Falsa herramienta de inteligencia artificial estaría siendo usada para infiltrar computadores y ejecutar ciberataques

Investigadores de Sophos X-Ops descubrieron una campaña que aprovecha el auge de la
inteligencia artificial para engañar a usuarios y empresas mediante un falso sitio de Claude AI

Bogotá, mayo de 2026. La popularidad de las herramientas de inteligencia artificial se ha
convertido en una nueva oportunidad para los ciberdelincuentes. Investigadores de
Sophos alertaron sobre una sofisticada campaña maliciosa que utiliza una página falsa de
Claude AI, el conocido asistente de IA de Anthropic, para distribuir malware, utilizando
anuncios patrocinados y técnicas de SEO poisoning para engañar a usuarios y
organizaciones.
La inteligencia artificial se ha convertido en parte de la vida diaria de millones de personas
en Colombia y el mundo. De acuerdo con el estudio Our Life with AI de Ipsos y Google,
más del 40% de las personas en Latinoamérica ya utilizaron herramientas de inteligencia
artificial en el último año, una tendencia que también está siendo aprovechada por
ciberdelincuentes para lanzar nuevas campañas de fraude y malware.
De acuerdo con el más reciente análisis de Sophos X-Ops, los atacantes crearon un sitio
fraudulento denominado “claude-pro[.]com”, diseñado para imitar visualmente la página
legítima de Claude, una plataforma de inteligencia artificial generativa utilizada para
asistentes conversacionales y automatización de tareas. A través de descargas
aparentemente legítimas, la campaña instala malware capaz de abrir puertas traseras
(backdoors) en los equipos comprometidos.
Lo que inicialmente parecía ser una campaña tradicional vinculada al malware PlugX,
terminó revelando un hallazgo más preocupante: los investigadores identificaron un
backdoor previamente no documentado, al que denominaron “Beagle”.
“Los ciberdelincuentes están aprovechando rápidamente el interés global en herramientas
de inteligencia artificial para desarrollar campañas cada vez más convincentes y
peligrosas. Este caso demuestra cómo técnicas clásicas de malware están evolucionando
para adaptarse al boom de la IA”, señaló Sophos X-Ops.
Malware disfrazado de software legítimo
La investigación reveló que la campaña utiliza componentes legítimos y firmados
digitalmente de software antivirus para evadir mecanismos de seguridad. Entre las
técnicas identificadas destacan:
 DLL sideloading

 Malware cargado directamente en memoria mediante Donut Loader
 Uso de archivos firmados para aparentar legitimidad
 Infraestructura maliciosa disfrazada de proveedores de seguridad
El archivo distribuido desde la página falsa instala varios componentes sospechosos en el
sistema, incluyendo archivos como:
 NOVupdate.exe
 avk.dll
 NOVupdate.exe.dat
Posteriormente, el malware establece comunicación con servidores de comando y control
(C2), permitiendo a los atacantes ejecutar comandos remotos, descargar archivos,
manipular directorios y mantener persistencia en los dispositivos infectados.
El auge de la IA también impulsa nuevas amenazas
Sophos advirtió que los ciberdelincuentes están capitalizando la enorme conversación
pública alrededor de plataformas de inteligencia artificial como Claude, ChatGPT y otras
herramientas generativas para lanzar campañas de malvertising y phishing más efectivas.
Además, los investigadores detectaron múltiples dominios sospechosos relacionados con
marcas de ciberseguridad reconocidas, incluyendo referencias falsas a empresas como
CrowdStrike, SentinelOne y Trellix, lo que sugiere una operación más amplia y en
evolución.
Recomendaciones para empresas y usuarios colombianos
Ante este panorama, Sophos recomienda:
 Descargar herramientas de IA únicamente desde sitios oficiales
 Evitar hacer clic en anuncios patrocinados o resultados sospechosos en buscadores
 Verificar cuidadosamente URLs antes de descargar software
 Monitorear conexiones hacia dominios sospechosos relacionados con esta
campaña
 Mantener soluciones de ciberseguridad actualizadas
La investigación completa puede consultarse en el blog oficial de Sophos: Sophos X-Ops
Research Blog

Acerca de Sophos
Sophos es un líder global e innovador en soluciones avanzadas de seguridad para combatir ciberataques. La compañía
adquirió Secureworks en febrero de 2025, uniendo a dos pioneros que han redefinido la industria de la ciberseguridad
con servicios, tecnologías y productos innovadores optimizados con IA nativa. Sophos es ahora el mayor proveedor
independiente de Managed Detection and Response (MDR), brindando soporte a más de 28 mil organizaciones.
Además de MDR y otros servicios, el portafolio completo de Sophos incluye seguridad líder en la industria para
endpoints, redes, correo electrónico y entornos en la nube, integradas y adaptativas a través de la
plataforma Sophos Central. Secureworks aporta su innovador Taegis XDR/MDR, detección y respuesta ante amenazas de
identidad (ITDR), capacidades de SIEM de próxima generación, gestión de riesgos y un conjunto completo de servicios de
asesoría.
Sophos distribuye todas estas soluciones a través de socios de canal, Managed Service Providers (MSPs) y Managed
Security Service Providers (MSSPs) en todo el mundo, protegiendo a más de 600 mil organizaciones contra el phishing, el
ransomware, el robo de datos y otros delitos cibernéticos cotidianos o patrocinados. Sus soluciones están impulsadas
por inteligencia de amenazas en tiempo real e histórica de Sophos X-Ops y la recién añadida Counter Threat Unit (CTU).
Sophos tiene su sede en Oxford, Reino Unido. Para más información, visita www.sophos.com.