ESET ha confirmado que las muestras de PromptLock detectadas a finales de agosto de 2025 en VirusTotal no corresponden a una campaña “en la naturaleza”, sino a un prototipo académico desarrollado por investigadores de la escuela de ingeniería Tandon de la Universidad de Nueva York (NYU Tandon). Aun así, la compañía mantiene su valoración: PromptLock es el primer ransomware conocido que delega su lógica operativa en una IA, un modelo que podría pasar con rapidez del laboratorio a los entornos delictivos.
Qué es PromptLock y por qué se le denomina “Ransomware 3.0”
Según sus autores, PromptLock representa un salto a un Ransomware 3.0 en el que la orquestación y la generación de la carga maliciosa recaen en un modelo de lenguaje grande (LLM). El prototipo se apoya en gpt-oss-20b y puede ejecutarse de forma local a través del API de Ollama. En el host de la víctima, la IA genera sobre la marcha scripts en Lua para tareas típicas de un ransomware: enumerar el sistema de archivos, valorar y seleccionar objetivos, exfiltrar fragmentos de datos y cifrar información. El enfoque es multiplataforma, con soporte para Windows, Linux y macOS.
Orquestación LLM: división de tareas y control del ciclo de vida
El diseño sitúa a PromptLock como un orquestador que, al ejecutarse, delegará el plan y las decisiones en la LLM. La operación se fragmenta en solicitudes de lenguaje natural discretas: la IA no recibe la “intención total”, sino peticiones que parecen tareas legítimas de automatización. Los autores señalan que, una vez iniciado, el atacante pierde el micromando y el LLM gobierna el ciclo de vida. Aunque la IA puede rehusar acciones destructivas, en pruebas sobre Windows y Raspberry Pi generó e hizo ejecutar instrucciones maliciosas con éxito en múltiples ocasiones.
Origen académico y el incidente de VirusTotal
El trabajo fue realizado por un equipo de seis investigadores de NYU Tandon. Aclaran que es un proof of concept no operativo fuera de un entorno controlado. Las muestras se subieron a VirusTotal para experimentación, pero sin marcarlas como académicas, lo que atrajo la atención de ESET. La firma de seguridad actualizó posteriormente su informe para reflejar el origen, sin variar la conclusión clave: la amenaza teórica es plausible en escenarios reales.
Economía del ataque: bajo coste y potencial de escala
De acuerdo con los investigadores, una ejecución completa consume alrededor de 23 000 tokens, con un coste aproximado de 0,70 dólares bajo tarifas de un API comercial (referenciado como GPT‑5). El uso de modelos ligeros con pesos abiertos podría reducir el gasto casi a cero. Este perfil económico abarata la barrera de entrada y, al producir código siempre distinto, complica el detección por firmas.
Implicaciones defensivas: detección más compleja y respuesta más rápida
La generación “en tiempo real” introduce variabilidad y polimorfismo en la carga, lo que degrada la eficacia de IOC y firmas estáticas. Al delegar la lógica en un LLM, se dificulta la atribución y la repetibilidad de artefactos para forense. Además, Lua aporta portabilidad y comandos que se asemejan a automatizaciones legítimas, complicando distinguir entre scripting de TI y actividad maliciosa. El riesgo es consistente con la tendencia delictiva: Chainalysis estimó que en 2023 los pagos de extorsión por ransomware superaron los 1 000 millones de dólares, reflejando la resiliencia del modelo de negocio.
Medidas prácticas de mitigación
Control de ejecución: aplicar allowlisting, AppLocker/WDAC y bloquear intérpretes no necesarios (incluido Lua). EDR/XDR conductual: telemetría sobre scripting, creación/ejecución de ficheros temporales, uso atípico de APIs criptográficas y patrones de cifrado masivo.
Segmentación y mínimo privilegio: limitar movimientos laterales y el impacto del cifrado. Copias de seguridad: repositorios offline o inmutables y pruebas periódicas de recuperación. Gobernanza de LLM locales: inventariar y monitorizar despliegues de modelos abiertos (p. ej., Ollama) en entornos corporativos. Protección de datos: políticas DLP y cifrado de archivos/volúmenes para reducir el valor de la exfiltración.
PromptLock demuestra que una IA puede orquestar el ciclo completo de un ransomware con mínima intervención humana. Aunque hoy sea un PoC académico, su enfoque es transferible. Las organizaciones deberían actualizar sus modelos de amenaza para incluir orquestación LLM, reforzar la monitorización comportamental y el control de scripts, e incorporar ejercicios de crisis con escenarios de “ransomware impulsado por IA”. Anticiparse a este vector reducirá significativamente el coste y el impacto de incidentes futuros.
