Ciencia y Tecnología
Alguien ha creado el primer malware avanzado completo vibecodeando con IA. Se llama Voidlink y deja una pregunta importante
<p>
 <img src="https://i.blogs.es/f40b9b/malware-ia-portada/1024_2000.jpeg" alt="Alguien ha creado el primer malware avanzado completo vibecodeando con IA. Se llama Voidlink y deja una pregunta importante">
 </p>
<p>Durante mucho tiempo, desarrollar <a class="text-outboundlink" href="https://www.xataka.com/basics/malware-que-que-tipos-hay-como-evitarlos" data-vars-post-title="Malware: qué es, qué tipos hay y cómo evitarlos" data-vars-post-url="https://www.xataka.com/basics/malware-que-que-tipos-hay-como-evitarlos">malware</a> avanzado parecía reservado a actores con experiencia, tiempo y una capacidad técnica considerable, sobre todo en un entorno en el que los sistemas operativos y muchas plataformas han ido endureciendo sus defensas. Pero el tablero está cambiando. Lo que hemos visto en los últimos años es que la inteligencia artificial no solo sirve para resumir textos o responder dudas, también puede acelerar de forma muy visible la <strong>creación de software</strong> cuando se le dan instrucciones precisas. Y eso nos deja frente a una realidad difícil de ignorar: la misma herramienta que simplifica tareas legítimas también puede rebajar parte del esfuerzo necesario para crear código malicioso.</p>
<p><!-- BREAK 1 --></p>
<p>Ese cambio empieza a tomar forma concreta con VoidLink. <a rel="noopener, noreferrer" href="https://research.checkpoint.com/2026/voidlink-early-ai-generated-malware-framework/">En su análisis</a>, Check Point lo presenta como una de las evidencias más sólidas hasta ahora de malware avanzado desarrollado en gran medida con ayuda de IA Hay, eso sí, un matiz importante en la propia investigación: la compañía asegura que lo detectó en una fase temprana, que no llegó a desplegarse contra víctimas y que no se utilizó en ataques activos. Pero precisamente por eso el hallazgo resulta tan revelador, porque permitió acceder a materiales de desarrollo que rara vez salen a la luz.</p>
<h2>Cómo se construyó VoidLink y por qué cambia el tablero</h2>
<p>VoidLink no era, al menos sobre el papel, una pieza menor ni un experimento rudimentario. La firma de ciberseguridad lo describe como un framework de malware para Linux con una arquitectura modular, pensado para mantener <strong>acceso sigiloso y prolongado</strong> en entornos cloud. En su análisis menciona componentes como rootkits eBPF y LKM, además de módulos específicos para enumeración en la nube y actividades posteriores en entornos con contenedores. Ese nivel de madurez es justo lo que lo separa de otros casos anteriores asociados a código más simple.</p>
<p><!-- BREAK 2 --></p>
<div class="article-asset-video article-asset-normal">
<div class="asset-content">
<div class="base-asset-video">
<div class="js-dailymotion"></div>
</p></div>
</p></div>
</div>
<p>Uno de los giros más llamativos del caso está en quién parece haber estado detrás. Check Point explica que, por su estructura interna y por el ritmo de evolución observado, VoidLink daba la impresión de haber salido de un equipo amplio, con perfiles distintos y un plan de trabajo bastante definido. Pero los indicios recopilados por la firma apuntan a algo muy diferente: un único actor que, según la investigación, habría contado con apoyo de IA durante distintas fases del desarrollo. Además hay otro elemento relevante: ese actor no sería un novato, sino alguien con base técnica sólida y recorrido previo en ciberseguridad.</p>
<p><!-- BREAK 3 --></p>
<div class="article-asset-image article-asset-normal article-asset-center">
<div class="asset-content">
<div class="caption-img ">
<p> <img alt="Voidlink" class="centro_sinmarco" src="https://i.blogs.es/0c72d1/voidlink/450_1000.png"></p>
<p> <span>Reconstrucción del flujo de trabajo atribuido a VoidLink | Imagen: Check Point</span>
 </div>
</p></div>
</div>
<p>La parte más reveladora del caso está en cómo se habría levantado el proyecto. La firma describe un método de trabajo basado en lo que llama Spec Driven Development que funciona de la siguiente manera:</p>
<p><!-- BREAK 4 --></p>
<ol>
<li value="1">Se define qué se quiere construir.</li>
<li value="2">Se traduce esa idea en arquitectura, tareas, sprints y criterios de entrega.</li>
<li value="3">Se delega la implementación en el modelo.</li>
