{"id":1860,"date":"2026-02-26T08:02:00","date_gmt":"2026-02-26T07:02:00","guid":{"rendered":"https:\/\/techy44.okdiario.com\/?p=1860"},"modified":"2026-02-26T09:02:10","modified_gmt":"2026-02-26T08:02:10","slug":"eset-alerta-sobre-promptspy-el-primer-malware-android-que-usa-ia-generativa-para-leer-tu-pantalla-y-volverse-casi-imposible-de-cerrar","status":"publish","type":"post","link":"https:\/\/okdiario.com\/techy\/eset-alerta-sobre-promptspy-el-primer-malware-android-que-usa-ia-generativa-para-leer-tu-pantalla-y-volverse-casi-imposible-de-cerrar\/1860\/","title":{"rendered":"ESET alerta sobre PromptSpy: el primer malware Android que usa IA generativa para \u201cleer\u201d tu pantalla y volverse casi imposible de cerrar"},"content":{"rendered":"\n

La amenaza, detectada por ESET, combina automatizaci\u00f3n con Gemini y control remoto por VNC en una campa\u00f1a que apunta a Argentina y se camufla como \u201cMorganArg\u201d<\/em><\/p>\n\n\n\n

En el radar de la seguridad m\u00f3vil acaba de aparecer una novedad inc\u00f3moda. PromptSpy<\/strong>, un malware para Android<\/strong> identificado por ESET<\/strong>, es el primer caso documentado en el que una pieza maliciosa incorpora IA generativa<\/strong> dentro de su propio flujo de ejecuci\u00f3n para lograr algo muy concreto: aguantar en el dispositivo y resistir intentos de cierre o desinstalaci\u00f3n<\/strong>.<\/p>\n\n\n\n

\n
\n
\n

Lea tambi\u00e9n: Palo Alto avisa: viene una era donde el riesgo no se mide solo en datos robados, se mide en confianza, econom\u00eda y seguridad a escala pa\u00eds<\/a><\/h4>\n<\/div>\n<\/div><\/div>\n<\/div>\n\n\n\n

El salto no est\u00e1 en que un delincuente \u201cuse IA\u201d para escribir c\u00f3digo, sino en la forma de operar. Seg\u00fan los investigadores (se puede consultar en este enlace<\/a>), PromptSpy se apoya en Gemini<\/strong> para interpretar lo que sucede en pantalla y generar indicaciones que le permitan mantenerse activo, por ejemplo qued\u00e1ndose fijado en la vista de aplicaciones recientes. Esa capa a\u00f1ade una ventaja pr\u00e1ctica para el atacante: la amenaza se adapta a interfaces y versiones<\/strong> con menos fricci\u00f3n que el malware tradicional, que suele romperse cuando cambia el dise\u00f1o o el flujo de men\u00fas.<\/p>\n\n\n\n

La IA como \u201ccopiloto\u201d para manipular la interfaz<\/h2>\n\n\n\n

En el enfoque de ESET, PromptSpy utiliza la IA generativa para navegar la interfaz<\/strong> de Android de forma contextual. Esa idea, que en una app leg\u00edtima se traducir\u00eda en accesibilidad o automatizaci\u00f3n, aqu\u00ed se convierte en una t\u00e9cnica para ganar persistencia y para dificultar que el usuario lo expulse del tel\u00e9fono.<\/p>\n\n\n\n

\n
\n
\n

Lea tambi\u00e9n: PlayStation 6 podr\u00eda no llegar en 2027 y el motivo no es un juego ni una estrategia de Sony, es la guerra por la memoria que est\u00e1 provocando la IA<\/a><\/h4>\n<\/div>\n<\/div><\/div>\n<\/div>\n\n\n\n

El propio investigador de ESET Luk\u00e1\u0161 \u0160tefanko resume el riesgo con una frase que marca tendencia. \u00abDado que el malware para Android suele depender de la navegaci\u00f3n por la interfaz, aprovechar la IA generativa permite a los atacantes adaptarse a casi cualquier dispositivo, dise\u00f1o o versi\u00f3n del sistema operativo\u00bb.<\/p>\n\n\n\n

