Uso de herramientas de IA por parte de los ciberdelincuentes
Se ha observado a ciberdelincuentes utilizando IA para crear un exploit Zero-Day funcional, en un caso que, según investigadores de Google, es el primero de su tipo.
Según una nueva investigación del Grupo de Inteligencia de Amenazas de Google (GTIG), un atacante planeaba desplegar el exploit en un ataque masivo, pero su plan fue frustrado.
Los investigadores señalaron que el exploit en cuestión presenta todas las características de haber sido generado por IA, principalmente debido a que el script contenía una gran cantidad de cadenas de documentación educativas y una puntuación CVSS ficticia.
Otras señales reveladoras, como un formato Python “de manual” característico de los datos de entrenamiento de LLM, también delataron al atacante.
Este informe actualiza el análisis de enero de 2025, «Uso indebido de la IA generativa por parte de adversarios», y detalla cómo los ciberdelincuentes y los actores maliciosos respaldados por gobiernos están integrando y experimentando con la IA en todo el sector a lo largo de todo el ciclo de vida del ataque.
John Hultquist, analista jefe de GTIG, afirmó que el descubrimiento marca un hito importante en el uso de la IA con fines maliciosos. “Existe la idea errónea de que la carrera por las vulnerabilidades de la IA es inminente. La realidad es que ya ha comenzado”.
Según GTIG, la vulnerabilidad se clasifica como una omisión de la autenticación de dos factores (2FA). Sin embargo, los investigadores señalaron que requiere credenciales de usuario válidas. Lo que hizo que la falla destacara es que se origina en un “fallo de lógica semántica de alto nivel donde el desarrollador codificó de forma rígida una suposición de confianza”.
En pocas palabras, este fallo en particular es del tipo que los grandes modelos de lenguaje podrían identificar fácilmente, y los investigadores dedujeron que las capacidades de razonamiento del modelo le permitieron comprender la intención del desarrollador durante el desarrollo.
“Si bien las herramientas de fuzzing y análisis estático están optimizadas para detectar fallos y bloqueos, los modelos de lenguaje de vanguardia destacan en la identificación de este tipo de fallos de alto nivel y anomalías estáticas codificadas”, señalaron los investigadores.
La actividad de los estados nación se acelera
El descubrimiento de GTIG pone de relieve el creciente atractivo de las herramientas basadas en IA para los grupos ciberdelincuentes y los actores de amenazas respaldados por estados nación. “Los actores de amenazas están aprovechando la IA para potenciar diversas fases del ciclo de vida del ataque”, afirmaron los investigadores.
Esto incluye apoyar el desarrollo de exploits de vulnerabilidades y malware, facilitar la ejecución autónoma de comandos, permitir un reconocimiento más específico y exhaustivo, y mejorar la eficacia de las operaciones de ingeniería social y de información.
De hecho, el departamento de inteligencia de amenazas de Google afirmó que grupos en China, Corea del Norte y Rusia, en particular, están recurriendo a la IA para la investigación de vulnerabilidades y el desarrollo de exploits.
Se observó que un grupo de amenazas, identificado como UNC2814, utilizaba la función de perfiles de usuario expertos en Gemini para investigar fallos de ejecución remota de código en el firmware de los routers TP-Link y en las implementaciones del Protocolo de Transferencia de Archivos Odette (OFTP).
Según los investigadores, otro grupo, APT45, enviaba miles de solicitudes repetitivas para analizar diferentes CVE y validar exploits de prueba de concepto (PoC).