Primero pulsas Ctrl+V y luego pagas el rescate: así funciona el virus creado por una red neurona
La IA permite crear virus más rápido, pero no siempre mejores.
Según un informe de IBM, los grupos de extorsión empezaron a experimentar con inteligencia artificial. Los especialistas detectaron un malware inusual llamado Slopoly. Según el análisis del código, el script fue creado por un modelo de lenguaje. El programa resultó no ser demasiado complejo, pero puso de manifiesto otro problema: la creación de herramientas maliciosas se ha acelerado y simplificado.
Slopoly se encontró a principios de 2026 durante la investigación de un ataque con software de rescate. La operación estaba a cargo del grupo Hive0163. Los miembros de Hive0163 llevan tiempo dedicándose a la extorsión y al robo de datos. Los atacantes son conocidos por usar el ransomware Interlock, así como sus propias herramientas: NodeSnake, InterlockRAT y el cargador JunkFiction.
Slopoly era un script de PowerShell. El programa funcionaba como cliente del sistema de gestión de máquinas infectadas. El código recopilaba información básica del sistema y enviaba un 'ping' al servidor de los atacantes cada 30 segundos. Cada 50 segundos el programa comprobaba si había llegado alguna orden nueva. Las instrucciones recibidas se ejecutaban mediante cmd.exe y los resultados se enviaban de vuelta al servidor.
El análisis del código mostró signos típicos de generación mediante un modelo de lenguaje. El script contenía muchos comentarios, un manejo detallado de errores y nombres de variables ordenados. Uno de los comentarios describía el programa como «Cliente de persistencia C2 polimórfico». No obstante, el código no incluye mecanismos reales de polimorfismo. El programa no puede cambiar su propio código en tiempo de ejecución. Es probable que el generador solo creara nuevas versiones del cliente con parámetros y nombres de funciones aleatorios.
A pesar de su nivel técnico modesto, Slopoly permitió a Hive0163 mantener el acceso al servidor comprometido durante más de una semana. No fue posible determinar qué comandos ejecutaron los atacantes en la máquina. El propio hecho de usar una herramienta de este tipo muestra el interés de los grupos delictivos por generar código malicioso con ayuda de la inteligencia artificial.
El ataque comenzó con ingeniería social. Los atacantes emplearon el método ClickFix. A la víctima se le mostraba una página con una 'verificación' similar a un CAPTCHA. La página colocaba discretamente el script malicioso en el portapapeles y sugería pulsar las teclas Win+R, luego Ctrl+V y Enter. Como resultado, el propio usuario ejecutaba el comando malicioso de PowerShell.
La primera etapa de la infección consistía en el programa NodeSnake, escrito en Node.js. NodeSnake forma parte de la infraestructura de gestión de sistemas infectados. El programa puede descargar y ejecutar otros archivos, ejecutar comandos de shell y fijarse en el sistema. A continuación, los atacantes desplegaban un backdoor más funcional, InterlockRAT. Esta herramienta admite una shell inversa y un túnel SOCKS5 para el acceso oculto a la red de la víctima.
A través de estas herramientas, los atacantes desplegaron Slopoly, así como las utilidades AzCopy y Advanced IP Scanner, que son frecuentes en ataques de ransomware. En la fase final se lanzaba el programa de ransomware Interlock. El cifrador recorre todos los discos lógicos, omite los directorios del sistema y cifra los archivos con AES y RSA mediante la biblioteca OpenSSL. Tras el cifrado, los archivos reciben extensiones como .!NT3RLOCK o .int3R1Ock, y en las carpetas aparece una nota FIRST_READ_ME.txt con las exigencias de rescate.
Según IBM, Hive0163 se especializa en actividades posteriores a la intrusión en la red. Los miembros del grupo usan sus propios backdoors e instrumentos para mantener una presencia prolongada en los sistemas corporativos y para el robo masivo de datos. Para el acceso inicial, los atacantes recurren a ClickFix, publicidad maliciosa y a veces compran acceso a intermediarios.
Técnicamente Slopoly parece un programa bastante simple. Sin embargo, la aparición de herramientas como esta demuestra cómo la inteligencia artificial está cambiando la ciberdelincuencia. La creación de código malicioso requiere mucho menos tiempo. Como resultado, los atacantes pueden generar rápidamente nuevas versiones de programas y utilizarlas en ataques.
Según los especialistas de IBM, la industria de la seguridad apenas está empezando a enfrentar esta nueva realidad. Por ahora se trata de scripts sencillos creados mediante modelos de lenguaje. La siguiente etapa podría incluir programas maliciosos en los que la inteligencia artificial tome decisiones en tiempo real durante un ataque o ayude a crear y probar la infraestructura de gestión de sistemas infectados.