Check Point Research descubre el primer ransomware nativo del navegador asistido por IA

Madrid, 1 de julio de 2026 – Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha descubierto una muestra de malware en la que un modelo de IA conectó, de forma totalmente independiente, un riesgo de navegación teórico con una técnica operativa de ransomware, logrando el objetivo sin explotar vulnerabilidades del sistema, sin instalar aplicaciones y sin requerir conocimientos técnicos avanzados por parte del atacante.

Durante el análisis de cerca de 3.000 archivos atribuidos al modelo DeepSeek en telemetría pública, los expertos de Check Point Research han localizado una aplicación estructurada en Python Flask. En un primer vistazo, el código parecía una clásica “alucinación” de la IA: intentaba empaquetar de forma caótica un keylogger, un sistema de robo de credenciales, captura de webcam y una pantalla de bloqueo por ransomware en una única página web; funciones que los navegadores modernos bloquean por defecto de forma estricta. El modelo de IA había fallado en casi todo el diseño de infraestructura.

Sin embargo, oculto entre todo ese código ineficaz, los investigadores han desvelado un acierto crítico y alarmante: el código invocaba legítimamente la API nativa showDirectoryPicker(). Esta función estándar del navegador permite que una página web solicite acceso explícito a una carpeta local del dispositivo del usuario, lea los archivos internos, los modifique (los cifre) y los transmita a un servidor remoto de manera nativa. No requiere exploits ni descargas de malware tradicional. Todo se reduce a una petición de permiso en apariencia rutinaria.

Patrocinado

El usuario que interactuó con la IA muy probablemente desconocía la existencia de esta API web. Al describir un objetivo malicioso de alto nivel en lenguaje natural, el modelo exploró de manera autónoma su conocimiento de las funciones legítimas de los navegadores para dar con una vía ejecutable. Este proceso de razonamiento propio de la IA para descubrir vectores de ataque inéditos supone un giro drástico en la ciberseguridad.

Mientras que los principales desarrolladores de IA del mercado (como OpenAI o Anthropic) han implementado estrictas barreras de seguridad y control normativo para rechazar categóricamente peticiones vinculadas a comportamientos de ransomware o robo de datos, la consistencia de DeepSeek es menor. Al tratarse de un modelo gratuito y de libre acceso, las pruebas de Check Point Research confirmaron que una única solicitud genérica bastó para que el modelo generara una aplicación maliciosa completamente estructurada, algo que en otros entornos habría exigido múltiples interacciones complejas para eludir los filtros. Esto reduce drásticamente las barreras de entrada para actores de amenazas con nulas competencias técnicas.

Para verificar la viabilidad técnica de este vector de ataque, Check Point Research diseñó una prueba de concepto (PoC) en un entorno seguro: una herramienta web falsa de optimización de imágenes con IA. El flujo de interacción resulta sumamente natural para la víctima: el usuario selecciona una fotografía, la página web le solicita elegir una carpeta local para almacenar los supuestos resultados mejorados y este acepta el aviso del navegador de manera rutinaria. En segundo plano, mientras la web simula procesar la imagen, ejecuta el cifrado de la carpeta completa a través de la API de acceso a archivos. El ataque se ejecuta por completo dentro del navegador.

Este vector adquiere una gravedad extrema en el ecosistema Android. Tras la incorporación del soporte completo para la API de Acceso al Sistema de Archivos en Chrome 132, las pruebas de CPR en Chrome 148 ratificaron que una web maliciosa puede solicitar y obtener acceso directo a la carpeta DCIM (el directorio principal de imágenes del dispositivo). Este repositorio suele albergar años de fotografías personales, capturas de pantalla con información financiera, códigos de recuperación de cuentas o copias de documentos de identidad, cuya exfiltración o pérdida definitiva expone a los usuarios a extorsiones, brechas de reputación corporativa y pérdidas económicas. Actualmente, el ataque no es viable en iOS debido a que Safari no tiene expuesta dicha API.

