Solicita una demo
Infraestructura en la nubeCiberseguridad para EndpointWeb Application Firewall (WAF)Antispam en la NubeCorreos en la NubeAutenticador del dominioFiltros WebGestión de VulnerabilidadesSecure Sockets Layer (SSL)Soluciones de VPNBackup para Microsoft 365Backup para Google WorkspaceGestión de TISoluciones de RMMAntivirus para EmpresasSoftware de Escritorio RemotoVer todas las soluciones →
XcitiumXcitioneDmarc ProtectVer todos los productos →

Ransomware en el navegador: una IA abusó de una API de Chromium para cifrar archivos sin instalar malware

Por Equipo Inforland
30 de junio de 2026

Una IA generó el primer ransomware que opera dentro del navegador en Windows y Android abusando de la File System Access API de Chromium. Riesgo y protección para empresas.

Ya no hace falta instalar un ejecutable ni explotar una vulnerabilidad: basta con que el usuario conceda un permiso, y una pestaña del navegador puede robar y cifrar sus archivos.
Imagen del artículo

El ransomware que no necesita instalarse

Check Point Research documentó el primer ransomware funcional que opera dentro del navegador, generado por una IA. Abusa de la File System Access API de Chromium para cifrar archivos en Windows y Android sin instalar nada ni explotar vulnerabilidades del sistema operativo.

1,383
archivos maliciosos hallados en muestras de DeepSeek analizadas por Check Point
0 clics
de instalación necesarios — basta un permiso del navegador para cifrar archivos

Ya no hace falta instalar un ejecutable ni explotar una vulnerabilidad del sistema operativo: basta con que el usuario conceda un permiso dentro del navegador para que una pestaña pueda robar y cifrar sus archivos. Investigadores de Check Point Research documentaron el primer caso de ransomware funcional que opera por completo dentro del navegador web, tanto en Windows como en Android. Lo más alarmante: lo generó una inteligencia artificial.

En este artículo te explicamos cómo funciona esta técnica, por qué su origen en una IA es el dato más preocupante, y qué pueden hacer las empresas peruanas para reducir su exposición.

¿Qué es el ransomware que vive dentro del navegador?

La muestra documentada es una aplicación en Python subida a VirusTotal, que la clasifica como un kit completo de robo de información y ransomware. Su autor la bautizó InfernoGrabber v9.0 y la disfrazó como un supuesto mejorador de avatares de Discord con inteligencia artificial.

Mientras la víctima interactúa con esa fachada, el código roba tokens de Discord, tarjetas de crédito y frases semilla de criptomonedas, registra pulsaciones de teclado y accede a la cámara y el micrófono. Pero lo verdaderamente nuevo no es el robo de información — es el cifrado de archivos sin instalar nada.

Cómo funciona: el abuso de la File System Access API

El ataque explota la File System Access API, una función legítima que los navegadores basados en Chromium exponen mediante un selector de archivos nativo. Es la misma API que usan aplicaciones web como editores de foto o procesadores de texto online cuando te piden acceso a una carpeta.

La secuencia del ataque es directa:

  1. Un señuelo de phishing convence al usuario de visitar la página maliciosa y conceder acceso a una carpeta de su equipo
  2. Con ese permiso, la página enumera y lee los archivos de la carpeta seleccionada
  3. Exfiltra el contenido a los servidores del atacante
  4. Cifra los archivos sobreescribiéndolos desde el navegador
  5. Muestra la nota de rescate en Bitcoin dentro de la misma pestaña

Todo el ciclo ocurre sin instalar ningún ejecutable, sin explotar vulnerabilidades del sistema operativo y sin necesitar permisos de administrador. La técnica está limitada a navegadores basados en Chromium — como Google Chrome en Windows y Android — y, hasta la fecha, no hay evidencia de que se haya usado en ataques reales.

Ransomware en el navegador abusando de la File System Access API de Chromium

Por qué preocupa que lo generara una IA

El elemento más inquietante de este caso no es la técnica en sí — es la herramienta que la produjo. La muestra fue generada con DeepSeek, modelo conocido por presentar tasas de rechazo más bajas ante solicitudes maliciosas que sus equivalentes occidentales.

