🚨 PROMPTFLUX: el malware que se reescribe solo usando la IA de Google Gemini

¿Imaginas un malware que cambia su propio código cada hora para evitar ser detectado?
Eso ya no es ciencia ficción. Se llama PROMPTFLUX, y marca el inicio de una nueva era en la ciberseguridad: la de los malware impulsados por inteligencia artificial.

🧠 Un malware que piensa (y se reescribe)

Google descubrió este experimento en la red: un código malicioso escrito en Visual Basic Script (VBScript) que se conecta directamente a la API de Gemini, el modelo de IA de Google.
Su truco es simple pero brillante: cada hora le pide a Gemini que reescriba su propio código, aplicando técnicas de ofuscación distintas para que ningún antivirus lo reconozca por firma o patrón estático.

El módulo llamado “Thinking Robot” envía instrucciones precisas al modelo —sin pedir explicaciones ni formato adicional— para recibir solo el nuevo código funcional.
Esto le permite mutar de manera constante, como un virus biológico que desarrolla resistencia ante los sistemas de detección.

🧩 Persistencia y propagación

PROMPTFLUX guarda las versiones modificadas en la carpeta de inicio de Windows, garantizando su persistencia.
Además, se propaga automáticamente copiándose a unidades USB y carpetas compartidas en red, lo que podría afectar entornos corporativos con permisos abiertos o equipos mal segmentados.

Una versión más avanzada incluso integra la rutina de reescritura directamente dentro del código del malware, regenerándose por completo cada hora: payload, funciones y hasta las claves API incluidas.
El resultado: un código vivo, cambiante y prácticamente indetectable con los métodos tradicionales.

💰 ¿Quién está detrás?

Aunque aún no hay infecciones confirmadas, Google sospecha de un actor con motivaciones financieras que busca ataques masivos, sin importar país o industria.
Y lo más preocupante no es PROMPTFLUX en sí, sino lo que representa: una nueva generación de amenazas “autónomas” impulsadas por IA.

⚙️ Lo que debes tomar en cuenta como profesional de TI

Si trabajas en soporte, desarrollo o administración de sistemas, esto te afecta directamente:

• Los antivirus basados en firmas ya no bastan.

• Necesitas adoptar soluciones con detección por comportamiento y análisis en tiempo real.

• Los entornos Windows y las redes compartidas son especialmente vulnerables si no se aíslan correctamente.

• Las políticas de ejecución de scripts y el monitoreo de tráfico API deben ser prioridad.

🧩 Una tendencia que no para

PROMPTFLUX no está solo. Google también ha identificado variantes como FRUITSHELL, PROMPTLOCK y QUIETVAULT, todos con algo en común: usan modelos de lenguaje para evolucionar su código o mejorar su persistencia.

Estamos viendo el inicio de una guerra entre IA buena e IA maliciosa, donde las herramientas que usamos para protegernos también podrían ser usadas para atacarnos.

🛡️ Conclusión

La llegada de malware como PROMPTFLUX nos obliga a repensar la ciberseguridad desde cero.
Ya no basta con actualizar firmas o bloquear puertos: ahora hay que entender cómo piensa la IA y cómo puede usar nuestras propias herramientas en nuestra contra.

El futuro del malware no solo se programa… se entrena.