Los hackers usaron IA para crear una vulnerabilidad de día cero que elude la autenticación de dos factores: Google

En resumen

• El Grupo de Inteligencia de Amenazas de Google confirmó que los ciberdelincuentes usaron IA para desarrollar un exploit de día cero dirigido a una herramienta de administración web de código abierto popular.
• Google dijo que esta es la primera vez que la compañía ha identificado un desarrollo de día cero asistido por IA en la naturaleza.
• Google trabajó con el proveedor afectado para parchear la vulnerabilidad antes de que la campaña escalara, pero afirmó que actores de amenazas vinculados a China y Corea del Norte también están usando activamente IA para investigación de vulnerabilidades y desarrollo de exploits.

Los ciberdelincuentes usaron un modelo de IA para descubrir y weaponizar una vulnerabilidad de día cero en una herramienta de administración web de código abierto popular, según el Grupo de Inteligencia de Amenazas de Google. En un informe publicado el lunes, Google dijo que la falla permitía a los atacantes eludir la autenticación de dos factores, y advirtió que los atacantes estaban preparando una campaña de explotación masiva antes de que la compañía interviniera. Es la primera vez que Google confirma un desarrollo de día cero asistido por IA en la naturaleza. “Conforme avanzan las capacidades de codificación de los modelos de IA, seguimos observando que los adversarios aprovechan cada vez más estas herramientas como multiplicadores de fuerza a nivel experto para investigación de vulnerabilidades y desarrollo de exploits, incluyendo para vulnerabilidades de día cero,” escribió Google. “Mientras estas herramientas potencian la investigación defensiva, también reducen la barrera para que los adversarios reingenieran aplicaciones y desarrollen exploits sofisticados generados por IA.”

El informe llega en un momento en que investigadores y gobiernos advierten que los modelos de IA están acelerando los ciberataques al ayudar a los hackers a encontrar vulnerabilidades, generar malware y automatizar el desarrollo de exploits. “Aunque los LLMs de frontera luchan por navegar en lógica compleja de autorización empresarial, tienen una capacidad creciente para realizar razonamiento contextual, leyendo efectivamente la intención del desarrollador para correlacionar la lógica de aplicación de 2FA con las contradicciones de sus excepciones codificadas,” dijo el informe. “Esta capacidad puede permitir que los modelos detecten errores lógicos latentes que parecen correctos funcionalmente para los escáneres tradicionales, pero que están estratégicamente rotos desde una perspectiva de seguridad.”  Según Google, los atacantes no identificados usaron IA para detectar un fallo lógico donde el software confiaba en una condición que eludía sus protecciones de autenticación de dos factores. A diferencia de los escáneres tradicionales que buscan código roto o fallos, la IA analizó cómo se suponía que debía funcionar el software y detectó la contradicción, permitiendo a los atacantes eludir la verificación de seguridad sin romper el cifrado en sí.

“La codificación impulsada por IA ha acelerado el desarrollo de suites de infraestructura y malware polimórfico por parte de adversarios,” escribió Google. “Estos ciclos de desarrollo habilitados por IA facilitan la evasión de defensas al permitir la creación de redes de ofuscación y la integración de lógica de señuelo generada por IA en malware que hemos vinculado a actores de amenazas con presuntos vínculos con Rusia.” El informe dice que actores de amenazas de China y Corea del Norte están usando IA para encontrar debilidades en el software, mientras que grupos rusos la usan para ocultar su malware. “Estos actores han aprovechado enfoques sofisticados hacia el descubrimiento y explotación de vulnerabilidades aumentados por IA, comenzando con intentos de jailbreak impulsados por personas y la integración de conjuntos de datos de seguridad especializados y de alta fidelidad para potenciar sus flujos de trabajo de descubrimiento y explotación de vulnerabilidades,” escribió Google. Mientras que el informe de Google buscaba advertir sobre el creciente riesgo de ciberataques impulsados por IA, algunos investigadores argumentan que el temor está exagerado. Un estudio separado liderado por la Universidad de Cambridge de más de 90,000 hilos en foros de ciberdelincuencia encontró que la mayoría de los criminales usaban IA para spam y phishing en lugar de codificación sofisticada de ciberataques. “El papel de los LLMs desbloqueados (Dark AI) como instructores también está sobrevalorado, dado el protagonismo de la subcultura y el aprendizaje social en la iniciación — los nuevos usuarios valoran tanto las conexiones sociales y la identidad comunitaria involucradas en aprender habilidades de hacking y ciberdelincuencia como el conocimiento mismo,” dijo el estudio. “Nuestros resultados iniciales, por lo tanto, sugieren que incluso lamentar el auge del Vibercriminal puede estar exagerando el nivel de disrupción hasta la fecha.” A pesar de los hallazgos de Cambridge, sin embargo, el informe del Grupo de Inteligencia de Amenazas también llega en un momento en que Google ha enfrentado preocupaciones de seguridad relacionadas con herramientas impulsadas por IA. En abril, la compañía parcheó una falla de inyección de prompts en su plataforma de codificación AI Antigravity, que investigadores dijeron que podría permitir a los atacantes ejecutar comandos en la máquina de un desarrollador mediante prompts manipulados. “Aunque no creemos que Gemini haya sido utilizado, basándonos en la estructura y contenido de estos exploits, tenemos una alta confianza en que el actor probablemente utilizó un modelo de IA para apoyar el descubrimiento y la weaponización de esta vulnerabilidad,” escribieron los investigadores de Google. A principios de este año, Anthropic restringió el acceso a su modelo Claude Mythos después de que pruebas mostraran que podía identificar miles de fallos de software previamente desconocidos. Los hallazgos también aumentan las preocupaciones crecientes de que los modelos de IA están remodelando la ciberseguridad ayudando tanto a defensores como a atacantes a encontrar vulnerabilidades más rápido.

“Con estas capacidades en manos de más defensores, muchos otros equipos están experimentando la misma vértigo que nosotros cuando los hallazgos comenzaron a centrarse,” escribió Mozilla en una publicación en su blog en abril. “Para un objetivo blindado, solo un error así habría sido una alerta roja en 2025, y tantos a la vez te hacen detenerte a preguntarte si incluso es posible mantenerse al día.”