Una campaña sofisticada explotó la confianza en los repositorios de modelos de Hugging Face al subir una pieza de malware que se hizo pasar por el proyecto legítimo de OpenAI llamado “Privacy Filter”. El repositorio malicioso llegó a estar en la lista de tendencias y acumuló, según las métricas públicas, cerca de 244.000 descargas antes de ser eliminado, un incidente que pone en evidencia cómo los mercados de modelos pueden convertirse en vectores de distribución masiva para código malicioso.
La investigación fue publicada por la compañía HiddenLayer, que detectó la colección fraudulenta el 7 de mayo. Según el análisis técnico, el repositorio usado técnicas de typosquatting y copió la documentación oficial para pasar desapercibido; en realidad incluía un archivo loader.py cuya función real era desactivar comprobaciones SSL, resolver una URL codificada en base64 y ejecutar una carga útil remota a través de PowerShell que terminaba instalando un infostealer escrito en Rust apodado “sefirah”. La cadena de infección incluía escalada de privilegios, modificación de exclusiones de Microsoft Defender y exfiltración de datos a un servidor de mando y control.
El malware reportado tenía un perfil de ataque orientado a la recolección amplia de secretos: credenciales y cookies de navegadores Chromium y Gecko, tokens de Discord, claves y extensiones de monederos de criptomonedas, archivos de configuración de SSH/FTP/VPN, semillas de monederos y capturas de pantalla de múltiples monitores. HiddenLayer también documentó múltiples técnicas anti-análisis para evitar su detección en entornos virtuales y sandboxes, lo que complica el trabajo de los equipos de respuesta a incidentes.
Hay dudas legítimas sobre el alcance real del daño: muchos “me gusta” y descargas pueden haber sido inflados por cuentas automatizadas o métricas artificiales, pero eso no atenúa el riesgo técnico ni la necesidad de contener la amenaza. Además, los investigadores detectaron reutilización de la misma infraestructura de carga entre varios repositorios y una posible relación con campañas de typosquatting en npm, lo que sugiere una operación organizada que apunta a cadenas de suministro de software.
Las implicaciones prácticas son claras: las plataformas de intercambio de modelos y datasets no son inmunes al abuso; su naturaleza abierta las convierte en objetivos atractivos para actores maliciosos que buscan distribución y anonimato. Esto obliga a reforzar la higiene tanto a nivel de plataforma como de usuario: validación de autores, escaneo automático de código, firma de artefactos y controles de confianza más estrictos para elementos que se ejecutan localmente.
Si descargaste archivos desde el repositorio afectado o sospechas que pudiste ejecutar código proveniente de fuentes no verificadas, la recomendación técnica más segura es contundente: reimagina el equipo, rota todas las credenciales y sustituye los monederos y frases semilla de criptomonedas. Además, invalida sesiones de navegador y tokens OAuth, reemplaza claves SSH/FTP, revisa exclusiones en tu antivirus y considera que una limpieza por herramientas no siempre elimina puertas traseras sofisticadas.
Para usuarios y equipos que no han sido infectados pero trabajan con modelos externos, conviene aplicar medidas preventivas: ejecutar modelos y scripts en entornos aislados o máquinas virtuales, revisar el código fuente y los scripts de carga antes de su ejecución, preferir modelos publicados por organizaciones verificadas y usar firmas o hashes conocidos para comprobar integridad. Desde el punto de vista operativo, monitoriza conexiones salientes sospechosas y bloquea dominios asociados a C2 cuando sea apropiado.
Las plataformas también tienen tareas pendientes: mejorar la detección automática de patrones maliciosos en archivos de repositorio, endurecer procesos de moderación de contenido, ofrecer metadatos verificables sobre autores y facilitar reportes rápidos a los incident responders. Hugging Face y otros proveedores deben equilibrar apertura y seguridad para reducir la superficie de ataque sin estrangular la investigación y la colaboración.
Si quieres leer el informe técnico que detalló esta campaña, HiddenLayer publicó su análisis aquí: HiddenLayer — Malware encontrado en repositorio de Hugging Face. Para entender las políticas y controles de la plataforma, consulta la página de seguridad de Hugging Face: Hugging Face — Security. Estas lecturas ayudan a contextualizar por qué la verificación de fuentes y la ejecución en entornos controlados no son opciones, sino prácticas indispensables.
En resumen, este incidente es un recordatorio de que la flexibilidad de los ecosistemas de IA trae consigo riesgos de seguridad concretos. Protegerse exige trabajar en dos frentes: exigir mejoras estructurales a las plataformas y adoptar defensas prácticas en el entorno del desarrollador y del usuario final.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...