Los investigadores de seguridad han demostrado una técnica de ransomware solo para navegador que puede cifrar fotos de Android después de que un usuario concede acceso a una carpeta de un sitio web en Chrome.
El ataque no requiere una aplicación de Android, instalación de APK, acceso de root ni un exploit del navegador. De acuerdo aInvestigación de puntos de control, el riesgo proviene de la ingeniería social y de un permiso legítimo del navegador expuesto a través de la API de acceso al sistema de archivos.
La técnica se construyó en torno a una foto falsa de IA o un escalador de avatar. Se pide a la víctima que elija una carpeta para que el sitio pueda guardar una imagen "mejorada", pero la página web luego puede leer, modificar, cifrar o sobrescribir archivos dentro del directorio seleccionado.
Cómo funciona la técnica de ransomware sólo en navegador
El ataque comienza con una página web de apariencia normal. Puede pretender mejorar una foto de perfil, mejorar una imagen o generar un avatar mejorado con IA.
Cuando el usuario hace clic en el flujo de trabajo, la página solicita acceso a un archivo o carpeta. ElEspecificación de acceso al sistema de archivosdice que la API permite que las aplicaciones web interactúen con archivos en el dispositivo local de un usuario después de que se le otorga el permiso.
Una vez que el usuario aprueba el acceso a la carpeta, la página puede enumerar los archivos en esa carpeta seleccionada. En la prueba de concepto, la página apunta a directorios de imágenes y las cifra durante lo que parece ser un procesamiento de rutina.
| Etapa de ataque | Lo que ve la víctima | ¿Qué puede pasar detrás de la página? |
|---|---|---|
| Señuelo | Un avatar de IA falso o un escalador de fotos | El sitio prepara una solicitud de acceso al archivo. |
| Solicitud de permiso | Un mensaje del navegador solicitando acceso a la carpeta | El sitio recibe un identificador de la carpeta seleccionada. |
| Procesamiento falso | Una pantalla de progreso o un mensaje de mejora de la foto. | Los archivos en el directorio seleccionado se pueden leer y modificar. |
| Impacto | Una superposición o advertencia de estilo rescate | Las fotos pueden cifrarse, sobrescribirse o exfiltrarse |
Por qué las carpetas de fotos de Android son un objetivo importante
El riesgo de Android es grave porque las carpetas de fotos a menudo contienen mucho más que imágenes casuales. Muchos usuarios almacenan documentos de identidad, capturas de pantalla bancarias, recibos, imágenes de trabajo, códigos de recuperación, registros médicos y años de recuerdos privados en el mismo ecosistema de galería.
Check Point dijo que Chrome 132 trajo soporte de acceso al sistema de archivos a Android y WebView. APublicación de desarrollo de parpadeo de Chromiumde noviembre de 2024 también describió la API como habilitada para Android y WebView en M132.
Posteriormente, los investigadores probaron el concepto en varios dispositivos Android y dijeron que Chrome 148 permitía la selección del directorio de fotos, incluida la raíz de la carpeta DCIM. La superficie de ataque es más estrecha que el acceso completo al disco, pero el directorio de fotografías seleccionado aún puede contener datos muy confidenciales.
¿Qué lo diferencia del ransomware normal?
El ransomware tradicional suele depender de un archivo malicioso, una aplicación instalada, un exploit o un punto final comprometido. Este método exclusivo del navegador traslada el entorno de ejecución al propio navegador.
No es necesario que el sitio web salga del entorno limitado del navegador. Utiliza una función de plataforma web real después de que el usuario aprueba el acceso, lo que convierte el aviso en la decisión de seguridad clave.

Eso también complica la detección. Es posible que un usuario no piense que abrir una página web ejecuta malware, especialmente cuando la página nunca le pide que instale nada.
- No se requiere instalación de APK en Android.
- No se requiere acceso de root.
- No se requiere ninguna vulnerabilidad del navegador.
- La página depende del acceso a carpetas aprobado por el usuario.
- El señuelo puede parecer una herramienta normal de edición de fotografías o de mejora de IA.
