Así se infiltra el malware moderno: desde tus chats con IA hasta Visual Studio Code
Resumen del día
Ataques invisibles, spyware sin clics y extensiones creadas con inteligencia artificial están redefiniendo las amenazas digitales.
En esta edición analizamos cómo el código malicioso se camufla en las herramientas que usamos todos los días.
🧠 El problema: la privacidad no termina con el cifradoMicrosoft presentó un estudio sobre un ataque llamado “Whisper Leak”, capaz de revelar los temas de una conversación con un modelo de lenguaje (LLM) como los de OpenAI, Mistral o xAI, incluso si el tráfico está cifrado.No se trata de leer los mensajes directamente, sino de algo más sutil: analizar los patrones del tráfico.
Un atacante que esté observando la red —como alguien conectado al mismo Wi-Fi, tu ISP o un actor estatal— puede analizar el tamaño y el ritmo con el que se envían los paquetes de datos mientras la IA responde en tiempo real.Con esos datos, y aplicando machine learning, logran adivinar con más del 98 % de precisión el tema de la conversación, por ejemplo si se habla de lavado de dinero,...
🧨 Un exploit invisible: CVE-2025-21042Investigadores de Palo Alto Networks (Unit 42) revelaron la existencia de LANDFALL, un spyware que aprovechó una vulnerabilidad zero-day (CVE-2025-21042) en dispositivos Samsung Galaxy.
El fallo estaba en la biblioteca libimagecodec.quram.so, responsable del procesamiento de imágenes.El ataque era tan silencioso que bastaba con recibir una imagen DNG maliciosa por WhatsApp para ser comprometido.
Ni clics, ni descargas, ni permisos: un clásico ataque zero-click.🎯 Qué hacía LANDFALL una vez dentroUna vez infectado, el dispositivo quedaba completamente bajo control del atacante.
El spyware podía:
Activar el micrófono y grabar conversaciones.
Rastrear la ubicación GPS del usuario.
Extraer fotos, contactos, mensajes y...
🧩 El caso “susvsex”En noviembre de 2025, Microsoft eliminó del marketplace una extensión maliciosa para Visual Studio Code llamada “susvsex”, diseñada con ayuda de inteligencia artificial.
Los analistas la clasificaron como “vibe-coded”, un nuevo término para malware parcialmente generado o mejorado con IA.Lo más inquietante: la extensión se presentaba como una utilidad inofensiva, con una descripción mínima, pero incluía funciones de ransomware integradas.🧠 Cómo funcionaba el ataqueAl instalarse, “susvsex” activaba automáticamente un conjunto de procesos:
Comprimía y subía archivos desde una carpeta de prueba.
Los cifraba, dejando versiones bloqueadas en su lugar.
Usaba GitHub como servidor de comando y control (C2), leyendo instrucciones...
