DeepSeek ayudó a desarrollar un ransomware que cifró un teléfono Android rea

DeepSeek ayudó a desarrollar un ransomware que cifró un teléfono Android rea

Amenaza oculta en una función aparentemente inofensiva del navegador web

image

Los navegadores modernos dejaron de ser hace tiempo una ventana para leer páginas — ahora a través de ellos se pueden editar archivos directamente en el dispositivo, y precisamente esa capacidad se ha convertido inesperadamente en una herramienta de extorsión. Especialistas de la empresa Check Point Research descubrieron que la red neuronal DeepSeek consiguió llevar a la práctica la idea de un programa malicioso que funciona íntegramente dentro del navegador, sin instalar aplicaciones ni explotar vulnerabilidades.

El hallazgo se detectó al analizar alrededor de tres mil archivos relacionados con DeepSeek. Entre ellos había un script en Python con una página web disfrazada de servicio para mejorar avatares de Discord. Al usuario se le ofrecía subir una foto y obtener su versión «mejorada», y para ello — permitir que el sitio accediera a una carpeta en el dispositivo.

La mayoría de las funciones declaradas en el código, incluidos un keylogger y el acceso a la cámara web, resultaron ser fantasías no funcionales del modelo, ya que el navegador físicamente no puede realizar tales acciones sin permisos especiales. Pero un elemento sí funcionó de verdad: la llamada al File System Access API —un mecanismo legítimo de Chrome que permite a los sitios leer y modificar archivos en la carpeta elegida por el usuario.

Los especialistas comprobaron si la versión actual DeepSeek V4 podía convertir este esquema en un prototipo completo. Ante una petición directa de crear código de extorsión el modelo se negaba, pero al eliminar de la formulación la propia palabra «extorsión» generó un script funcional.

Este script accedía a los archivos, los encriptaba y privaba al usuario de la posibilidad de recuperar el contenido. Para comparar, solicitudes similares se enviaron a ChatGPT y Claude: ambos servicios o bien se negaron a ayudar, o bien devolvieron versiones seguras del código sin recurrir al sistema de archivos.

La comprobación en Android fue la que más inquietud suscitó. A partir de la versión Chrome 132, el navegador recibió soporte para File System Access API en dispositivos móviles, y la carpeta raíz con fotos y vídeos no está protegida por restricciones adicionales a diferencia de los directorios del sistema.

En el escenario de demostración, el usuario abría el sitio con la promesa de mejorar la imagen, elegía la carpeta para guardar el resultado y con ello otorgaba al sitio el derecho a editar todos los archivos en su interior. Durante el «procesamiento» la página cifraba sigilosamente las fotografías en el catálogo seleccionado. En iOS un ataque similar es imposible: el navegador Safari no soporta el File System Access API, y el acceso a las fotos allí se regula mediante permisos del sistema separados.

En ataques reales la técnica descrita no se ha registrado por ahora: se trata de una demostración controlada. No obstante, para reducir el riesgo los especialistas aconsejan prestar atención a las solicitudes de los sitios para acceder a carpetas con archivos, no dar acceso a servicios dudosos a fotos y documentos personales, elegir para experimentos carpetas vacías o temporales, usar para trabajar con datos valiosos solo aplicaciones verificadas, hacer copias de seguridad periódicas y actualizar a tiempo el navegador y el sistema operativo.