En la era de la inteligencia artificial (IA), donde el entusiasmo por probar nuevos modelos y herramientas es cada vez mayor, también aumentan las oportunidades para los ciberdelincuentes.
Y es que, recientemente, los investigadores de Kaspersky han descubierto una campaña de malware que explota este interés generalizado mediante una trampa cuidadosamente diseñada: un falso instalador del modelo de IA DeepSeek-R1, que en realidad no contiene sino un peligroso malware.
¿Qué es DeepSeek y cómo lo usan los delincuentes?
DeepSeek-R1 es un modelo de lenguaje desarrollado en China cuyas capacidades técnicas han llamado la atención de muchos entusiastas de la IA. Aprovechando esta popularidad, y unido al hecho de que puede instalarse localmente en nuestros PC al ser ‘open source’, los ciberdelincuentes han creado una web falsa muy parecida a la legítima, con la intención de engañar a los usuarios para que descargaran un supuesto instalador del modelo.
El sitio malicioso usaba el dominio deepseek-platform.com, promovida a través de anuncios comprados en Google (aunque en cualquier momento puede reaparecer usando otra URL). Así, cuando alguien buscaba «deepseek r1», el sitio fraudulento aparecía como primer resultado.
Ahora, a pesar de que Google ya ha eliminado los anuncios y suspendido la cuenta del anunciante tras descubrirse la campaña, los equipos de muchos usuarios permanecen infectados.
BrowserVenom: el verdadero rostro del instalador
El falso instalador ofrecía un archivo denominado AI_Launcher_1.21.exe que, una vez descargado y ejecutado en sistemas Windows, abría una pantalla que imitaba el CAPTCHA de Cloudflare, dando al usuario una falsa sensación de seguridad y legitimidad.
Posteriormente, el instalador ofrecía la opción de ejecutar el modelo en plataformas como Ollama o LM Studio. Sin importar la elección, el resultado era siempre el mismo: la activación de BrowserVenom, un malware avanzado que opera como un proxy malicioso. Estas son sus principales funciones:
- Intercepción del tráfico del navegador: redirige toda la navegación a través de un servidor controlado por los atacantes.
- Exposición de datos sensibles: al pasar el tráfico por sus servidores, los ciberdelincuentes pueden capturar información como contraseñas, cookies de sesión, datos financieros, correos electrónicos y documentos.
- Persistencia en el sistema: instala un certificado malicioso y modifica la configuración de proxy de todos los navegadores instalados, lo que les permite mantener el acceso incluso después de reinicios.
Lecciones aprendidas y cómo protegerse
Este caso destaca la necesidad urgente de precaución ante la descarga de herramientas relacionadas con la inteligencia artificial. Aquí algunas recomendaciones clave:
- Verificar siempre el dominio: pequeños cambios en la URL pueden ser señales de suplantación.
- Evitar descargar software desde anuncios: es más seguro acudir directamente al sitio oficial.
- Desconfiar de los CAPTCHAs inesperados: si aparecen fuera de contexto (y la ventana de un instalador es el ejemplo perfecto de eso), pueden ser una señal de intento de engaño.
- Mantener actualizado el antivirus y el sistema operativo.
Aunque sería ideal instalar DeepSeek con un solo clic, ese deseo de simplicidad puede ser peligroso si no se acompaña de precaución. La promesa de acceso rápido a herramientas de IA se está convirtiendo en un señuelo para el cibercrimen. No bajes la guardia: un clic puede ser suficiente para comprometer toda tu seguridad digital.
Fuentes fiables para usar DeepSeek: Ollama y LM Studio
Ante el auge de instaladores falsos y campañas de malware, es crucial conocer las vías legítimas para trabajar con modelos como DeepSeek. Dos herramientas ampliamente reconocidas por su fiabilidad y comunidad activa son Ollama y LM Studio.
¿Qué es Ollama?
Ollama es una plataforma que permite ejecutar modelos de lenguaje grandes (LLMs) de forma local en tu máquina, con una experiencia muy simple y centrada en la privacidad. Este software, y es compatible con varios sistemas operativos, y ofrecw documentación clara y soporte de la comunidad.
DeepSeek, al igual que otros modelos como LLaMA o Mistral, se puede importar fácilmente en Ollama a través de comandos de texto.
¿Qué es LM Studio?
LM Studio es otra interfaz amigable para descargar y probar modelos LLM de código abierto. Se enfoca en la experiencia del usuario y permite permite importar modelos como DeepSeek desde repositorios confiables como Hugging Face, y ejecutarlos sin conexión, preservando la privacidad y reduciendo el riesgo de filtraciones.
¿Por qué son opciones seguras?
- Código abierto: El código de ambas plataformas está disponible públicamente, lo que permite auditoría y verificación por la comunidad.
- Amplia adopción: Tienen una base de usuarios creciente que reporta fallos y mejora la seguridad.
Imagen | Marcos Merino mediante IA
–
La noticia
Sería genial poder instalar DeepSeek con un solo clic, pero este .exe que se está difundiendo es un malware
fue publicada originalmente en
Genbeta
por
Marcos Merino
.
