El malware que suplanta a herramientas de IA como ChatGPT crece un 115% en 2025 y afecta a miles de pymes

Introducción

Durante los primeros meses de 2025, el ecosistema de amenazas cibernéticas ha experimentado un notable repunte en ataques dirigidos a pequeñas y medianas empresas (pymes), focalizados especialmente en la suplantación de aplicaciones de inteligencia artificial y herramientas de productividad ampliamente utilizadas. Según los últimos datos publicados por Kaspersky, alrededor de 8.500 usuarios de pymes se han visto afectados por campañas de malware que imitan plataformas como ChatGPT, Zoom y Microsoft Office. Este incremento del 115% respecto al año anterior pone de manifiesto la sofisticación y capacidad de adaptación de los actores maliciosos ante las tendencias tecnológicas y el auge de la IA generativa en entornos corporativos.

Contexto del Incidente o Vulnerabilidad

El auge de la inteligencia artificial en el entorno empresarial ha generado una proliferación de aplicaciones y servicios basados en modelos generativos, como ChatGPT y otras alternativas de OpenAI o Microsoft. Este fenómeno ha sido aprovechado por actores de amenazas que, mediante técnicas de ingeniería social y campañas de phishing, están distribuyendo malware camuflado como instaladores o actualizaciones de estas populares soluciones.

Adicionalmente, la creciente dependencia de las pymes de herramientas colaborativas y suites ofimáticas en la nube ha ampliado la superficie de ataque. Los ciberdelincuentes han capitalizado la urgencia de la digitalización y la falta de recursos de seguridad en organizaciones de menor tamaño, utilizando dominios falsos, emails de spear phishing y sitios web clonados para propagar payloads maliciosos.

Detalles Técnicos

Las campañas detectadas en 2025 presentan una variedad de técnicas y tácticas recogidas en el framework MITRE ATT&CK, destacando la utilización de los siguientes TTPs:

– T1566 (Phishing): Uso masivo de correos electrónicos fraudulentos suplantando a Microsoft, Zoom y ChatGPT, con enlaces a ejecutables maliciosos o archivos comprimidos.
– T1204 (User Execution): El éxito depende de la interacción del usuario, que descarga e instala el software supuestamente legítimo.
– T1059 (Command and Scripting Interpreter): Despliegue de scripts PowerShell y batch para la ejecución de cargas adicionales.
– T1071 (Application Layer Protocol): Comunicación con servidores C2 mediante HTTPS para evadir controles basados en tráfico.
– T1041 (Exfiltration Over C2 Channel): Exfiltración de credenciales, tokens de acceso y datos sensibles de la empresa.

En cuanto a los IoC (Indicadores de Compromiso), se han identificado hashes de ejecutables (MD5, SHA-1), dominios de phishing relacionados con variantes de «chatgpt-login», «office365-update», así como direcciones IP de infraestructura C2 alojada en servicios cloud comprometidos.

Versiones afectadas: El vector de ataque principal afecta a usuarios de sistemas Windows (versiones 10 y 11), aunque también se han observado variantes para macOS y distribuciones Linux de escritorio. El malware detectado incluye troyanos de acceso remoto (RATs) como AgentTesla y Remcos, así como infostealers (Stealerium, RedLine) distribuidos mediante instaladores fraudulentos generados con frameworks como MSFvenom (Metasploit) y empaquetados con herramientas como UPX para evadir la detección.

Impacto y Riesgos

El impacto sobre las pymes es significativo: la infección puede resultar en la sustracción de credenciales corporativas, secuestro de sesiones de correo, robo de información confidencial y, en algunos casos, la instalación de ransomware posterior como fase secundaria del ataque. Según las estimaciones de Kaspersky, el 68% de los incidentes detectados culminaron en el acceso no autorizado a cuentas de correo y almacenamiento en la nube, mientras que un 24% derivó en intentos de extorsión o cifrado de datos.

El coste económico promedio para la recuperación de una pyme tras este tipo de incidentes se sitúa en torno a los 27.500 euros, considerando tanto la remediación técnica como las consecuencias legales derivadas del incumplimiento de normativas como el GDPR y la inminente NIS2.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a esta ola de ataques, se recomiendan las siguientes acciones:

1. Política de actualizaciones: Verificar siempre la autenticidad de los portales de descarga y evitar instalar software desde enlaces recibidos por correo.
2. Concienciación y formación: Implementar programas periódicos de formación en ciberseguridad para empleados, con simulaciones de phishing.
3. Soluciones EDR/XDR: Desplegar herramientas de detección y respuesta que permitan monitorizar comportamientos anómalos y bloquear procesos sospechosos en endpoints.
4. MFA obligatorio: Aplicar autenticación multifactor en todos los accesos a servicios críticos, especialmente correo y aplicaciones colaborativas.
5. Supervisión de IoC: Actualizar de forma proactiva las listas de IoC y utilizar threat intelligence para reforzar la postura defensiva.

Opinión de Expertos

Fernando Muñoz, CISO en una consultora tecnológica líder, alerta: “El incremento de malware que suplanta herramientas de IA como ChatGPT es una clara respuesta al boom de la inteligencia artificial generativa en el entorno profesional. No solo buscan el acceso inicial, sino que están combinando técnicas de persistencia y movimiento lateral para maximizar el daño”.

Por su parte, Analía Gómez, analista senior SOC, señala: “Estamos viendo una profesionalización de los kits de phishing y el uso de frameworks automatizados para empaquetar cargas maliciosas, lo que reduce las barreras de entrada para atacantes menos sofisticados”.

Implicaciones para Empresas y Usuarios

Este repunte de ataques evidencia la urgencia de adaptar las estrategias de ciberseguridad a los nuevos vectores de ataque asociados a la IA y la productividad online. Las pymes, tradicionalmente menos protegidas, son ahora objetivo prioritario debido a su rápida adopción de tecnologías cloud y la falta de recursos especializados.

El cumplimiento de normativas como GDPR y NIS2 será cada vez más exigente en materia de gestión de incidentes, reporte y protección de datos personales, por lo que la prevención y la respuesta temprana deben ser pilares fundamentales en la gestión de riesgos tecnológicos.

Conclusiones

La suplantación de herramientas de IA como ChatGPT y suites de productividad online se consolida como tendencia al alza en 2025, con un crecimiento del 115% en ataques a pymes. La combinación de ingeniería social, malware polimórfico y aprovechamiento del desconocimiento sobre IA generativa exige un enfoque integral basado en ciberinteligencia, formación y tecnología avanzada de detección y respuesta. Solo mediante una estrategia adaptativa será posible contener el impacto de estas amenazas emergentes en el tejido empresarial europeo.

(Fuente: www.cybersecuritynews.es)