Investigadores en ciberseguridad han identificado un nuevo malware bautizado como Slopoly que, según las pistas halladas en su código, parece haber sido creado con la ayuda de una inteligencia artificial. El hallazgo, documentado por el equipo de IBM X-Force y compartido con medios especializados, vuelve a poner sobre la mesa cómo las herramientas de generación automática de código están acelerando la capacidad de los delincuentes para fabricar y desplegar software malicioso.
El grupo que ha empleado este componente, conocido como Hive0163, no es nuevo en el panorama del crimen digital: sus operaciones se centran en la extorsión mediante el robo masivo de datos y el despliegue de ransomware. En campañas previas se les ha vinculado con familias y herramientas como NodeSnake, Interlock RAT y loaders que sirven para introducir el resto del catálogo malicioso en las redes afectadas. En el caso documentado más recientemente, Slopoly apareció en la fase posterior a la explotación, manteniendo acceso persistente a un servidor comprometido durante más de una semana.
Desde el punto de vista técnico, Slopoly se presenta como un script de PowerShell que muy probablemente es generado por un “builder” que facilita su despliegue y personalización. El mecanismo de persistencia observado crea una tarea programada con el nombre "Runtime Broker", y el malware actúa como una puerta trasera completa: envía latidos con información del sistema a un servidor de mando y control cada cierto intervalo, consulta comandos remotos y los ejecuta mediante el intérprete del sistema, devolviendo los resultados al operador. Estas capacidades permiten a un atacante ejecutar órdenes arbitrarias y mantener comunicación constante con el equipo comprometido.
Lo que ha llevado a los investigadores a sospechar de la participación de un gran modelo de lenguaje (LLM) son elementos del propio código: abundantes comentarios explicativos, registro de eventos, manejo de errores y nombres de variables especialmente descriptivos. Incluso en la documentación interna del script aparece la etiqueta "Polymorphic C2 Persistence Client", que sugiere la intención de crear un cliente C2 con rasgos polimórficos. Sin embargo, según los analistas, la pieza no implementa técnicas avanzadas de autorreparación o modificación dinámica del código en ejecución; más bien, el builder podría generar variantes con nombres y valores aleatorizados, práctica ya habitual entre creadores de malware para evadir firmas estáticas.
El encadenamiento del ataque se describe de forma coherente con otros casos atribuidos a la misma agrupación: la intrusión inicial suele lograrse mediante engaños sociales y malvertising (entre ellos una táctica referida como "ClickFix" que induce a la víctima a ejecutar comandos PowerShell). Ese primer componente facilita la ejecución de NodeSnake, diseñado para correr comandos de shell, establecer persistencia y descargar un framework más amplio —Interlock— que está disponible en múltiples implementaciones (PowerShell, PHP, C/C++, Java, JavaScript) para afectar tanto a sistemas Windows como Linux. Desde ese marco se pueden habilitar tunelización SOCKS5, shells inversos y la entrega de cargas útiles adicionales como ransomware o Slopoly.
El surgimiento de Slopoly se suma a otros indicios de que actores maliciosos están aprovechando la IA para acelerar el desarrollo y la proliferación de herramientas ofensivas. El propio análisis de IBM X-Force subraya que, pese a que estos programas no siempre aportan técnicas novedosas, lo que cambian es la velocidad y la accesibilidad: un operador con menos pericia puede producir y adaptar código funcional en fracciones del tiempo que antes requería.
¿Qué significa esto para organizaciones y equipos de seguridad? En primer lugar, que las defensas tradicionales siguen siendo relevantes —segmentación de red, copias de seguridad periódicas y verificables, control de ejecutables y parches—, pero ahora es aún más crítico reforzar la vigilancia sobre comportamientos y telemetría. Medidas concretas que ayudan a reducir el riesgo incluyen activar el registro avanzado de PowerShell y la inspección de scripts en endpoints, monitorizar tareas programadas inusuales (como la creación de “Runtime Broker” que no proceda de una instalación legítima), limitar permisos de ejecución y controlar el tráfico saliente hacia servidores C2 sospechosos. Las soluciones EDR y las políticas de filtrado de egress son especialmente útiles para detectar beacons y canales de mando y control.
Más allá de la respuesta técnica, este escenario exige un enfoque coordinado entre empresas, proveedores de tecnología y reguladores. Es necesario invertir en detección basada en comportamiento, compartir indicadores de compromiso fiables entre distintas organizaciones y adaptar los procesos de respuesta a incidentes al nuevo ritmo en que las amenazas se generan. La comunidad de seguridad también puede beneficiarse de marcos y guías para gestionar riesgos asociados a la IA, como las propuestas por organismos oficiales en materia de gobernanza y gestión de riesgos tecnológicos.
Para profundizar en el análisis técnico y en las recomendaciones de mitigación, el informe original de IBM X-Force ofrece un dossier detallado sobre Slopoly y el contexto asociado: IBM X-Force — Slopoly: start of AI-enhanced ransomware attacks. Para un panorama general sobre el riesgo que representa el ransomware y buenas prácticas de protección, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. mantiene guías prácticas en su portal: CISA — Ransomware Guidance. Finalmente, para entender la dimensión normativa y de gestión del riesgo de la propia IA, el marco y recomendaciones del NIST resultan un recurso útil: NIST — AI Risk Management Framework.
La llegada de Slopoly confirma una tendencia que los defensores no pueden permitirse ignorar: la inteligencia artificial no solo potencia soluciones legítimas, sino que también reduce las barreras para que el delito digital evolucione. Ante ello, la respuesta debe combinar tecnología, mejores prácticas organizativas y cooperación entre actores públicos y privados, porque la velocidad de desarrollo que permite la IA exige una misma celeridad en la detección, respuesta y prevención.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
YellowKey El fallo de BitLocker que podría permitir a un atacante desbloquear tu unidad con solo acceso físico
Microsoft ha publicado una mitigación para una vulnerabilidad de omisión de seguridad de BitLocker conocida como YellowKey (CVE-2026-45585), después de que su prueba de concepto...