Check Point encontró 1,383 archivos maliciosos o peligrosos entre aproximadamente 3,000 muestras de DeepSeek analizadas. El detalle más perturbador: el atacante ni siquiera necesita saber que esta API existe. Un requerimiento vago basta para que el modelo, buscando cumplirlo, revele y codifique una técnica de ataque inusual pero completamente operativa.

Como resume Check Point, la pericia técnica ya no es el cuello de botella para descubrir nuevas vías de ataque. Un ciberdelincuente sin conocimientos avanzados puede pedir un ransomware en una conversación y recibir uno funcional como respuesta.

Qué significa para las empresas en Perú y LATAM

Este caso desplaza el foco de defensa hacia frentes que muchas organizaciones aún no vigilan:

El navegador es una superficie de ataque. Una pestaña con los permisos adecuados puede robar y cifrar archivos sin dejar rastro de instalación que un antivirus tradicional para empresas detecte con facilidad. Los controles de endpoint deben evolucionar al mismo ritmo que las amenazas.

Cada permiso del navegador es una decisión de seguridad. Todo diálogo que solicita acceso a archivos, cámara o micrófono debe tratarse como tal, no como un trámite. Capacitar al personal para reconocer y rechazar permisos injustificados es una capa de defensa concreta — aunque, como ocurre con el phishing, la capacitación sola no es suficiente.

La IA está acelerando la amenaza. Reducir la barrera técnica para desarrollar malware obliga a endurecer la capa de entrega de contenido, a reforzar la protección del endpoint con containment y a replantear los esquemas de confianza basados en permisos del navegador.

Controles que reducen el riesgo hoy

No es necesario esperar a que el ataque madure para actuar. Estos controles mitigan la superficie de exposición ya en este momento:

  • Política de permisos de navegador a nivel corporativo. Configurar mediante Group Policy o MDM que los usuarios no puedan conceder acceso a sistema de archivos desde páginas no autorizadas
  • Filtros web con análisis de destino. Bloquear dominios maliciosos antes de que el usuario llegue a la página de señuelo. Un filtro web gestionado es la primera línea de defensa
  • EDR con containment de comportamiento. Si la exfiltración o el cifrado comienzan, una solución de ciberseguridad para endpoint con Xcitium puede aislar el proceso antes de que cause daño mayor
  • Concienciación específica sobre permisos de navegador. Incluir en la capacitación de phishing los escenarios de solicitud de acceso a archivos desde páginas web

Conclusión

La defensa no puede descansar en esperar que un modelo de IA rechace la solicitud maliciosa obvia. Hay que asumir que la próxima técnica de ataque puede no surgir de un investigador humano con años de experiencia, sino de una IA que acertó por accidente ante un prompt amplio.

El ransomware en el navegador es funcional hoy. Aún no circula masivamente — pero su existencia documentada es señal suficiente para revisar permisos, reforzar filtros de contenido y no tratar el navegador como un entorno seguro por defecto.

Si tu empresa quiere auditar su exposición en el navegador y el endpoint antes de que ocurra un incidente, en Inforland Perú podemos ayudarte a implementar los controles adecuados.

24 de junio de 2026

¿Qué es TI y qué tan efectivo es en una empresa?

Qué es la tecnología de la información, qué abarca el área de TI y por qué se ha vuelto parte central del día a día de cualquier empresa.

Leer artículo →
16 de junio de 2026

Mundial 2026 y apps piratas: por qué el celular de tu colaborador puede ser la brecha de tu empresa

Apps piratas como Fútbol Libre infectan el dispositivo del trabajador con malware y abren la puerta a un hacker en la red corporativa. Conoce el riesgo y cómo proteger tu empresa.

Leer artículo →
31 de mayo de 2026

Top 5 ransomware que atacaron empresas peruanas en 2026

Análisis de los 5 grupos de ransomware más activos contra empresas peruanas en 2026: LockBit, BlackCat, Akira, Play y RansomHub. Tácticas, víctimas conocidas y cómo protegerte.

Leer artículo →
Ver todas las noticias →