Informe jurídico sobre PromptLock: ransomware creado con IA (alerta grave )

 

🧠 Informe jurídico sobre PromptLock: ransomware creado con IA

Autor: Santiago Carretero Sánchez, Jurista y Profesor universitario
Fecha: Septiembre de 2025

1. Introducción

El descubrimiento de PromptLock por ESET (agosto-septiembre de 2025) marca un hito en la evolución del cibercrimen: es el primer ransomware documentado diseñado con apoyo directo de un modelo de inteligencia artificial generativa. Aunque aún es una prueba de concepto, plantea riesgos jurídicos inmediatos en materia penal, civil y de ciberseguridad regulatoria.

2. Hechos relevantes

CaracterísticaDetalle técnico
Modelo usadoGPT-OSS-20B local vía API Ollama
Lenguaje de scriptingLua
AutonomíaNo requiere conexión a Internet
FuncionesCifrado Speck (128 bits), exfiltración, enumeración del sistema
MutabilidadPolimorfismo en cada ejecución
Estado actualPrototipo viable, no desplegado en ataques reales

3. Problemas jurídicos principales

A) Derecho penal

  • Tipificación penal: Art. 264 bis CP → programas informáticos destinados a causar daños.
  • Autoría y responsabilidad:
    • Operador que introduce los prompts maliciosos → autor directo.
    • Desarrollador del script o malware → cooperador necesario.
    • Desarrollador del modelo de IA → responsabilidad penal solo si hay dolo o negligencia grave.

B) Derecho civil

  • Responsabilidad por daños: Art. 1902 CC → víctimas pueden reclamar frente a operadores y difusores.
  • Proveedores de IA: El Reglamento de IA excluye usos maliciosos, pero no establece aún un régimen claro de responsabilidad civil.

C) Derecho europeo y ciberseguridad

  • Directiva NIS2 (2022/2555): Obliga a sectores esenciales a prevenir ransomware, pero no contempla los LLM maliciosos.
  • Reglamento de IA (2024): PromptLock encaja en el “uso prohibido” (art. 5), pero requiere desarrollo reglamentario.

4. Riesgos jurídicos inmediatos

  • Dificultad probatoria: Código generado “al vuelo” → complica la cadena de custodia digital.
  • Autoría intelectual difusa: ¿Responsable el diseñador del prompt, el ejecutor del modelo o ambos?
  • Lagunas normativas: En la responsabilidad de desarrolladores de modelos open-source reutilizados con fines criminales.

5. Recomendaciones jurídicas y preventivas

PropuestaJustificación
Reforma del Código PenalIncluir explícitamente la generación de malware mediante IA
Responsabilidad objetiva limitadaPara desarrolladores de modelos open-source sin controles mínimos
Protocolos probatorios adaptadosHash dinámicos, auditoría en ejecución
Cooperación internacionalEurojust y Europol para armonizar persecución penal
Formación jurídica especializadaIntegrar ciberseguridad e IA en planes docentes universitarios

6. Conclusión

PromptLock inaugura la era del ransomware generativo. Aunque no ha causado daños reales, exige una respuesta jurídica preventiva e inmediata. España y la UE deben actuar con rapidez para:

  • Tipificar claramente las conductas ligadas al malware generado por IA.
  • Atribuir responsabilidades en un ecosistema descentralizado.
  • Reforzar los mecanismos probatorios en la persecución de ciberdelitos moldeados por IA.

⚠️ El riesgo no es hipotético: el tiempo de reacción legislativa debe ser corto para evitar que un prototipo se convierta en una catástrofe real.

Documento preparado para el blog blogdelaiaactual.blogspot.com


Comentarios

Publicar un comentario

Entradas populares de este blog

EL MODELO DE INTENTO DE CONCILIACIÓN QUE IMPONE LA LEY DE EFICIENCIA PROCESAL, PROPUESTA DEL ICAM

  MODELO PARA LA ACREDITACIÓN DEL INTENTO DE NEGOCIACIÓN Y TERMINACIÓN DEL PROCESO SIN ACUERDO Artículo 10º.1 de la Ley Orgánica 1/2025, de 2 de enero, de medidas en materia de eficiencia del Servicio Público de Justicia     Artículo 10. Acreditación del intento de negociación y terminación del proceso sin acuerdo.   1. A los efectos de acreditar que se ha intentado una actividad negociadora previa y cumplir el requisito de procedibilidad, dicha actividad negociadora o el intento de la misma deberá ser recogida documentalmente .   2. Si no hubiera intervenido una tercera persona neutral, la acreditación se cumplirá mediante cualquier documento firmado por ambas partes en el que se deje constancia de la identidad de las mismas y, en su caso, de las personas profesionales o expertas que hayan participado asesorándolas , la fecha, el objeto de la controversia, la fecha de la reunión o reuniones mantenidas, en su caso, y la declaración responsable d...
Leer más

ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS)

  🧷 ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS) Por Santiago Carretero Sánchez, Profesor Titular de Filosofía del Derecho, Abogado       1. Encabezamiento Órgano judicial : Ilmo./a. Sr./Sra. Letrado/a de la Administración de Justicia del Juzgado de [Primera Instancia] nº ___ de [localidad]. Parte compareciente : D./D.ª [Nombre del letrado/a del solicitante], en nombre y representación de [cliente], conforme a poder/apoderamiento (notarial o apud acta) que se acompaña/se encuentra ya incorporado. Procedimiento : Indicar si es escrito autónomo previo a demanda o subsanación de requerimiento judicial (art. 438.1 LEC). 2. Exposición de antecedentes y hechos relevantes Breve reseña del conflicto : Detallar la controversia con hechos jurídicamente relevantes. Indicación de la voluntad de acudir a MASC : Expresar que, antes de iniciar/reanudar el procedimiento jud...
Leer más

Resumen de la Ley Orgánica 1/2025: mi nuevo resumen para comprender lo que va a pasar ( si es posible)

  Autor: Santiago Carretero Sánchez, Profesor Titular de la URJC El 3 de abril de 2025 entró en vigor la Ley Orgánica 1/2025, que establece la obligatoriedad de intentar un Mecanismo Alternativo de Solución de Conflictos (MASC) antes de interponer una demanda en el ámbito civil o mercantil. El Consejo General de la Abogacía Española (CGAE) ha publicado una guía para facilitar la comprensión y aplicación de esta nueva exigencia legal. ¿Qué son los MASC? La Ley Orgánica 1/2025 define los MASC de forma abierta como cualquier actividad negociadora para resolver un conflicto. Entre los MASC reconocidos se incluyen: - Mediación - Conciliación (pública o privada) - Negociación directa entre las partes - Oferta vinculante confidencial - Opinión de persona experta independiente - Derecho Colaborativo o Abogacía Colaborativa Ámbitos de aplicación y exclusiones La obligación de intentar una solución extrajudicial se aplica a todos los procesos declarativos y especiales regula...
Leer más