La muestra generada por IA detrás del descubrimiento
La muestra original encontrada por los investigadores se llamó InfernoGrabber v9.0. Fue construido como una aplicación Python Flask que sirve una interfaz con temática de Discord que se hace pasar por un escalador de IA de avatar.
Check Point dijo que la muestra apareció durante una revisión de casi 3.000 archivos atribuidos a DeepSeek durante el año pasado. El archivo que se destacó utilizó el hash SHA-256 07c39f79ab92fb21557b82283472dce1c112f577d796111fb752c3c6d84c86b5.
La muestra no entregó de manera confiable todas las funciones maliciosas que afirmaba. Sin embargo, una parte importaba: conectaba un objetivo de estilo ransomware con métodos de selección de archivos del navegador que pueden solicitar acceso a archivos y carpetas locales.
| Artículo | Detalles |
|---|---|
| Nombre utilizado en la muestra | InfernoGrabber v9.0 |
| señuelo primario | Falso escalador de avatar AI con temática de Discord |
| tipo de muestra | Aplicación Python Flask con HTML y JavaScript integrados |
| API clave abusada | API de acceso al sistema de archivos |
| Uso observado en el mundo real | Los investigadores no informaron ninguna campaña salvaje confirmada |
La API de acceso al sistema de archivos es legítima pero sensible
La API de acceso al sistema de archivos existe por razones útiles. Es posible que los editores basados en web, las herramientas de desarrollo, las herramientas de imágenes y las aplicaciones de productividad necesiten abrir y guardar archivos locales con la aprobación del usuario.
Chrome también ha estado perfeccionando la experiencia de permisos. AChrome para desarrolladoresLa publicación explica cómo el acceso persistente de lectura y escritura puede reducir las solicitudes repetidas de aplicaciones confiables y, al mismo tiempo, brindar a los usuarios formas de revocar el acceso.

El riesgo aparece cuando un sitio desconocido utiliza un flujo de trabajo convincente para hacer que el acceso amplio a las carpetas parezca normal. Un editor de fotografías que solicita una carpeta de salida temporal es diferente de un sitio web aleatorio que solicita acceso a una biblioteca de fotografías principal.
El riesgo del navegador ya era conocido
El problema subyacente del navegador no apareció de la nada. ElAPI de acceso al sistema de archivosLa documentación en sí incluye consideraciones de seguridad relacionadas con malware y ransomware.
Los investigadores académicos también estudiaron esta clase de ataque antes. El documento de seguridad de USENIXRansomware en navegadores web modernosexaminó cómo las aplicaciones web maliciosas podrían abusar del acceso a los archivos del navegador para cifrar archivos locales.
La nueva preocupación es cómo la generación de código asistida por IA puede conectar una vaga solicitud maliciosa con una capacidad real del navegador. Esto reduce la barrera del conocimiento para los atacantes que tal vez no sepan que existe la API.
Los usuarios de Android deben tratar las indicaciones de carpetas con cuidado
Los usuarios deben tratar las indicaciones de acceso a las carpetas del navegador como decisiones de alto riesgo, especialmente en Android. Un mensaje que permite la edición de archivos puede brindarle a un sitio un control significativo sobre la carpeta seleccionada.
Los usuarios de Chrome pueden revisar y revocar el acceso a archivos a través de los controles del navegador y la configuración del sitio. ElGuía de permisos de Chromeseñala que el acceso se puede eliminar desde la interfaz del navegador cuando un sitio ya no lo necesita.
Los usuarios también deben evitar dar acceso a herramientas de inteligencia artificial desconocidas a carpetas que contengan fotografías personales, identificaciones, documentos financieros o material de trabajo. Una carpeta vacía temporal es más segura cuando se prueba una herramienta web desconocida.
- No conceda acceso a carpetas a editores de fotografías desconocidos o escaladores de IA.
- Utilice una carpeta temporal en lugar del directorio principal de Imágenes, Vídeos o DCIM.
- Mantenga copias de seguridad sin conexión y en la nube de fotografías importantes.
- Actualice Chrome y Android con regularidad.
