Por Jason Nelson
5 min lectura
Cibercriminales usaron un modelo de IA para descubrir y convertir en arma una vulnerabilidad de día cero en una popular herramienta de administración web de código abierto, según el Grupo de Inteligencia de Amenazas de Google.
En un informe publicado el lunes, Google señaló que la falla permitió a los atacantes eludir la autenticación de dos factores, y advirtió que los atacantes estaban preparando una campaña de explotación masiva antes de que la empresa interviniera. Es la primera vez que Google confirma el desarrollo asistido por IA de vulnerabilidades de día cero en la práctica.
"A medida que las capacidades de codificación de los modelos de IA avanzan, seguimos observando que los adversarios utilizan cada vez más estas herramientas como multiplicadores de fuerza a nivel experto para la investigación de vulnerabilidades y el desarrollo de exploits, incluidas las vulnerabilidades de día cero", escribió Google. "Si bien estas herramientas potencian la investigación defensiva, también reducen la barrera para que los adversarios realicen ingeniería inversa en aplicaciones y desarrollen exploits sofisticados generados por IA".
El informe llega en un momento en que investigadores y gobiernos advierten que los modelos de IA están acelerando los ciberataques al ayudar a los hackers a encontrar vulnerabilidades, generar malware y automatizar el desarrollo de exploits.
"Aunque los LLMs de frontera tienen dificultades para navegar la lógica de autorización empresarial compleja, tienen una capacidad creciente para realizar razonamiento contextual, leyendo efectivamente la intención del desarrollador para correlacionar la lógica de aplicación de 2FA con las contradicciones de sus excepciones codificadas", señaló el informe. "Esta capacidad puede permitir a los modelos detectar errores de lógica inactivos que parecen funcionalmente correctos para los escáneres tradicionales, pero que están estratégicamente comprometidos desde una perspectiva de seguridad".
Según Google, los atacantes no identificados usaron IA para identificar una falla lógica donde el software confiaba en una condición que omitía sus protecciones de autenticación de dos factores. A diferencia de los escáneres tradicionales que buscan código roto o fallos, la IA analizó cómo estaba pensado para funcionar el software y detectó la contradicción, lo que permitió a los atacantes eludir la verificación de seguridad sin romper el cifrado en sí.
"La codificación impulsada por IA ha acelerado el desarrollo de suites de infraestructura y malware polimórfico por parte de los adversarios", escribió Google. "Estos ciclos de desarrollo habilitados por IA facilitan la evasión de defensas al permitir la creación de redes de ofuscación y la integración de lógica señuelo generada por IA en malware que hemos vinculado a actores de amenazas con presunto nexo ruso".
El informe afirma que hackers de China y Corea del Norte están usando IA para encontrar debilidades en el software, mientras que grupos rusos la utilizan para ocultar su malware.
"Estos actores han aprovechado enfoques sofisticados hacia el descubrimiento y explotación de vulnerabilidades aumentados por IA, comenzando con intentos de jailbreaking basados en personas y la integración de conjuntos de datos de seguridad especializados y de alta fidelidad para potenciar sus flujos de trabajo de descubrimiento y explotación de vulnerabilidades", agregó Google.
Si bien el informe de Google buscó advertir sobre el creciente riesgo de los ciberataques impulsados por IA, algunos investigadores argumentan que el temor está exagerado. Un estudio independiente liderado por la Universidad de Cambridge sobre más de 90.000 hilos de foros de ciberdelincuencia encontró que la mayoría de los criminales usaban IA para spam y phishing, en lugar de para vibe coding de ciberataques sofisticados.
"El papel de los LLMs con jailbreak (IA oscura) como instructores también está sobredimensionado, dada la prominencia de la subcultura y el aprendizaje social en la iniciación: los nuevos usuarios valoran tanto las conexiones sociales y la identidad comunitaria involucrada en el aprendizaje de habilidades de hacking y ciberdelincuencia como el conocimiento en sí", afirmó el estudio. "Nuestros resultados iniciales sugieren, por lo tanto, que incluso lamentarse por el auge del Vibercriminal puede estar sobredimensionando el nivel de disrupción hasta la fecha".
Sin embargo, a pesar de los hallazgos de Cambridge, el informe del Grupo de Inteligencia de Amenazas también llega en un momento en que Google ha enfrentado preocupaciones de seguridad vinculadas a herramientas impulsadas por IA. En abril, la empresa parchó una falla de inyección de prompt en su plataforma de codificación Antigravity AI que, según investigadores, podría permitir a los atacantes ejecutar comandos en la máquina de un desarrollador a través de prompts manipulados.
"Aunque no creemos que Gemini haya sido utilizado, basándonos en la estructura y el contenido de estos exploits, tenemos alta confianza en que el actor probablemente aprovechó un modelo de IA para apoyar el descubrimiento y la weaponización de esta vulnerabilidad", escribieron los investigadores de Google.
A principios de este año, Anthropic restringió el acceso a su modelo Claude Mythos tras pruebas que mostraron que podía identificar miles de fallas de software previamente desconocidas. Los hallazgos también suman a las crecientes preocupaciones de que los modelos de IA están transformando la ciberseguridad al ayudar tanto a defensores como a atacantes a encontrar vulnerabilidades más rápido.
"A medida que estas capacidades llegan a manos de más defensores, muchos otros equipos están experimentando ahora el mismo vértigo que sentimos cuando los hallazgos se volvieron claros por primera vez", escribió Mozilla en una publicación de blog en abril. "Para un objetivo endurecido, solo un bug de este tipo habría sido alerta roja en 2025, y tantos a la vez te hacen detenerte a preguntarte si siquiera es posible mantenerse al día".
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.