Alerta de ciberseguridad en Argentina: amenaza usa IA generativa para manipular tu celular y robar tu dinero

Una nueva amenaza digital pone en alerta a los usuarios: investigadores de ESET han identificado el primer malware para Android que utiliza inteligencia artificial generativa para robar información y dificultar su eliminación.

Este hallazgo ha afectado principalmente a usuarios en Argentina, según la empresa de seguridad, y marca un punto de inflexión en la evolución de los ciberataques móviles, ya que el uso de IA permite a los atacantes adaptar sus métodos con una flexibilidad y precisión nunca antes vistas.

Qué tipo de amenaza representa este nuevo malware

El software malicioso constituye el primer caso documentado de un malware para Android que incorpora IA generativa en su funcionamiento. La amenaza fue detectada durante el análisis de varias muestras subidas a plataformas de seguridad, donde los expertos notaron comportamientos inusuales en la manipulación de la interfaz de usuario y la persistencia de la aplicación.

A diferencia de variantes anteriores que se basaban en técnicas de aprendizaje automático para fraudes publicitarios u otras actividades, esta nueva familia de malware utiliza IA generativa para interactuar dinámicamente con la interfaz del sistema. El objetivo principal del ataque es la implantación de un módulo de control remoto que otorga a los criminales acceso total al dispositivo infectado.

El rasgo más innovador de este malware reside en su capacidad para analizar en tiempo real los elementos que aparecen en pantalla y ejecutar acciones automáticas que le permitan permanecer activo y oculto. El código malicioso está programado para enviar información detallada sobre la interfaz del dispositivo —incluyendo texto, tipo y ubicación de cada elemento— a un modelo de IA integrado en la aplicación.

A partir de esta información, la IA responde con instrucciones precisas para que el malware realice gestos, seleccione botones o navegue por los menús del sistema, todo sin la intervención del usuario.

Este mecanismo permite que la amenaza se adapte a distintos modelos de teléfonos, versiones de Android y personalizaciones de los fabricantes, superando así una de las principales limitaciones de los ataques tradicionales, que solían depender de acciones fijadas por coordenadas o selectores rígidos.

El proceso se desarrolla como un bucle continuo: el malware recopila la información de la pantalla, la transmite al sistema de IA y ejecuta las acciones sugeridas, repitiendo el ciclo hasta lograr el objetivo de permanecer anclado en la lista de aplicaciones recientes y evadir los mecanismos automáticos de cierre.

Qué hace la amenaza en el celular

El alcance del malware va mucho más allá de la manipulación de la interfaz. Una vez instalado, solicita permisos de accesibilidad que le otorgan control total sobre el dispositivo. Entre sus capacidades se encuentran:

• Acceso remoto a la pantalla en tiempo real, gracias a un módulo de Virtual Network Computing (VNC) integrado.
• Grabación de la actividad en pantalla, incluyendo la captura de videos y registros de gestos.
• Captura de datos confidenciales, como el PIN, la contraseña o el patrón de desbloqueo de la pantalla.
• Extracción de información sobre las aplicaciones instaladas y el estado del dispositivo.
• Realización de capturas de pantalla bajo demanda y grabación de la actividad del usuario en aplicaciones específicas.

El malware se comunica con su servidor de control utilizando protocolos cifrados, lo que dificulta la detección del tráfico malicioso. Además, puede recibir instrucciones adicionales desde el servidor, como la descarga de otros archivos o la activación de nuevas funciones.

Una de las características más preocupantes es su capacidad para impedir la desinstalación. Cuando el usuario intenta eliminar la aplicación maliciosa o desactivar sus permisos, el software superpone elementos invisibles sobre los botones de confirmación, bloqueando cualquier intento de acción manual.

Qué hacer si el dispositivo está infectado y cómo prevenir estos ataques

Ante la detección de este tipo de amenazas, los sistemas Android cuentan con mecanismos de protección que bloquean la instalación o ejecución de variantes conocidas de malware. Sin embargo, si una aplicación maliciosa logra instalarse y obtener permisos de accesibilidad, el proceso de eliminación puede ser más complejo.

El método recomendado para desinstalar el malware consiste en reiniciar el teléfono en modo seguro, una función que desactiva temporalmente todas las aplicaciones de terceros.

Para acceder a este modo, el usuario debe mantener pulsado el botón de encendido, seleccionar la opción de apagado y confirmar el reinicio seguro (el procedimiento puede variar según el fabricante del dispositivo). Una vez en modo seguro, es posible eliminar manualmente la aplicación desde el menú de ajustes sin interferencias.