A finales de 2025 surgió en foros del lado oscuro un nuevo proyecto de malware orientado a robar información que llamó la atención de los investigadores: Arkanix Stealer. En apariencia era un producto pensado para clientes: ofrecía un panel de control, comunicación a través de un servidor de Discord y una estructura de precios en dos niveles —una opción básica escrita en Python y una versión “premium” nativa en C++ protegida con VMProtect—, pero apenas duró un par de meses antes de que su autor desactivara todo sin aviso. Esa corta vida útil y las huellas encontradas por los analistas apuntan a algo más que una simple campaña criminal tradicional: es muy probable que Arkanix fuera, al menos en parte, el resultado de un experimento de desarrollo asistido por modelos de lenguaje. El hallazgo subraya cómo las herramientas de IA están acelerando y abaratando la creación de código malicioso.
El análisis técnico realizado por los investigadores de Kaspersky ofrece la base informativa más completa sobre Arkanix. En su informe detallan tanto las capacidades del malware como las pistas que sugieren la intervención de grandes modelos de lenguaje en la generación de código, documentación y artefactos del proyecto. Puedes consultar ese análisis directamente en el informe público de Kaspersky para revisar los indicadores de compromiso y la descripción técnica: Kaspersky — Arkanix Stealer.
En cuanto a sus funciones, Arkanix incorporaba un conjunto de capacidades típicas en los “info-stealers” modernos: recogida de información del sistema, extracción de credenciales y datos almacenados en navegadores —incluyendo historial, autocompletados, cookies y contraseñas— y robo de billeteras o extensiones criptográficas en decenas de navegadores. Los investigadores señalan además la capacidad para capturar tokens OAuth2 en navegadores basados en Chromium, una técnica que facilita el acceso persistente a cuentas sin necesidad de contraseñas tradicionales. Además, el troyano atacaba credenciales de servicios VPN conocidos, podía comprimir y exfiltrar archivos del sistema y disponía de módulos descargables desde su servidor de comando y control: desde grabadores para Chrome y parcheadores para billeteras como Exodus hasta herramientas para tomar capturas de pantalla, acceso remoto virtual (HVNC) y robadores para clientes como FileZilla o Steam.
La versión premium añadía funcionalidades más avanzadas: robo de credenciales de RDP, comprobaciones anti-sandbox y anti-debugging, captura de pantalla mediante WinAPI y la capacidad de dirigirse a plataformas de juegos y servicios de autenticación como Epic Games, Battle.net, Riot, Unreal Engine, Ubisoft Connect y GOG. También incluía una herramienta posexplotación llamada ChromElevator, diseñada para inyectarse en procesos de navegador suspendidos con la intención de eludir protecciones como la App-Bound Encryption (ABE) de Google y así acceder a credenciales de forma no autorizada. La protección con VMProtect buscaba complicar el análisis estático y retrasar la detección por productos de seguridad.
Más allá de las capacidades técnicas, el proyecto se comportaba como un producto comercial: existía un dashboard con opciones de afiliados y recompensas por referidos —un incentivo para acelerar la distribución— y el servidor de Discord servía como espacio para actualizaciones, soporte y feedback de la comunidad. Pero ese ecosistema público también terminó abruptamente: el autor eliminó el panel y cerró el canal sin comunicaciones, lo que sugiere que la iniciativa fue intencionalmente efímera. Según los propios investigadores, esto complica el trabajo de detección y seguimiento, porque los desarrolladores pueden lanzar, monetizar y desaparecer con rapidez, dejando poca trazabilidad.
Una de las conclusiones más preocupantes del estudio es la posibilidad de que el desarrollo de Arkanix se apoyara en modelos de lenguaje para acelerar la programación, generación de código y elaboración de documentación. Los analistas identificaron patrones y trazas en el código y en los artefactos que coinciden con procesos asistidos por LLM, lo que, en su evaluación, puede haber reducido significativamente el tiempo y el coste de creación. Si los delincuentes incorporan con éxito la IA para automatizar partes del ciclo de desarrollo, estamos frente a una potencial democratización del malware: actores con menores habilidades técnicas podrían montar herramientas sofisticadas buscando ganancias rápidas.
Este fenómeno no se limita a Arkanix. La comunidad de seguridad lleva tiempo advirtiendo sobre el doble uso de herramientas de inteligencia artificial y sobre cómo la disponibilidad de asistentes de programación puede transformar la amenaza. Los marcos y recomendaciones para gestionar los riesgos de IA, como los trabajos de organismos nacionales e internacionales sobre gobernanza de IA, cobran más importancia cuando se detectan aplicaciones ofensivas en el campo de la ciberseguridad. En este sentido, enfoques coordinados que integren normas técnicas, prácticas de seguridad y colaboración entre el sector privado y las autoridades resultan esenciales; organizaciones como NIST han publicado recursos para orientar el desarrollo responsable de IA: NIST — AI resources.
Para defensores y usuarios comunes las lecciones son prácticas y urgentes. Mantener software y navegadores actualizados, activar la autenticación multifactor siempre que sea posible, emplear gestores de contraseñas en lugar de almacenar credenciales en texto plano o en formularios del navegador y revisar el acceso a tokens y sesiones activas son medidas que reducen la ventana de oportunidad para actores que se aprovechan de credenciales comprometidas. Del lado empresarial, la monitorización de actividad anómala en endpoints, la segmentación de redes y políticas estrictas sobre el uso de APIs y automatizaciones (especialmente donde se gestionan tokens con permisos elevados) ayudan a mitigar el impacto de este tipo de herramientas.
Finalmente, Arkanix ilustra dos tendencias interrelacionadas: por un lado, la profesionalización y comercialización del software criminal —que ya hace tiempo adoptó modelos de negocio estilo “as-a-service”—, y por otro, la llegada de la IA como multiplicadora de capacidades para desarrolladores y delincuentes por igual. Los informes técnicos como el publicado por Kaspersky no solo documentan la amenaza concreta, sino que aportan indicadores de compromiso (hashes, dominios y direcciones IP) que permiten a equipos de respuesta y herramientas de seguridad identificar y bloquear variantes. Los responsables de seguridad deberían aprovechar esos recursos para fortalecer detectores y reglas internas; el informe de Kaspersky es un buen punto de partida para quien necesite detalles técnicos: Kaspersky — informe Arkanix.
Si hay una idea que queda clara tras el episodio Arkanix es que la velocidad y la facilidad con que se pueden desarrollar herramientas dañinas serán factores determinantes en el riesgo global. La comunidad de seguridad, los proveedores de tecnología y las instituciones públicas deberán no solo mejorar defensas técnicas, sino también trabajar en políticas y prácticas para reducir el abuso de tecnologías de uso general. Mientras tanto, los usuarios y administradores deben asumir que la amenaza evoluciona y aplicar medidas de prevención básicas con constancia: la higiene digital y la adopción de buenas prácticas siguen siendo las barreras más efectivas frente a este tipo de malware.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...