Durante el evento Kaspersky Horizons celebrado ayer en Madrid, los expertos del equipo Global de Investigación y Análisis (GReAT) de la compañía desvelaron el funcionamiento interno de FunkSec, un grupo de ransomware que representa el futuro del cibercrimen a gran escala: impulsado por inteligencia artificial (IA), multifuncional, altamente adaptable y orientado al volumen, con rescates que en algunos casos no superan los 10.000 dólares, una estrategia pensada para maximizar beneficios.
Los ataques cibernéticos, en alza
El equipo GReAT de Kaspersky monitoriza de forma continua el panorama de ciberamenazas relacionadas con el ransomware, donde los ataques siguen aumentando. Según el último Estado del Ransomware 2025 elaborado por la empresa, el porcentaje de usuarios afectados por este tipo de ataques a nivel mundial subió hasta el 0,44 % entre 2023 y 2024, lo que supone un incremento global de apenas 0,02 puntos porcentuales y un 0,06 concretamente en Europa. Aunque esta cifra pueda parecer baja comparada con otras ciberamenazas, refleja que los ciberdelincuentes suelen centrarse en objetivos de alto valor en lugar de una distribución masiva, lo que convierte cada ataque en un incidente potencialmente devastador. Dentro de este panorama cambiante, FunkSec ha surgido como una amenaza especialmente preocupante.
FunkSec está activo desde finales de 2024, logrando superar rápidamente a actores más consolidados, dirigiéndose a sectores clave como el gubernamental, tecnológico, financiero y educativo en Europa y Asia. Lo que distingue a FunkSec es su sofisticada arquitectura técnica y el uso de IA para desarrollar sus herramientas. El grupo ha integrado un cifrado a gran escala y una exfiltración agresiva de datos en un único ejecutable basado en lenguaje Rust, capaz de desactivar más de 50 procesos en los equipos infectados, e incluye funciones de autolimpieza para evitar ser detectado. Además del ransomware en sí, FunkSec ha ampliado su arsenal con un generador de contraseñas y una herramienta básica de DDoS, ambos con indicios claros de haber sido creados mediante modelos de lenguaje generativos (LLMs).
La estrategia de FunkSec refleja la transformación del cibercrimen masivo, al combinar herramientas y tácticas avanzadas. Los expertos de GReAT destacan los principales elementos que definen su modo de operar:
- Funcionalidad controlada por contraseña. El ransomware de FunkSec incorpora un mecanismo único basado en contraseñas que determina cómo se comporta el malware. Si no se introduce ninguna contraseña, solo cifra archivos de forma básica. Sin embargo, al introducir una contraseña válida, se activa un modo más agresivo que además del cifrado lleva a cabo la exfiltración de datos sensibles. FunkSec combina cifrado completo, exfiltración local y autolimpieza en un único archivo ejecutable en lenguaje Rust, sin necesidad de cargadores auxiliares ni scripts complementarios. Este nivel de integración es poco común y proporciona a sus afiliados una herramienta lista para usar, fácil de desplegar en distintos entornos.
- Uso de IA en el desarrollo. El análisis del código revela que FunkSec emplea IA generativa para crear sus herramientas. Muchas partes del código parecen haber sido generadas automáticamente en lugar de programadas manualmente. Algunos indicios de esto son los comentarios genéricos como “placeholder for actual check” y ciertas inconsistencias técnicas, por ejemplo, comandos dirigidos a distintos sistemas operativos que no encajan entre sí. También se han detectado funciones declaradas, pero nunca utilizadas, como módulos incluidos desde el inicio pero que no se llegan a ejecutar, lo cual refleja cómo los LLMs pueden combinar fragmentos de código sin eliminar elementos redundantes.
“Cada vez vemos más ciberdelincuentes que aprovechan la IA para desarrollar herramientas maliciosas. La IA generativa reduce las barreras de entrada y acelera la creación de malware, lo que permite a los ciberdelincuentes adaptar sus tácticas con rapidez. Al facilitar el acceso, incluso atacantes con poca experiencia pueden desarrollar malware sofisticado a gran escala”, afirma Marc Rivero, Lead Security Researcher at Kaspersky’s GReAT.
Estrategia de bajo rescate y alto volumen
FunkSec exige rescates sorprendentemente bajos, en algunos casos de apenas 10.000 dólares, y además complementa esto con la venta de datos robados a terceros a precios reducidos. Esta táctica parece diseñada para facilitar un gran volumen de ciberataques y así afianzar su reputación rápidamente en los círculos delictivos. A diferencia de los grupos de ransomware tradicionales que buscan rescates millonarios, FunkSec apuesta por un modelo de alta frecuencia y bajo coste, donde el uso de la IA resulta clave para automatizar y escalar sus operaciones.
El grupo ha ido más allá del archivo principal de ransomware y ha ampliado sus capacidades. En su sitio de filtraciones en la dark web (DLS), ofrecen herramientas adicionales, como un generador de contraseñas en Python para realizar ciberataques de fuerza bruta o password spraying, y también una herramienta básica de DDoS.
Por último, FunkSec utiliza métodos sofisticados para evitar ser detectado y dificultar el análisis forense. El ransomware es capaz de detener más de 50 procesos y servicios con el fin de asegurar un cifrado completo de los archivos en su punto de mira. También incluye un mecanismo de respaldo que permite ejecutar ciertos comandos, incluso cuando el usuario que activa el ciberataque no tiene privilegios suficientes.
