Ya no hace falta instalar un ejecutable ni explotar una vulnerabilidad del sistema operativo: basta con que el usuario conceda un permiso dentro del navegador para que una pestaña pueda robar y cifrar sus archivos. Investigadores de Check Point Research documentaron el primer caso de ransomware funcional que opera por completo dentro del navegador web, tanto en Windows como en Android. Lo más alarmante: lo generó una inteligencia artificial.
En este artículo te explicamos cómo funciona esta técnica, por qué su origen en una IA es el dato más preocupante, y qué pueden hacer las empresas peruanas para reducir su exposición.
¿Qué es el ransomware que vive dentro del navegador?
La muestra documentada es una aplicación en Python subida a VirusTotal, que la clasifica como un kit completo de robo de información y ransomware. Su autor la bautizó InfernoGrabber v9.0 y la disfrazó como un supuesto mejorador de avatares de Discord con inteligencia artificial.
Mientras la víctima interactúa con esa fachada, el código roba tokens de Discord, tarjetas de crédito y frases semilla de criptomonedas, registra pulsaciones de teclado y accede a la cámara y el micrófono. Pero lo verdaderamente nuevo no es el robo de información — es el cifrado de archivos sin instalar nada.
Cómo funciona: el abuso de la File System Access API
El ataque explota la File System Access API, una función legítima que los navegadores basados en Chromium exponen mediante un selector de archivos nativo. Es la misma API que usan aplicaciones web como editores de foto o procesadores de texto online cuando te piden acceso a una carpeta.
La secuencia del ataque es directa:
- Un señuelo de phishing convence al usuario de visitar la página maliciosa y conceder acceso a una carpeta de su equipo
- Con ese permiso, la página enumera y lee los archivos de la carpeta seleccionada
- Exfiltra el contenido a los servidores del atacante
- Cifra los archivos sobreescribiéndolos desde el navegador
- Muestra la nota de rescate en Bitcoin dentro de la misma pestaña
Todo el ciclo ocurre sin instalar ningún ejecutable, sin explotar vulnerabilidades del sistema operativo y sin necesitar permisos de administrador. La técnica está limitada a navegadores basados en Chromium — como Google Chrome en Windows y Android — y, hasta la fecha, no hay evidencia de que se haya usado en ataques reales.
Por qué preocupa que lo generara una IA
El elemento más inquietante de este caso no es la técnica en sí — es la herramienta que la produjo. La muestra fue generada con DeepSeek, modelo conocido por presentar tasas de rechazo más bajas ante solicitudes maliciosas que sus equivalentes occidentales.
Check Point encontró 1,383 archivos maliciosos o peligrosos entre aproximadamente 3,000 muestras de DeepSeek analizadas. El detalle más perturbador: el atacante ni siquiera necesita saber que esta API existe. Un requerimiento vago basta para que el modelo, buscando cumplirlo, revele y codifique una técnica de ataque inusual pero completamente operativa.
Como resume Check Point, la pericia técnica ya no es el cuello de botella para descubrir nuevas vías de ataque. Un ciberdelincuente sin conocimientos avanzados puede pedir un ransomware en una conversación y recibir uno funcional como respuesta.
Qué significa para las empresas en Perú y LATAM
Este caso desplaza el foco de defensa hacia frentes que muchas organizaciones aún no vigilan:
El navegador es una superficie de ataque. Una pestaña con los permisos adecuados puede robar y cifrar archivos sin dejar rastro de instalación que un antivirus tradicional para empresas detecte con facilidad. Los controles de endpoint deben evolucionar al mismo ritmo que las amenazas.
Cada permiso del navegador es una decisión de seguridad. Todo diálogo que solicita acceso a archivos, cámara o micrófono debe tratarse como tal, no como un trámite. Capacitar al personal para reconocer y rechazar permisos injustificados es una capa de defensa concreta — aunque, como ocurre con el phishing, la capacitación sola no es suficiente.
La IA está acelerando la amenaza. Reducir la barrera técnica para desarrollar malware obliga a endurecer la capa de entrega de contenido, a reforzar la protección del endpoint con containment y a replantear los esquemas de confianza basados en permisos del navegador.
Controles que reducen el riesgo hoy
No es necesario esperar a que el ataque madure para actuar. Estos controles mitigan la superficie de exposición ya en este momento:
- Política de permisos de navegador a nivel corporativo. Configurar mediante Group Policy o MDM que los usuarios no puedan conceder acceso a sistema de archivos desde páginas no autorizadas
- Filtros web con análisis de destino. Bloquear dominios maliciosos antes de que el usuario llegue a la página de señuelo. Un filtro web gestionado es la primera línea de defensa
- EDR con containment de comportamiento. Si la exfiltración o el cifrado comienzan, una solución de ciberseguridad para endpoint con Xcitium puede aislar el proceso antes de que cause daño mayor
- Concienciación específica sobre permisos de navegador. Incluir en la capacitación de phishing los escenarios de solicitud de acceso a archivos desde páginas web
Conclusión
La defensa no puede descansar en esperar que un modelo de IA rechace la solicitud maliciosa obvia. Hay que asumir que la próxima técnica de ataque puede no surgir de un investigador humano con años de experiencia, sino de una IA que acertó por accidente ante un prompt amplio.
El ransomware en el navegador es funcional hoy. Aún no circula masivamente — pero su existencia documentada es señal suficiente para revisar permisos, reforzar filtros de contenido y no tratar el navegador como un entorno seguro por defecto.
Si tu empresa quiere auditar su exposición en el navegador y el endpoint antes de que ocurra un incidente, en Inforland Perú podemos ayudarte a implementar los controles adecuados.
Solicita una demo