Durante el evento Kaspersky Horizons celebrado en Madrid, los expertos del equipo Global de Investigación y Análisis (GReAT) de la compañía desvelaron el funcionamiento interno de FunkSec, un grupo de ransomware que representa el futuro del cibercrimen a gran escala: impulsado por inteligencia artificial (IA), multifuncional, altamente adaptable y orientado al volumen, con rescates que en algunos casos no superan los 10.000 dólares, una estrategia pensada para maximizar beneficios.
El equipo GReAT de Kaspersky monitoriza de forma continua el panorama de ciberamenazas relacionadas con el ransomware, donde los ataques siguen aumentando. Según el último Estado del Ransomware 2025 elaborado por la empresa, el porcentaje de usuarios afectados por este tipo de ataques a nivel mundial subió hasta el 0,44 % entre 2023 y 2024, lo que supone un incremento global de apenas 0,02 puntos porcentuales y un 0,06 concretamente en Europa. Aunque esta cifra pueda parecer baja comparada con otras ciberamenazas, refleja que los ciberdelincuentes suelen centrarse en objetivos de alto valor en lugar de una distribución masiva, lo que convierte cada ataque en un incidente potencialmente devastador. Dentro de este panorama cambiante, FunkSec ha surgido como una amenaza especialmente preocupante.
FunkSec está activo desde finales de 2024, logrando superar rápidamente a actores más consolidados, dirigiéndose a sectores clave como el gubernamental, tecnológico, financiero y educativo en Europa y Asia. Lo que distingue a FunkSec es su sofisticada arquitectura técnica y el uso de IA para desarrollar sus herramientas. El grupo ha integrado un cifrado a gran escala y una exfiltración agresiva de datos en un único ejecutable basado en lenguaje Rust, capaz de desactivar más de 50 procesos en los equipos infectados, e incluye funciones de autolimpieza para evitar ser detectado. Además del ransomware en sí, FunkSec ha ampliado su arsenal con un generador de contraseñas y una herramienta básica de DDoS, ambos con indicios claros de haber sido creados mediante modelos de lenguaje generativos (LLMs).
La estrategia de FunkSec refleja la transformación del cibercrimen masivo, al combinar herramientas y tácticas avanzadas. Los expertos de GReAT destacan los principales elementos que definen su modo de operar:
Funcionalidad controlada por contraseña
El ransomware de FunkSec incorpora un mecanismo único basado en contraseñas que determina cómo se comporta el malware. Si no se introduce ninguna contraseña, solo cifra archivos de forma básica. Sin embargo, al introducir una contraseña válida, se activa un modo más agresivo que además del cifrado lleva a cabo la exfiltración de datos sensibles.
FunkSec combina cifrado completo, exfiltración local y autolimpieza en un único archivo ejecutable en lenguaje Rust, sin necesidad de cargadores auxiliares ni scripts complementarios. Este nivel de integración es poco común y proporciona a sus afiliados una herramienta lista para usar, fácil de desplegar en distintos entornos.
Uso de IA en el desarrollo
El análisis del código revela que FunkSec emplea IA generativa para crear sus herramientas. Muchas partes del código parecen haber sido generadas automáticamente en lugar de programadas manualmente. Algunos indicios de esto son los comentarios genéricos como “placeholder for actual check” y ciertas inconsistencias técnicas, por ejemplo, comandos dirigidos a distintos sistemas operativos que no encajan entre sí. También se han detectado funciones declaradas, pero nunca utilizadas, como módulos incluidos desde el inicio pero que no se llegan a ejecutar, lo cual refleja cómo los LLMs pueden combinar fragmentos de código sin eliminar elementos redundantes.
“Cada vez vemos más ciberdelincuentes que aprovechan la IA para desarrollar herramientas maliciosas. La IA generativa reduce las barreras de entrada y acelera la creación de malware, lo que permite a los ciberdelincuentes adaptar sus tácticas con rapidez. Al facilitar el acceso, incluso atacantes con poca experiencia pueden desarrollar malware sofisticado a gran escala”, afirma Marc Rivero, Lead Security Researcher at Kaspersky’s GReAT.