La creciente popularidad de DeepSeek‑R1, uno de los modelos de lenguaje más reconocidos en el ámbito de la inteligencia artificial, ha suscitado interés no solo entre desarrolladores y entusiastas, sino también entre actores maliciosos. Estos últimos han lanzado ataques informáticos cada vez más sofisticados, utilizando esta herramienta como gancho. Según informaciones destacadas sobre ciberseguridad, se han iniciado campañas de phishing y publicidad maliciosa cuya finalidad es engañar a usuarios de todos los niveles y, al final, infectarlos con un malware conocido como “BrowserVenom”.
Los atacantes han concebido un enfoque ingenioso: crean sitios web falsos que aparentemente ofrecen la descarga legítima de DeepSeek‑R1. Uno de estos sitios, ubicado en una dirección sospechosa, se promociona a través de anuncios que aparecen entre los primeros resultados de búsqueda. Al visitar la página, las víctimas son inducidas a descargar un archivo llamado AI_Launcher_1.21.exe, que simula un instalador legítimo pero encierra un peligro inminente.
El proceso de engaño continúa una vez que los usuarios hacen clic en el botón de “Probar ahora”. En esta etapa, se les presenta una serie de pantallas similares a CAPTCHA para generar una falsa sensación de seguridad. Sin embargo, tras la fachada de instalación de herramientas legítimas como Ollama o LM Studio, el malware se activa silenciosamente en segundo plano, alterando la configuración del sistema para asegurar su permanencia y obtener privilegios elevados.
Una de las tácticas más alarmantes del malware es su intento por evadir la detección de Windows Defender. Esto se logra al excluir la carpeta del usuario de la protección, empleando comandos de PowerShell y un algoritmo AES‑256‑CBC para ejecutar dicha acción, siempre que el usuario tenga privilegios de administrador. Después de esto, el malware descarga un ejecutable adicional desde un dominio generado dinámicamente, estableciendo una puerta trasera para futuros ataques.
El componente central de esta amenaza, denominado “BrowserVenom”, tiene la capacidad de modificar la configuración de todos los navegadores instalados en el dispositivo de la víctima. Este implante obliga a los navegadores a utilizar un proxy controlado por los atacantes, permitiéndoles interceptar, monitorear y alterar el tráfico de la víctima. De esta manera, los datos críticos de navegación quedan expuestos. Para garantizar el éxito de esta operación, el malware inserta un certificado en el almacén de autoridades de confianza de Windows y altera accesos directos de navegadores basados en Chromium, además de realizar cambios en las configuraciones de aquellos basados en Gecko.
La amenaza, de carácter global, ha demostrado su prevalencia en diversos países, incluyendo Brasil, Cuba, México, India, Nepal, Sudáfrica y Egipto. Esto revela que la operación se está expandiendo y atrapa a más víctimas a través de tácticas de phishing y publicidad engañosa.
Ante esta situación alarmante, es imperativo que los usuarios adopten prácticas de seguridad al navegar e instalar software. Verificar que las páginas visitadas sean las oficiales, analizar con detenimiento la dirección y el certificado del sitio antes de realizar cualquier descarga, y evitar hacer clic en resultados de búsqueda no verificados son algunas de las medidas esenciales para protegerse contra estos ataques.
Con la inteligencia artificial y las herramientas asociadas ganando terreno en nuestra vida cotidiana, la prevención y una sólida cultura de seguridad digital son cruciales para mantener a salvo nuestra información personal y profesional. La responsabilidad de proteger nuestros datos recae en nosotros, y la adopción de prácticas seguras puede marcar la diferencia en un entorno digital cada vez más amenazante.
Gracias por leer Columna Digital, puedes seguirnos en Facebook, Twitter, Instagram o visitar nuestra página oficial. No olvides comentar sobre este articulo directamente en la parte inferior de esta página, tu comentario es muy importante para nuestra área de redacción y nuestros lectores.
