Publicidad

Síguenos en nuestras redes sociales:

Publicidad
Tecnología

Un malware se hace pasar por DeepSeek y roba datos en México

Un malware disfrazado de chatbot engaña a usuarios en México desde anuncios en Google. Modifica navegadores y roba información sin que lo notes.
jue 19 junio 2025 02:39 PM
deepseek-malware
De acuerdo con los investigadores de Kaspersky GReAT, el archivo descargado desde un sitio que imita la web oficial de DeepSeek instala un troyano que modifica el navegador.

Una aplicación falsa que simula ser el modelo de lenguaje DeepSeek-R1 ha comenzado a propagarse en América Latina, incluyendo México, mediante campañas de phishing.

De acuerdo con los investigadores de Kaspersky GReAT, el archivo descargado desde un sitio que imita la web oficial de DeepSeek instala un troyano que modifica el navegador.

Esta campaña utiliza Google Ads para posicionar el sitio fraudulento entre los primeros resultados. El objetivo: redirigir a las víctimas y robar sus contraseñas.

Publicidad

El malware que se hace pasar por DeepSeek-R1

Kaspersky advirtió que ciberdelincuentes están distribuyendo un troyano disfrazado de DeepSeek-R1, uno de los modelos de lenguaje más populares para ejecutarse en PC sin conexión. La campaña se difunde a través de un sitio falso que imita la plataforma original y aparece como anuncio patrocinado en Google.

Cuando los usuarios buscan "deepseek r1", el enlace fraudulento aparece entre los primeros resultados. Al ingresar, el sitio verifica si el sistema operativo es Windows y permite descargar un archivo tras resolver un CAPTCHA.

El archivo ofrece instalar Ollama o LM Studio, que son herramientas legítimas para ejecutar LLM. Sin embargo, viene acompañado por un malware oculto que se activa en paralelo.

Cómo actúa BrowserVenom una vez instalado

El malware, nombrado BrowserVenom por los investigadores, solo logra instalarse si el perfil de Windows tiene privilegios de administrador. Usa un algoritmo para evadir la detección de Windows Defender.

Una vez en el sistema, BrowserVenom modifica todos los navegadores y obliga a que su tráfico pase por un proxy controlado por los atacantes. Esto les permite recopilar datos personales y contraseñas sin que el usuario lo perciba.

Lisandro Ubiedo, investigador de seguridad de GReAT en Kaspersky, advirtió: “Estas herramientas falsas comprometen los datos confidenciales del usuario y representan una amenaza, especialmente cuando las han bajado de fuentes no verificadas”.

Recomendamos

El phishing crece en México: así roban tus datos bancarios sin que lo notes
Tecnología

Los fraudes cibernéticos en México crecieron 40% en seis años

Dónde se han detectado infecciones y cómo protegerte

El malware ha sido detectado en Brasil, México y Cuba, así como en India, Nepal, Sudáfrica y Egipto. Kaspersky confirmó que esta no es la primera vez que ciberdelincuentes utilizan versiones falsas de DeepSeek como señuelo.

DeepSeek es un modelo de lenguaje popular en la comunidad de IA. Su uso sin conexión mediante Ollama o LM Studio fue aprovechado por los atacantes para disfrazar la amenaza.

Para evitar ser víctima, Kaspersky recomienda: verificar siempre la dirección de los sitios web; descargar herramientas solo de fuentes oficiales como ollama.com y lmstudio.ai; usar soluciones de seguridad confiables y evitar usar cuentas de Windows con privilegios de administrador.

Publicidad

Tags

Ciberataques-hackeos

Más acerca del autor:

Newsletter

Únete a nuestra comunidad. Te mandaremos una selección de nuestras historias.

Publicidad

Publicidad