Google detecta un ciberataque con IA que explotó una vulnerabilidad desconocida en su software

Un equipo de investigadores de Google ha identificado un ciberataque pionero en el que se empleó inteligencia artificial (IA) para descubrir y explotar una vulnerabilidad de día cero en su software, desconocida incluso para sus propios desarrolladores. Según el informe publicado el pasado lunes, los atacantes lograron identificar y aprovechar esta falla crítica antes de que el equipo de seguridad de Google pudiera detectarla.

Aunque el ataque fue finalmente neutralizado, el incidente ha generado una alerta en la industria tecnológica. «Tenemos una alta confianza en que el actor probablemente utilizó un modelo de IA para descubrir y explotar esta vulnerabilidad», señala el informe. Este tipo de fallos, conocidos como zero-day, son especialmente peligrosos porque los desarrolladores no tienen conocimiento previo de su existencia, lo que permite a los atacantes causar daños significativos antes de que se pueda aplicar un parche.

En este caso concreto, la vulnerabilidad habría permitido a los hackers bypassear la autenticación en dos factores en una herramienta de administración web de código abierto y popular, siempre que conocieran el nombre de usuario y la contraseña de la víctima. Aunque la autenticación en dos factores es una de las últimas líneas de defensa para los usuarios, la capacidad de eludirla habría tenido consecuencias devastadoras, especialmente si las contraseñas ya habían sido filtradas en anteriores brechas de seguridad.

«El actor de amenaza criminal planeaba utilizar esta vulnerabilidad en un evento de explotación masiva, pero nuestro descubrimiento proactivo pudo evitar su uso», explicó el equipo de Google en su informe. Este caso marca la primera vez documentada en la que una vulnerabilidad de día cero fue descubierta y explotada con la ayuda de inteligencia artificial.

La IA como arma en el cibercrimen: un riesgo en expansión

John Hultquist, analista jefe del grupo de inteligencia de amenazas de Google, advirtió que este incidente es solo «la punta del iceberg». «Creemos que el problema es mucho más grande; esto es solo la primera evidencia tangible que podemos ver», declaró al New York Times. La revelación llega en un momento en que la comunidad de ciberseguridad muestra una creciente preocupación por el impacto de la IA en la seguridad digital.

Recientemente, la empresa Anthropic lanzó su modelo Claude Mythos, capaz, según sus propias afirmaciones, de encontrar vulnerabilidades de día cero «en todos los sistemas operativos y navegadores web principales» cuando un usuario se lo solicita. Esta capacidad ha generado alarma entre líderes gubernamentales y expertos en seguridad, quienes temen que herramientas de IA avanzadas puedan ser utilizadas para descubrir y explotar fallos críticos en software ampliamente utilizado.

El riesgo que plantea la IA en el ámbito de la ciberseguridad radica en su capacidad para analizar y generar código, una habilidad que está siendo adoptada rápidamente por empresas en los sectores tecnológico y financiero. Los investigadores de Google descubrieron que el malware utilizado en el ataque contenía características propias de los modelos de lenguaje grandes (LLM), como un exceso de anotaciones en el código (docstrings), texto generado de forma errónea (hallucinations) y un formato estructurado y «textbook» en Python, típico de los datos de entrenamiento de los LLM.

«Este es un avance preocupante que subraya la necesidad de reforzar las defensas contra las amenazas impulsadas por IA. La capacidad de automatizar el descubrimiento de vulnerabilidades cambia las reglas del juego en el cibercrimen». — Informe de Google Threat Intelligence Group