En la pr\u00e1ctica, esa adaptaci\u00f3n significa menos necesidad de \u201cafinar\u201d variantes para cada m\u00f3vil y m\u00e1s capacidad de funcionar en entornos heterog\u00e9neos, justo donde Android siempre ha sido un ecosistema especialmente amplio.<\/p>\n\n\n\n

Control remoto, robo de informaci\u00f3n y una pista geogr\u00e1fica clara<\/h2>\n\n\n\n

La persistencia es solo el andamiaje. El n\u00facleo del problema, seg\u00fan ESET, es que PromptSpy<\/a> despliega un m\u00f3dulo VNC<\/strong> que permite al operador ver y manejar la pantalla<\/strong> del dispositivo infectado como si lo tuviera en la mano. Entre sus capacidades documentadas figuran la captura de datos visibles incluso con el terminal bloqueado, la toma de capturas y grabaciones, y el uso de Servicios de Accesibilidad<\/strong> para bloquear acciones del usuario mediante superposiciones invisibles<\/strong> que complican la desinstalaci\u00f3n.<\/p>\n\n\n\n

\n
\n
\n

Lea tambi\u00e9n: Intel estima que m\u00e1s de la mitad de los PCs enviados en 2026 ser\u00e1n AI-enabled, marcando una nueva era de ordenadores inteligentes<\/a><\/h4>\n<\/div>\n<\/div><\/div>\n<\/div>\n\n\n\n

ESET tambi\u00e9n describe comunicaciones con el servidor de mando y control protegidas con cifrado AES<\/strong>, un detalle coherente con una amenaza pensada para operar con discreci\u00f3n y mantener un canal estable con sus operadores.<\/p>\n\n\n\n

En cuanto a la distribuci\u00f3n, los indicios apuntan a una campa\u00f1a con foco en Argentina<\/strong>. El malware se propaga desde un sitio dedicado y se presenta bajo el nombre MorganArg<\/strong>, con un icono similar al de una entidad financiera conocida, un patr\u00f3n cl\u00e1sico de suplantaci\u00f3n para mejorar la tasa de instalaci\u00f3n. ESET subraya adem\u00e1s que no ha estado en Google Play<\/strong>, lo que sugiere una difusi\u00f3n limitada o dirigida, m\u00e1s cercana a una operaci\u00f3n acotada que a una oleada masiva.<\/p>\n\n\n\n

El caso importa por lo que anticipa. Si la IA generativa ya puede usarse como \u201cint\u00e9rprete\u201d de pantallas para mantener malware vivo dentro del sistema, la frontera entre automatizaci\u00f3n leg\u00edtima y automatizaci\u00f3n maliciosa se vuelve m\u00e1s fina. Y, en ese terreno, la seguridad m\u00f3vil<\/strong> deja de depender solo de firmas y permisos. Empieza a depender tambi\u00e9n de c\u00f3mo se controla el abuso de la interfaz, la accesibilidad y los canales que permiten convertir un tel\u00e9fono en un escritorio remoto.<\/p>\n","protected":false},"excerpt":{"rendered":"

La amenaza, detectada por ESET, combina automatizaci\u00f3n con Gemini y control remoto por VNC en una campa\u00f1a que apunta a … <\/p>\n

Read more<\/a><\/p>\n","protected":false},"author":3,"featured_media":1863,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-1860","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","resize-featured-image"],"_links":{"self":[{"href":"https:\/\/okdiario.com\/techy\/wp-json\/wp\/v2\/posts\/1860","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/okdiario.com\/techy\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/okdiario.com\/techy\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/okdiario.com\/techy\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/okdiario.com\/techy\/wp-json\/wp\/v2\/comments?post=1860"}],"version-history":[{"count":3,"href":"https:\/\/okdiario.com\/techy\/wp-json\/wp\/v2\/posts\/1860\/revisions"}],"predecessor-version":[{"id":1908,"href":"https:\/\/okdiario.com\/techy\/wp-json\/wp\/v2\/posts\/1860\/revisions\/1908"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/okdiario.com\/techy\/wp-json\/wp\/v2\/media\/1863"}],"wp:attachment":[{"href":"https:\/\/okdiario.com\/techy\/wp-json\/wp\/v2\/media?parent=1860"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/okdiario.com\/techy\/wp-json\/wp\/v2\/categories?post=1860"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/okdiario.com\/techy\/wp-json\/wp\/v2\/tags?post=1860"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}