaño del proyecto, según sus datos, superó las 88 000 líneas de código, y una muestra llegó a VirusTotal.
Check Point describe por separado el método que, al parecer, produjo esa aceleración. En lugar de pedir a la IA "que escriba código", el desarrollador hizo que el modelo primero preparara especificaciones detalladas y un plan de implementación por fases, con listas de requisitos y criterios de aceptación. Luego esos documentos se usaron como instrucciones de ensamblaje, sprint tras sprint, con pruebas y correcciones rápidas. Los analistas aseguran que reprodujeron un proceso similar y vieron cómo, al seguir esas especificaciones, el modelo empezaba a generar código estructuralmente parecido al original.
La IA reduce la barrera no solo para ataques sencillos, sino también para los complejos que antes casi siempre requerían equipos, tiempo y recursos. VoidLink, sostienen los investigadores, muestra cómo una sola persona con experiencia puede diseñar, montar y perfeccionar una plataforma maliciosa, y eso hace el mercado de amenazas notablemente más peligroso. Y la pregunta más incómoda sigue sin respuesta. Este caso se pudo descubrir solo porque el desarrollador dejó demasiados rastros. ¿Cuántos proyectos así existen ya, pero su historia simplemente no se filtró al exterior?