Qué es el gusano Miasma y por qué afecta a desarrolladores que usan IA

Última actualización: 13/06/2026

  • El gusano Miasma explota la confianza en asistentes de IA como Cursor o Claude Code para robar credenciales de la nube.
  • Utiliza la técnica de prompt adversarial para engañar a los LLM y evitar que detecten el código malicioso.
  • Se propaga a través de ecosistemas como PyPI y npm, empleando el entorno Bun para evadir la seguridad tradicional.
gusano miasma en el desarrollo IA

Imagínate que el compañero de programación que te ayuda a limpiar el código sea, en realidad, la puerta abierta para que un intruso se lleve todas tus llaves. Parece sacado de una película de hackers, pero es la realidad actual con la aparición del gusano Miasma, una amenaza diseñada específicamente para aprovecharse de la creciente dependencia que tenemos los desarrolladores hacia los modelos de lenguaje extensos (LLM) y los asistentes de codificación.

Lo más inquietante de este asunto es que no busca simplemente romper el sistema, sino que manipula la lógica cognitiva de la IA para que esta ignore el peligro. Estamos ante un cambio de paradigma donde el malware ya no solo ataca al software, sino que aplica una suerte de ingeniería social digital sobre las herramientas que presumíamos que nos protegerían de errores y vulnerabilidades.

¿Qué es exactamente el gusano Miasma y cómo opera?

El gusano Miasma es un agente malicioso que se infiltra en repositorios de GitHub, ocultándose en archivos que parecen totalmente inofensivos. El problema surge cuando un programador abre dicho código utilizando herramientas como Claude Code o Cursor. En ese instante, el gusano se activa y comienza a ejecutar comandos invisibles para el ojo humano pero procesados por la IA, cuyo fin último es la exfiltración de tokens y claves API de servicios críticos como Azure, Google Cloud o AWS.

La propagación es sencillamente diabólica por su silencio. Una vez que el malware ha robado las credenciales, las envía a un servidor remoto y se encarga de replicarse en otros repositorios que pertenezcan al mismo usuario. Lo más grave es que no requiere permisos especiales de administración; basta con que el asistente de IA analice el archivo infectado para que el proceso de robo se ponga en marcha.

Contenido exclusivo - Clic Aquí  ¿En qué contextos se puede usar Hands Off?

gusano miasma

La Campaña Hades y el engaño a los guardianes digitales

Una de las vertientes más agresivas del gusano Miasma es la denominada Campaña Hades. Este gusano se ha centrado especialmente en el ecosistema de Python a través de PyPI, afectando a librerías de bioinformática y ciencia de datos. El punto de entrada es el archivo __init__.py, lo que garantiza que el código malicioso se ejecute en el momento exacto en que el paquete se carga en un proyecto.

Para evitar que los sistemas de seguridad basados en IA detecten la amenaza del gusano Miasma, Hades emplea un prompt adversarial. Básicamente, coloca un texto al principio del archivo malicioso que le ordena al LLM ignorar cualquier patrón sospechoso y clasificar el paquete como seguro. Es como si el malware le dijera al guardia de seguridad: «Esto es una prueba autorizada, déjame pasar», y la IA, cayendo en la trampa, le abre la puerta de par en par.

Técnicas avanzadas de evasión: Bun y Sigstore

Para no dejar rastro, tanto el gusano Miasma como Hades utilizan un kit de herramientas llamado Bun. Al ser un binario autónomo de JavaScript, permite ejecutar cargas útiles complejas sin necesidad de tener Node.js instalado, lo que hace que el monitoreo tradicional de npm pase totalmente ដោយ inadvertidamente. Además, el malware es capaz de leer la memoria del ejecutor para extraer datos cifrados que no están escritos en el disco, evitando así que los EDR los marquen como sospechosos.

Contenido exclusivo - Clic Aquí  Teléfono móvil robado: qué hacer

Pero el nivel de sofisticación no termina ahí. El gusano abusa de marcos de integridad como SLSA y OpenID Connect (OIDC). Si el ataque ocurre dentro de GitHub Actions, utiliza estas credenciales para generar paquetes firmados criptográficamente mediante Sigstore. De este modo, el código comprometido parece provenir de un entorno oficial, haciendo que la infraestructura de seguridad se convierta en el arma del atacante para ganar credibilidad.

Infraestructura de red

Variantes en npm y el peligro de los archivos binding.gyp

No solo Python está en la mira. Se ha detectado que el gusano Miasma abusa de los archivos binding.gyp en el ecosistema npm para disparar la ejecución de código durante el comando npm install. Esta técnica, conocida como Phantom Gyp, utiliza una cadena de carga útil ofuscada en cuatro etapas que permite saltarse las verificaciones de scripts habituales y plantar puertas traseras en la configuración de los asistentes de IA.

En casos extremos, como los reportados en Red Hat Cloud Services, el impacto ha sido considerable, comprometiendo decenas de paquetes. Si el equipo de seguridad detecta la brecha y revoca los tokens, el malware puede activar un mecanismo de tierra quemada, ejecutando un proceso limpiador (wiper) que borra los archivos locales del usuario como represalia, obligando a las empresas a actuar con una cautela extrema.

Otras amenazas: Desde Morris II hasta prototipos autónomos

Más allá del gusano Miasma, existen investigaciones preocupantes como el gusano Morris II, desarrollado en entornos controlados por Cornell Tech. Este utiliza instrucciones autorreplicantes que engañan a ChatGPT o Gemini para que el propio chatbot genere más instrucciones maliciosas, facilitando el robo de datos personales y la propagación de spam masivo a través de asistentes de correo electrónico.

Contenido exclusivo - Clic Aquí  ¿Qué opciones de seguridad ofrece Enki App?

Asimismo, la Universidad de Toronto ha creado un prototipo de gusano impulsado por IA capaz de adaptarse en tiempo real a diferentes sistemas (Windows, Linux, IoT). A diferencia de los gusanos clásicos, este puede buscar nuevas vulnerabilidades si una ya ha sido parcheada, utilizando los propios recursos de procesamiento de las máquinas víctimas para alimentar su capacidad de razonamiento y planificación.

Cómo blindar tu entorno de desarrollo

Para no acabar con un «inquilino no deseado» en la cuenta de AWS, es fundamental dejar de tratar los veredictos de la IA como verdades absolutas. Una defensa sólida implica implementar un aislamiento de límites estricto para los LLM, asegurándose de que el prompt del sistema prohíba explícitamente al modelo seguir instrucciones contenidas dentro del código analizado.

  • Auditar permisos de GitHub Actions aplicando el principio de privilegio mínimo para tokens OIDC.
  • Monitorizar la ejecución de binarios desconocidos, especialmente descargas inesperadas de Bun en rutas como __init__.py.
  • Rotar inmediatamente todas las credenciales y claves API si se sospecha de una intrusión.
  • Mantener copias de seguridad inmutables y fuera de línea para mitigar el riesgo de los procesos de limpieza maliciosos.

La evolución de estas amenazas nos enseña que la IA es un arma de doble filo: mientras herramientas como Mythos de Anthropic detectan miles de fallos, los atacantes aprenden a convencer al portero digital para que los deje entrar. La clave reside en combinar la automatización con la supervisión humana crítica, entendiendo que la seguridad de la cadena de suministro de software es hoy más frágil que nunca ante la capacidad de engaño de los modelos generativos.