Actores vinculados a China, Corea del Norte y Rusia intensificaron el uso de inteligencia artificial (IA) para encontrar vulnerabilidades, crear malware más sofisticado y ejecutar campañas de desinformación, alertó este lunes Google Threat Intelligence Group en un informe que apunta a una «industrialización» del uso ofensivo de esta tecnología.
El informe, titulado ‘AI Threat Tracker’ (‘Rastreador de amenazas de IA’), sostiene que ciberdelincuentes y grupos estatales pasaron de experimentar con modelos de IA a integrarlos de forma masiva en sus operaciones, desde el descubrimiento de fallos de seguridad hasta la automatización de ataques y la creación de contenido falso.
Entre los hallazgos más destacados de la división de Google dedicada a inteligencia sobre ciberamenazas figura la primera evidencia de un «ataque de día cero» desarrollado con ayuda de IA. Según el informe, un grupo criminal utilizó ese modelo para identificar y explotar una vulnerabilidad que permitía eludir sistemas de autenticación de doble factor (2FA) en una popular herramienta de administración web cuyo nombre no reveló.
Según Google, la empresa logró detectar el fallo antes de que fuera explotado de forma masiva y notificó al proveedor afectado.
El informe también detalla que actores vinculados a China y Corea del Norte están empleando la IA para acelerar la búsqueda y el análisis de vulnerabilidades registradas (CVE, por sus siglas en inglés), así como el examen de firmware de dispositivos.
Google señala además que grupos asociados a Rusia han incorporado IA en campañas de desinformación, entre ellas la operación prorrusa «Operation Overload», en la que se emplearon herramientas de clonación de voz para suplantar a periodistas reales y difundir vídeos manipulados dirigidos a audiencias de EE. UU., Ucrania y Francia.
La investigación describe igualmente una nueva generación de malware «autónomo» capaz de interpretar el entorno de la víctima y tomar decisiones sin intervención humana.
Uno de los ejemplos es PROMPTSPY, una puerta trasera para Android que utiliza el modelo Gemini de Google para analizar la interfaz del dispositivo y ejecutar acciones automáticamente, como pulsar botones, desplazarse por menús o mantener el malware en el sistema.
El informe subraya además un cambio cualitativo en el uso de la IA en ciberataques, ya que algunos programas maliciosos ya no solo utilizan estos modelos como herramienta de apoyo, sino que son capaces de tomar decisiones de forma autónoma dentro de los sistemas infectados.
Ataques contra empresas
Google también advierte de que algunos hackers están atacando el software que usan las empresas en lugar de atacarlas directamente, con casos como el de un grupo llamado TeamPCP que habría infectado herramientas y repositorios de código para colarse en los sistemas cuando las empresas los descargan.
Una vez dentro, roban contraseñas y claves de acceso a servicios en la nube y a sistemas internos de desarrollo.
Según el informe, los atacantes buscan especialmente plataformas y herramientas utilizadas para integrar modelos de IA en empresas, ya que permiten acceder a datos sensibles y a infraestructuras corporativas.
«Existe la idea errónea de que la carrera por la vulnerabilidad de la IA es inminente. La realidad es que ya ha comenzado», afirma en el informe John Hultquist, analista jefe de GTIG, quien advierte de que la IA está permitiendo a los hackers «aumentar la velocidad, la escala y la sofisticación» de sus operaciones.
El gigante tecnológico defiende en el informe que está utilizando IA con fines defensivos, mediante sistemas capaces de detectar vulnerabilidades o corregir código automáticamente, y pide reforzar los estándares de seguridad para el desarrollo y despliegue de estas tecnologías. EFE (I)