Facebook Linkedin Twitter Instagram Youtube Telegram

Así es FunkSec, la evolución del ransomware que usa IA para sus ciberataques

Durante el evento Kaspersky Horizons celebrado en Madrid, los expertos del equipo Global de Investigación y Análisis (GReAT) de la compañía desvelaron el funcionamiento interno de FunkSec, un grupo de ransomware que representa el futuro del cibercrimen a gran escala: impulsado por inteligencia artificial (IA), multifuncional, altamente adaptable y orientado al volumen, con rescates que en algunos casos no superan los 10.000 dólares, una estrategia pensada para maximizar beneficios.

El equipo GReAT de Kaspersky monitoriza de forma continua el panorama de ciberamenazas relacionadas con el ransomware, donde los ataques siguen aumentando. Según el último Estado del Ransomware 2025 elaborado por la empresa, el porcentaje de usuarios afectados por este tipo de ataques a nivel mundial subió hasta el 0,44 % entre 2023 y 2024, lo que supone un incremento global de apenas 0,02 puntos porcentuales y un 0,06 concretamente en Europa. Aunque esta cifra pueda parecer baja comparada con otras ciberamenazas, refleja que los ciberdelincuentes suelen centrarse en objetivos de alto valor en lugar de una distribución masiva, lo que convierte cada ataque en un incidente potencialmente devastador. Dentro de este panorama cambiante, FunkSec ha surgido como una amenaza especialmente preocupante.

FunkSec está activo desde finales de 2024, logrando superar rápidamente a actores más consolidados, dirigiéndose a sectores clave como el gubernamental, tecnológico, financiero y educativo en Europa y Asia. Lo que distingue a FunkSec es su sofisticada arquitectura técnica y el uso de IA para desarrollar sus herramientas. El grupo ha integrado un cifrado a gran escala y una exfiltración agresiva de datos en un único ejecutable basado en lenguaje Rust, capaz de desactivar más de 50 procesos en los equipos infectados, e incluye funciones de autolimpieza para evitar ser detectado. Además del ransomware en sí, FunkSec ha ampliado su arsenal con un generador de contraseñas y una herramienta básica de DDoS, ambos con indicios claros de haber sido creados mediante modelos de lenguaje generativos (LLMs).

La estrategia de FunkSec refleja la transformación del cibercrimen masivo, al combinar herramientas y tácticas avanzadas. Los expertos de GReAT destacan los principales elementos que definen su modo de operar:

Funcionalidad controlada por contraseña

El ransomware de FunkSec incorpora un mecanismo único basado en contraseñas que determina cómo se comporta el malware. Si no se introduce ninguna contraseña, solo cifra archivos de forma básica. Sin embargo, al introducir una contraseña válida, se activa un modo más agresivo que además del cifrado lleva a cabo la exfiltración de datos sensibles.

FunkSec combina cifrado completo, exfiltración local y autolimpieza en un único archivo ejecutable en lenguaje Rust, sin necesidad de cargadores auxiliares ni scripts complementarios. Este nivel de integración es poco común y proporciona a sus afiliados una herramienta lista para usar, fácil de desplegar en distintos entornos.

Uso de IA en el desarrollo

El análisis del código revela que FunkSec emplea IA generativa para crear sus herramientas. Muchas partes del código parecen haber sido generadas automáticamente en lugar de programadas manualmente. Algunos indicios de esto son los comentarios genéricos como “placeholder for actual check” y ciertas inconsistencias técnicas, por ejemplo, comandos dirigidos a distintos sistemas operativos que no encajan entre sí. También se han detectado funciones declaradas, pero nunca utilizadas, como módulos incluidos desde el inicio pero que no se llegan a ejecutar, lo cual refleja cómo los LLMs pueden combinar fragmentos de código sin eliminar elementos redundantes.

“Cada vez vemos más ciberdelincuentes que aprovechan la IA para desarrollar herramientas maliciosas. La IA generativa reduce las barreras de entrada y acelera la creación de malware, lo que permite a los ciberdelincuentes adaptar sus tácticas con rapidez. Al facilitar el acceso, incluso atacantes con poca experiencia pueden desarrollar malware sofisticado a gran escala”, afirma Marc Rivero, Lead Security Researcher at Kaspersky’s GReAT.

Picture of Aldana Balmaceda

Aldana Balmaceda

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.