Troyanos se disfrazan como clientes de DeepSeek y Grok para engañar usuarios
A comienzos de este 2025, el panorama de la inteligencia artificial ha sido sacudido por la aparición de un nuevo competidor procedente de China: DeepSeek. Su irrupción en la escena tecnológica global no ha pasado desapercibida. El diseño de su logotipo, muy similar al de modelos previamente establecidos encendió las primeras alarmas, mientras que las comparaciones con ChatGPT emergieron con velocidad.
En países como Italia, Corea del Sur, Australia y otros, su acceso fue directamente restringido. Sin embargo, más allá del debate público y la polémica en los medios, la verdadera amenaza ha surgido en un terreno menos visible pero considerablemente más peligroso: la ciberdelincuencia.
Recientes investigaciones han revelado la existencia de múltiples redes de sitios fraudulentos que replican el aspecto oficial del portal de DeepSeek. Estas réplicas, lejos de ofrecer una experiencia legítima de IA, actúan como trampas digitales diseñadas para infiltrar software malicioso en los equipos de usuarios desprevenidos.
Por medio de una apariencia creíble y una ingeniería social cuidadosamente elaborada, los hackers maliciosos han creado un escenario perfecto para el engaño. La curiosidad por robar una nueva herramienta de inteligencia artificial se ha transformado rápidamente en una puerta de entrada para la explotación remota del sistema operativo de la víctima.
Uno de los mecanismos más sofisticados que ha sido identificado en esta campaña se basa en la técnica del geofencing, una estrategia que puede delimitar el contenido según la localización geográfica del visitante.
Por ejemplo, un usuario que accede desde Rusia va a ver una versión del sitio extremadamente básica, repleta de textos genéricos y sin interacción funcional. No obstante, quienes acceden desde otras regiones son redirigidos automáticamente hacia un sitio mucho más convincente, en donde se les invita a descargar un supuesto cliente oficial de DeepSeek.
Este archivo, lejos de contener el software promocionado, ejecuta scripts maliciosos que abren puertas traseras en el sistema, mediante la activación de servicios como el SSH, configurados para ser utilizados exclusivamente por los ciberdelincuentes.
Cabe destacar que, al día de hoy, no existe un cliente oficial de DeepSeek para Windows, el acceso legítimo a esta plataforma solo se realiza mediante los navegadores o en su defecto, mediante implementaciones locales avanzadas.
TIC Defense se encarga de proveer a tu empresa de un conjunto de productos y soluciones adaptadas a las necesidades de la misma. Nuestras herramientas son de tecnología de punta y se encargan de ofrecer respuesta rápida ante eventos sospechosos y maliciosos.
El ritmo con el que evolucionan estas campañas maliciosas es otro factor muy inquietante. Tras el anuncio de Grok-3, los cibercriminales respondieron en cuestión de días creando nuevos dominios fraudulentos, repitiendo el patrón de suplantación y distribución de código malicioso. Esta agilidad demuestra que no estamos ante ataque improvisados, sino frente a operaciones bien organizadas, diseñadas para adaptarse a los cambios del mercado tecnológico en tiempo real.
Frente a este incierto panorama, es imperativo adoptar un enfoque de seguridad integral para quienes interactúan con sistemas de inteligencia artificial, ya sean desarrolladores, usuarios ocasionales o investigadores.
La primera línea de defensa consiste en la verificación rigurosa de las URL que se visitan. Los atacantes se valen de dominios que parecen legítimos a simple vista, por lo que cualquier nueva herramienta, por muy popular o prometedora que sea, debe ser examinada con atención antes de descargar cualquier contenido asociado.