</ol>
<p>En los materiales expuestos aparecieron planes de desarrollo, documentación técnica, normas de codificación, guías de despliegue y pruebas, además de una organización por equipos y fases que sostiene ese modelo. Uno de los artefactos recuperados, fechado el 4 de diciembre de 2025, sugiere además que VoidLink ya había alcanzado una fase funcional en menos de una semana y superaba las <strong>88.000 líneas de código</strong>.</p>
<div class="article-asset article-asset-normal article-asset-center">
<div class="desvio-container">
<div class="desvio">
<div class="desvio-figure js-desvio-figure">
 <a href="https://www.xataka.com/seguridad/basic-fit-ha-sufrido-ciberataque-que-afecta-a-cerca-millon-clientes-nombres-datos-bancarios-comprometidos" class="pivot-outboundlink" data-vars-post-title="Basic-Fit ha sufrido un ciberataque que afecta a cerca de un millón de clientes: nombres y datos bancarios, comprometidos"><br />
 <img alt="Basic-Fit ha sufrido un ciberataque que afecta a cerca de un millón de clientes: nombres y datos bancarios, comprometidos" width="375" height="142" src="https://i.blogs.es/c3570b/hackeo-basic-fit-portada/375_142.jpeg"><br />
 </a>
 </div>
<div class="desvio-summary">
<div class="desvio-taxonomy js-desvio-taxonomy">
 <a href="https://www.xataka.com/seguridad/basic-fit-ha-sufrido-ciberataque-que-afecta-a-cerca-millon-clientes-nombres-datos-bancarios-comprometidos" class="desvio-taxonomy-anchor pivot-outboundlink" data-vars-post-title="Basic-Fit ha sufrido un ciberataque que afecta a cerca de un millón de clientes: nombres y datos bancarios, comprometidos">En Xataka</a>
 </div>
<p> <a href="https://www.xataka.com/seguridad/basic-fit-ha-sufrido-ciberataque-que-afecta-a-cerca-millon-clientes-nombres-datos-bancarios-comprometidos" class="desvio-title js-desvio-title pivot-outboundlink" data-vars-post-title="Basic-Fit ha sufrido un ciberataque que afecta a cerca de un millón de clientes: nombres y datos bancarios, comprometidos">Basic-Fit ha sufrido un ciberataque que afecta a cerca de un millón de clientes: nombres y datos bancarios, comprometidos</a>
 </div>
</p></div>
</p></div>
</div>
<p>Ahí está, precisamente, lo que separa a VoidLink de otros precedentes. Check Point sostiene que se trata de la evidencia más sólida de un malware creado casi en su totalidad con la ayuda de IA. “Este es el primer caso confirmado de malware avanzado generado por IA, creado con la velocidad, la estructura y la sofisticación de una organización de ingeniería completa”, <a rel="noopener, noreferrer" href="https://www.linkedin.com/posts/check-point-software-technologies_voidlink-the-first-ai-generated-malware-activity-7419394054938898433-WSNT">afirma la compañía</a>. La pregunta ahora es hasta dónde pueden llegar los actores maliciosos con este tipo de técnicas.</p>
<p><!-- BREAK 5 --></p>
<p>Imágenes | Xataka con Nano Banana | Check Point </p>
<p>En Xataka | <a class="text-outboundlink" href="https://www.xataka.com/seguridad/booking-ha-sido-hackeado-creias-que-phishing-era-peligroso-espera-a-ver-ataques-phishing-seguimiento" data-vars-post-title='El hackeo de Booking es algo más inquietante: los ataques de "phishing de seguimiento" han llegado para quedarse' data-vars-post-url="https://www.xataka.com/seguridad/booking-ha-sido-hackeado-creias-que-phishing-era-peligroso-espera-a-ver-ataques-phishing-seguimiento">El hackeo de Booking es algo más inquietante: los ataques de "phishing de seguimiento" han llegado para quedarse</a></p>
<p> &#8211; <br /> La noticia<br />
 <a href="https://www.xataka.com/seguridad/alguien-ha-creado-primer-malware-avanzado-completo-vibecodeando-ia-se-llama-voidlink-deja-pregunta-importante?utm_source=feedburner&;utm_medium=feed&;utm_campaign=14_Apr_2026"><br />
 <em> Alguien ha creado el primer malware avanzado completo vibecodeando con IA. Se llama Voidlink y deja una pregunta importante </em><br />
 </a><br />
 fue publicada originalmente en<br />
 <a href="https://www.xataka.com/?utm_source=feedburner&;utm_medium=feed&;utm_campaign=14_Apr_2026"><br />
 <strong> Xataka </strong><br />
 </a><br />
 por <a href="https://www.xataka.com/autor/javier-marquez?utm_source=feedburner&;utm_medium=feed&;utm_campaign=14_Apr_2026"><br />
 Javier Marquez<br />
 </a><br />
 . </p>
