En TecnetOne seguimos de cerca la evolución de las amenazas basadas en inteligencia artificial, y KawaiiGPT es uno de los casos más alarmantes. Este modelo de IA de sombrero negro, detectado por primera vez en julio de 2025 y ya en su versión 2.5, es gratuito y está permitiendo que incluso ciberdelincuentes sin experiencia generen correos de phishing, notas de ransomware y scripts de ataque en cuestión de segundos. En pocas palabras: está bajando la barrera de entrada al ciberdelito como nunca antes.
A diferencia de opciones de pago como WormGPT 4, que cobra cerca de 50 dólares al mes por capacidades similares, KawaiiGPT se distribuye abiertamente en GitHub. Esto hace posible instalarlo en Linux en menos de cinco minutos y ha atraído a cientos de usuarios a través de canales de Telegram.
KawaiiGPT llama la atención por dos razones clave: es increíblemente fácil de usar y totalmente gratuito. Al estar alojado en repositorios públicos, cualquiera puede acceder a él sin recurrir a la dark web. Según investigadores de seguridad, su interfaz ligera en línea de comandos se instala en minutos y sin complicaciones, lo que permite que incluso los famosos script kiddies lancen ataques avanzados sin saber realmente programar.
KawaiiGPT intenta disfrazar sus intenciones con respuestas “tiernas” del estilo “¡Ay! ¡Vale! ¡Aquí tienes… 😀!”, pero detrás de ese tono inocente entrega código Python totalmente funcional. Puede generar scripts para movimiento lateral usando módulos SSH como paramiko, o crear rutinas de exfiltración de datos con os.walk y smtplib sin que el usuario tenga que escribir una sola línea por sí mismo.
Esta facilidad de uso acelera las brechas de seguridad: un atacante puede autenticarse de forma remota, escalar privilegios, instalar puertas traseras y robar archivos en cuestión de minutos. No es casualidad que la comunidad alrededor de KawaiiGPT esté creciendo rápido: más de 500 usuarios registrados (y unos 180 activos en un grupo de Telegram a inicios de noviembre de 2025) comparten trucos y mejoras para perfeccionar sus ataques.
KawaiiGPT puede lanzar un ataque de phishing en segundos. Por ejemplo, genera correos que se hacen pasar por un banco con asuntos muy creíbles como “Urgente: Verifique la información de su cuenta”.
El mensaje lleva a la víctima a un sitio falso —como hxxps[:]//fakebankverify[.]com/updateinfo— diseñado para robar credenciales sin levantar sospechas.
Lo más preocupante es que estos correos son prácticamente perfectos: buena gramática, tono profesional y contexto realista. Esto les permite evadir filtros de seguridad con mucha más facilidad que las típicas estafas mal escritas que todos reconocemos.
KawaiiGPT puede generar código para prácticamente todas las fases de un ataque, automatizando tareas de red que antes solo podían ejecutar perfiles con mucha experiencia. Al apoyarse en bibliotecas legítimas, el tráfico resultante se mezcla fácilmente con el tráfico normal de la red, lo que complica la detección por parte de las soluciones de prevención de pérdida de datos.
Títulos similares: Xanthorox AI: Plataforma de IA para Ciberdelincuentes
En el caso del ransomware, la herramienta va un paso más allá. KawaiiGPT es capaz de crear flujos de trabajo completos: desde la nota de extorsión (con mensajes intimidantes que hablan de “cifrado de nivel militar” y plazos de 72 horas) hasta las instrucciones para pagar en Bitcoin. Los scripts que genera pueden cifrar archivos PDF con AES-256, usar Tor para la exfiltración y guiar a los atacantes novatos en toda la cadena, desde la intrusión inicial hasta la extorsión.
También se han visto demostraciones de robo de datos centradas en archivos EML de Windows. KawaiiGPT escanea unidades de forma recursiva, identifica adjuntos de correo electrónico y los envía de manera silenciosa. Y lo hace usando módulos estándar de Python, que además se pueden personalizar para comprimir archivos o mejorar la evasión. Resultado: campañas rápidas y difíciles de rastrear.
En esencia, KawaiiGPT es un ejemplo claro del riesgo de doble uso de la inteligencia artificial. Lo que antes era terreno exclusivo de actores altamente cualificados, ahora está al alcance de cualquiera. Mientras WormGPT comercializa kits avanzados de ransomware en PowerShell, KawaiiGPT expande aún más el alcance y alimenta comunidades ilícitas que comparten mejoras y técnicas.
Para los defensores, esto supone un reto enorme. Las señales tradicionales (como el código mal escrito o los patrones obvios de malware) ya no sirven. Hoy se requieren filtros capaces de resistir la evasión por IA, detección basada en anomalías y monitoreo continuo en tiempo real. En TecnetOne, nuestro SOC ya está adaptando estos enfoques, integrando análisis avanzado y supervisión 24/7 para identificar comportamientos anómalos que modelos como KawaiiGPT intentan ocultar.