La inteligencia artificial se ha convertido en un nuevo campo de batalla digital: ya no solo es una herramienta para la innovación tecnológica, sino también un objetivo directo de los cibercriminales y un motor para sofisticar ataques. Así lo advierte el informe AI Threat Tracker del Google Threat Intelligence Group (GTIG), que detecta un aumento de intentos por clonar modelos propietarios y la expansión de un mercado negro de servicios de IA.
Durante el último año se registró un alza de los llamados ataques de “destilación”, operaciones destinadas a extraer información de modelos de IA generativa para replicarlos. El interés de los atacantes se concentra en el razonamiento interno de los sistemas y en su cadena de pensamiento, es decir, en cómo procesan y estructuran respuestas complejas.
Según el informe, una de las capacidades más buscadas por los atacantes es el razonamiento del modelo Gemini, desarrollado por Google.
IA en todo el ciclo del ataque
El reporte indica que actores maliciosos ya utilizan inteligencia artificial en prácticamente todas las etapas de una intrusión: desde la escritura de código y creación de scripts hasta la recopilación de información sobre objetivos, la investigación de vulnerabilidades públicas y la ejecución de acciones posteriores al acceso a sistemas comprometidos.
Entre los casos citados aparecen grupos vinculados a Estados. APT42, asociado a Irán, utilizó modelos de IA generativa para buscar correos oficiales de entidades específicas y perfilar socios comerciales con el fin de construir pretextos creíbles en operaciones de ingeniería social.
Otro actor identificado, UNC2970, relacionado con Corea del Norte, empleó Gemini para sintetizar inteligencia de fuentes abiertas (OSINT) y seleccionar objetivos de alto valor en la planificación de campañas.
Malware experimental y phishing asistido por IA
El informe documenta usos experimentales de IA para ampliar capacidades de malware. Uno de los ejemplos es HONESTCUE, que aprovechó la API de Gemini para generar funciones de manera externa, buscando evadir sistemas tradicionales de detección.
También se menciona el kit de phishing COINBAIT, que imitaba un servicio de intercambio de criptomonedas para robar credenciales. Su desarrollo, según el análisis, habría sido acelerado mediante herramientas de generación de código impulsadas por IA.
Mercado clandestino de servicios de IA
GTIG identificó además un ecosistema en crecimiento de herramientas de IA comercializadas en foros clandestinos en inglés y ruso. Estos servicios prometen apoyar operaciones criminales, aunque el informe subraya que muchos actores aún carecen de capacidad para construir modelos propios y dependen de plataformas comerciales existentes.
Un ejemplo es Xanthorox, promocionado como una IA personalizada para crear malware y campañas de phishing. Sin embargo, la investigación concluyó que no se trataba de un modelo original, sino de una combinación de productos de IA comerciales y de terceros.
El informe concluye que la carrera entre desarrolladores y atacantes se está acelerando: mientras la IA avanza como tecnología estratégica, también se consolida como uno de los principales vectores de riesgo en el ciberespacio global.
Los comentarios están cerrados, pero trackbacks Y pingbacks están abiertos.