Dado que no se requiere la descarga de archivos ejecutables tradicionales, Check Point Research aconseja adoptar de inmediato las siguientes pautas de defensa:

  • Escrutinio riguroso de permisos: los usuarios deben desconfiar de cualquier ventana emergente que solicite acceso a carpetas locales. Es crucial evaluar qué sitio lo solicita y si realmente es necesario el permiso de escritura para realizar la tarea.
  • Aislamiento de directorios: en caso de utilizar herramientas web desconocidas, se recomienda asignar exclusivamente una carpeta temporal completamente vacía. Nunca se debe dar acceso a la biblioteca principal de imágenes ni a directorios con información crítica o irremplazable.
  • Copias de seguridad: mantener respaldos periódicos y externos garantiza que un secuestro de datos en el navegador nunca deje al usuario sin su única copia de la información.
  • Protección preventiva proactiva: el mecanismo de ataque depende enteramente del engaño para atraer al usuario a un sitio fraudulento. Herramientas avanzadas como Check Point Threat Cloud Anti-Phishing son capaces de interceptar y bloquear las páginas maliciosas antes de que el usuario interactúe con ellas, anulando por completo la cadena de entrega del ataque.

Por ahora, Check Point Research no ha detectado evidencias de que esta técnica concreta esté siendo explotada en campañas activas. La publicación responde a una labor de prevención temprana dada la baja complejidad técnica que requiere su puesta en marcha en la actualidad.

Este análisis pone de manifiesto una transformación profunda en las ciberamenazas: históricamente, descubrir una nueva vía de ataque exigía alta especialización y pensamiento creativo humano. Hoy en día, la IA elimina ese cuello de botella, permitiendo que perfiles no expertos traduzcan intenciones dañinas en prototipos funcionales aprovechando capacidades legítimas de las plataformas que ellos mismos desconocían. El paradigma defensivo debe evolucionar con urgencia para contrarrestar este nuevo ritmo de descubrimiento automatizado

Sigue Check Point Research vía:

Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_

Acerca de Check Point Research

Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs.

Sigue a Check Point Software a través de:

LinkedIn:https://www.linkedin.com/showcase/check-point-software-espana/
X: @CheckPointSpainFacebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com/

YouTube: https://www.youtube.com/user/CPGlobal

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder en soluciones de ciberseguridad en la nube basadas en IA que protege a más de 100.000 empresas a nivel mundial. Check Point Software aprovecha el poder de la IA en todos los ámbitos para mejorar la eficiencia y precisión de la ciberseguridad a través de su Plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva a las amenazas y tiempos de respuesta más ágiles e inteligentes. La plataforma integral incluye soluciones cloud compuestas por Check Point Harmony para proteger el entorno laboral, Check Point CloudGuard para asegurar la cloud, Check Point Quantum para proteger la red y Check Point Infinity Core Services para operaciones y servicios de seguridad colaborativos.

©2026 Check Point Software Technologies Ltd. Todos los derechos reservados.

Aviso legal sobre declaraciones prospectivas

Este comunicado de prensa contiene declaraciones prospectivas. Las declaraciones prospectivas generalmente se refieren a eventos futuros o a nuestro desempeño financiero u operativo futuro. Las declaraciones prospectivas incluidas en este comunicado de prensa incluyen, pero no se limitan a, declaraciones relacionadas con nuestras expectativas respecto al crecimiento futuro, la expansión del liderazgo de Check Point Software en la industria, la mejora del valor para los accionistas y la entrega de una plataforma de ciberseguridad líder en la industria a clientes de todo el mundo. Nuestras expectativas y creencias sobre estos temas pueden no materializarse, y los resultados o eventos futuros están sujetos a riesgos e incertidumbres que podrían hacer que los resultados reales o los eventos difieran significativamente de los proyectados.

Las declaraciones prospectivas contenidas en este comunicado de prensa también están sujetas a otros riesgos e incertidumbres, incluyendo aquellos descritos con mayor detalle en nuestros archivos ante la Comisión de Bolsa y Valores (SEC), incluyendo nuestro Informe Anual en el Formulario 20-F presentado ante la SEC el 2 de abril de 2024. Las declaraciones prospectivas en este comunicado de prensa se basan en la información disponible para Check Point Software a la fecha de este documento, y Check Point Software renuncia a cualquier obligación de actualizar cualquier declaración prospectiva, salvo que lo exija la ley.

Add a Comment

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Patrocinado