<p> Durante mucho tiempo, desarrollar malware avanzado parecía reservado a actores con experiencia, tiempo y una capacidad técnica considerable, sobre todo en un entorno en el que los sistemas operativos y muchas plataformas han ido endureciendo sus defensas. Pero el tablero está cambiando. Lo que hemos visto en los últimos años es que la inteligencia artificial no solo sirve para resumir textos o responder dudas, también puede acelerar de forma muy visible la creación de software cuando se le dan instrucciones precisas. Y eso nos deja frente a una realidad difícil de ignorar: la misma herramienta que simplifica tareas legítimas también puede rebajar parte del esfuerzo necesario para crear código malicioso.<br />
Ese cambio empieza a tomar forma concreta con VoidLink. En su análisis, Check Point lo presenta como una de las evidencias más sólidas hasta ahora de malware avanzado desarrollado en gran medida con ayuda de IA Hay, eso sí, un matiz importante en la propia investigación: la compañía asegura que lo detectó en una fase temprana, que no llegó a desplegarse contra víctimas y que no se utilizó en ataques activos. Pero precisamente por eso el hallazgo resulta tan revelador, porque permitió acceder a materiales de desarrollo que rara vez salen a la luz.<br />
Cómo se construyó VoidLink y por qué cambia el tablero<br />
VoidLink no era, al menos sobre el papel, una pieza menor ni un experimento rudimentario. La firma de ciberseguridad lo describe como un framework de malware para Linux con una arquitectura modular, pensado para mantener acceso sigiloso y prolongado en entornos cloud. En su análisis menciona componentes como rootkits eBPF y LKM, además de módulos específicos para enumeración en la nube y actividades posteriores en entornos con contenedores. Ese nivel de madurez es justo lo que lo separa de otros casos anteriores asociados a código más simple.</p>
<p>Uno de los giros más llamativos del caso está en quién parece haber estado detrás. Check Point explica que, por su estructura interna y por el ritmo de evolución observado, VoidLink daba la impresión de haber salido de un equipo amplio, con perfiles distintos y un plan de trabajo bastante definido. Pero los indicios recopilados por la firma apuntan a algo muy diferente: un único actor que, según la investigación, habría contado con apoyo de IA durante distintas fases del desarrollo. Además hay otro elemento relevante: ese actor no sería un novato, sino alguien con base técnica sólida y recorrido previo en ciberseguridad.</p>
<p> Reconstrucción del flujo de trabajo atribuido a VoidLink | Imagen: Check Point</p>
<p>La parte más reveladora del caso está en cómo se habría levantado el proyecto. La firma describe un método de trabajo basado en lo que llama Spec Driven Development que funciona de la siguiente manera:</p>
<p>Se define qué se quiere construir.Se traduce esa idea en arquitectura, tareas, sprints y criterios de entrega.Se delega la implementación en el modelo.En los materiales expuestos aparecieron planes de desarrollo, documentación técnica, normas de codificación, guías de despliegue y pruebas, además de una organización por equipos y fases que sostiene ese modelo. Uno de los artefactos recuperados, fechado el 4 de diciembre de 2025, sugiere además que VoidLink ya había alcanzado una fase funcional en menos de una semana y superaba las 88.000 líneas de código.</p>
<p> En Xataka</p>
<p> Basic-Fit ha sufrido un ciberataque que afecta a cerca de un millón de clientes: nombres y datos bancarios, comprometidos</p>
<p>Ahí está, precisamente, lo que separa a VoidLink de otros precedentes. Check Point sostiene que se trata de la evidencia más sólida de un malware creado casi en su totalidad con la ayuda de IA. “Este es el primer caso confirmado de malware avanzado generado por IA, creado con la velocidad, la estructura y la sofisticación de una organización de ingeniería completa”, afirma la compañía. La pregunta ahora es hasta dónde pueden llegar los actores maliciosos con este tipo de técnicas.<br />
Imágenes | Xataka con Nano Banana | Check Point <br />
En Xataka | El hackeo de Booking es algo más inquietante: los ataques de "phishing de seguimiento" han llegado para quedarse</p>
<p> &#8211; La noticia</p>
<p> Alguien ha creado el primer malware avanzado completo vibecodeando con IA. Se llama Voidlink y deja una pregunta importante </p>
<p> fue publicada originalmente en</p>
<p> Xataka </p>
<p> por<br />
 Javier Marquez</p>
<p> . </p>