- Revise los permisos del sitio después de usar herramientas de edición basadas en navegador.
- Prefiera aplicaciones confiables o servicios establecidos para imágenes confidenciales.
Qué deberían extraer los equipos de seguridad de la investigación
Los equipos de seguridad empresarial no deben tratar el navegador como un espacio de ejecución de bajo riesgo. Las API web modernas pueden proporcionar acceso a recursos locales cuando los usuarios aprueban los permisos.
ElInvestigación USENIXy la última prueba de concepto muestran por qué las indicaciones de acceso a archivos necesitan una educación más clara para los usuarios, un monitoreo más sólido y controles de políticas más estrictos en entornos administrados.
Las organizaciones que utilizan navegadores administrados Chrome o basados en Chromium deben revisar si pueden restringir funciones de acceso a archivos riesgosas, monitorear flujos de datos inusuales del navegador y advertir a los usuarios sobre la concesión de acceso de escritura a carpetas confidenciales.
| Audiencia | Acción recomendada |
|---|---|
| Usuarios móviles | Rechace el acceso a carpetas desde sitios desconocidos y mantenga copias de seguridad de las fotos. |
| Padres y familias | Enseñe a los usuarios a no aprobar solicitudes de carpetas amplias para herramientas fotográficas de IA. |
| administradores de TI | Revise las políticas del navegador administrado para los controles de acceso al sistema de archivos. |
| Equipos de seguridad | Supervise las cargas basadas en el navegador, el acceso a archivos inusuales y los señuelos sospechosos con temas de IA. |
| Desarrolladores | Solicite el acceso más limitado a la carpeta necesario y explique por qué se requiere el acceso. |
Por qué esto importa ahora
La investigación muestra cómo una característica legítima del navegador puede volverse riesgosa cuando se combina con ingeniería social y desarrollo asistido por IA. El problema no es un simple error de Chrome que los usuarios puedan entender como una infección de malware normal.
También muestra por qué las solicitudes de permiso ahora tienen más peso. Otorgar acceso a una carpeta a un sitio web puede ser similar a permitir que el software funcione directamente en archivos locales.
Para los usuarios de Android, el enfoque más seguro es simple: no dé acceso a las carpetas de fotos a sitios web desconocidos. Para las organizaciones, los permisos del navegador merecen el mismo nivel de revisión de políticas que los permisos de las aplicaciones y los controles de los terminales.
Preguntas frecuentes
¿Qué es el ransomware sólo para navegador?
El ransomware solo para navegador es una técnica de ransomware que se ejecuta dentro de un navegador web en lugar de utilizar una aplicación instalada o un ejecutable nativo. En este caso, el ataque se basa en que un usuario otorgue acceso a la carpeta a través de la API de acceso al sistema de archivos.
¿La vulnerabilidad de la API de acceso al sistema de archivos de Chrome requiere un exploit en el navegador?
No. La técnica no requiere explotar una vulnerabilidad de Chrome. Abusa de una función legítima del navegador después de que el usuario otorga permiso a un sitio web para acceder y editar archivos en una carpeta seleccionada.
¿Puede esta técnica de ransomware afectar a las fotos de Android?
Sí. Check Point demostró que la técnica puede apuntar a directorios de fotos de Android cuando un usuario selecciona una carpeta como Imágenes o DCIM y otorga acceso de edición de archivos a una página web maliciosa.
¿Se ha utilizado este ransomware exclusivo del navegador en ataques reales?
Los investigadores dijeron que no habían encontrado evidencia de que este patrón exacto de ransomware nativo del navegador se hubiera adoptado en campañas generalizadas del mundo real en el momento del análisis. El caso publicado se centró en una muestra incompleta generada por IA y una prueba de concepto controlada.
¿Cómo pueden los usuarios de Android proteger las fotos del ransomware exclusivo del navegador?
Los usuarios de Android deben evitar otorgar acceso a carpetas de sitios web desconocidos, usar carpetas temporales para herramientas en línea, mantener copias de seguridad de fotografías importantes, actualizar Chrome y Android y revisar los permisos del sitio después de usar editores basados en navegador.
