En la era de la inteligencia artificial (IA), donde el entusiasmo por probar nuevos modelos y herramientas es cada vez mayor, también aumentan las oportunidades para los ciberdelincuentes.

Y es que, recientemente, los investigadores de Kaspersky han descubierto una campaña de malware que explota este interés generalizado mediante una trampa cuidadosamente diseñada: un falso instalador del modelo de IA DeepSeek-R1, que en realidad no contiene sino un peligroso malware.

¿Qué es DeepSeek y cómo lo usan los delincuentes?

DeepSeek-R1 es un modelo de lenguaje desarrollado en China cuyas capacidades técnicas han llamado la atención de muchos entusiastas de la IA. Aprovechando esta popularidad, y unido al hecho de que puede instalarse localmente en nuestros PC al ser ‘open source’, los ciberdelincuentes han creado una web falsa muy parecida a la legítima, con la intención de engañar a los usuarios para que descargaran un supuesto instalador del modelo.

El sitio malicioso usaba el dominio deepseek-platform.com, promovida a través de anuncios comprados en Google (aunque en cualquier momento puede reaparecer usando otra URL). Así, cuando alguien buscaba «deepseek r1», el sitio fraudulento aparecía como primer resultado.

Ahora, a pesar de que Google ya ha eliminado los anuncios y suspendido la cuenta del anunciante tras descubrirse la campaña, los equipos de muchos usuarios permanecen infectados.

BrowserVenom: el verdadero rostro del instalador

El falso instalador ofrecía un archivo denominado AI_Launcher_1.21.exe que, una vez descargado y ejecutado en sistemas Windows, abría una pantalla que imitaba el CAPTCHA de Cloudflare, dando al usuario una falsa sensación de seguridad y legitimidad.

Posteriormente, el instalador ofrecía la opción de ejecutar el modelo en plataformas como Ollama o LM Studio. Sin importar la elección, el resultado era siempre el mismo: la activación de BrowserVenom, un malware avanzado que opera como un proxy malicioso. Estas son sus principales funciones:

• Intercepción del tráfico del navegador: redirige toda la navegación a través de un servidor controlado por los atacantes.
• Exposición de datos sensibles: al pasar el tráfico por sus servidores, los ciberdelincuentes pueden capturar información como contraseñas, cookies de sesión, datos financieros, correos electrónicos y documentos.
• Persistencia en el sistema: instala un certificado malicioso y modifica la configuración de proxy de todos los navegadores instalados, lo que les permite mantener el acceso incluso después de reinicios.

En Xataka

Claude 4 plantea un futuro de IAs capaces de chantajear y crear armas biológicas. Hasta Anthropic está preocupada

Lecciones aprendidas y cómo protegerse

Este caso destaca la necesidad urgente de precaución ante la descarga de herramientas relacionadas con la inteligencia artificial. Aquí algunas recomendaciones clave:

• Verificar siempre el dominio: pequeños cambios en la URL pueden ser señales de suplantación.
• Evitar descargar software desde anuncios: es más seguro acudir directamente al sitio oficial.
• Desconfiar de los CAPTCHAs inesperados: si aparecen fuera de contexto (y la ventana de un instalador es el ejemplo perfecto de eso), pueden ser una señal de intento de engaño.
• Mantener actualizado el antivirus y el sistema operativo.

Aunque sería ideal instalar DeepSeek con un solo clic, ese deseo de simplicidad puede ser peligroso si no se acompaña de precaución. La promesa de acceso rápido a herramientas de IA se está convirtiendo en un señuelo para el cibercrimen. No bajes la guardia: un clic puede ser suficiente para comprometer toda tu seguridad digital.

Fuentes fiables para usar DeepSeek: Ollama y LM Studio

Ante el auge de instaladores falsos y campañas de malware, es crucial conocer las vías legítimas para trabajar con modelos como DeepSeek. Dos herramientas ampliamente reconocidas por su fiabilidad y comunidad activa son Ollama y LM Studio.

¿Qué es Ollama?

Ollama es una plataforma que permite ejecutar modelos de lenguaje grandes (LLMs) de forma local en tu máquina, con una experiencia muy simple y centrada en la privacidad. Este software, y es compatible con varios sistemas operativos, y ofrecw documentación clara y soporte de la comunidad.

DeepSeek, al igual que otros modelos como LLaMA o Mistral, se puede importar fácilmente en Ollama a través de comandos de texto.

¿Qué es LM Studio?

LM Studio es otra interfaz amigable para descargar y probar modelos LLM de código abierto. Se enfoca en la experiencia del usuario y permite permite importar modelos como DeepSeek desde repositorios confiables como Hugging Face, y ejecutarlos sin conexión, preservando la privacidad y reduciendo el riesgo de filtraciones.

¿Por qué son opciones seguras?

• Código abierto: El código de ambas plataformas está disponible públicamente, lo que permite auditoría y verificación por la comunidad.
• Amplia adopción: Tienen una base de usuarios creciente que reporta fallos y mejora la seguridad.

Imagen | Marcos Merino mediante IA

En Genbeta | Cualquiera puede ser ‘el nuevo Alcasec’: por menos de 200 euros, esta IA 100% creada por ciberdelincuentes hackeará por ti

–
La noticia

Sería genial poder instalar DeepSeek con un solo clic, pero este .exe que se está difundiendo es un malware

fue publicada originalmente en

Genbeta

por
Marcos Merino

.