El grupo de inteligencia en amenazas de Google (GTIG) ha publicado un informe en el que revela el hallazgo del primer exploit zero-day desarrollado con inteligencia artificial capaz de eludir la autenticación de dos factores (2FA). Este descubrimiento evidencia un cambio en la dinámica del cibercrimen, en el que los atacantes emplean IA no solo para automatizar sus acciones, sino para innovar en técnicas de ataque.
El ataque detectado se basa en un script de Python que explota una vulnerabilidad de lógica en una herramienta open-source empleada para administración web de sistemas. Según GTIG, el código del exploit presenta rasgos inequívocos de la intervención de inteligencia artificial, que aprovecha la capacidad de leer e interpretar el código fuente para detectar y explotar escenarios no contemplados por los desarrolladores.
Cómo la inteligencia artificial está transformando el desarrollo de exploits
La inteligencia artificial ha comenzado a modificar el panorama de los ciberataques de varias maneras. En el caso presentado, las últimas generaciones de modelos de lenguaje presentan una habilidad considerable para la razón contextual, lo que les permite detectar inconsistencias en los flujos de autorización complejos. Esto facilita encontrar fallos que un auditor humano podría pasar por alto.
Más allá de identificar vulnerabilidades, los atacantes están implementando malware capaz de modificar su propio código en tiempo real. Estos programas no solo generan payloads de exploits bajo demanda, sino que también crean código de señuelo para desorientar a los sistemas de detección. Ejemplos como CANFAIL y LONGSTREAM muestran esta capacidad de auto-morfosis en el malware.
Herramientas avanzadas que dificultan la detección y amplían los ataques
Entre las amenazas detectadas por GTIG destaca el uso de puertas traseras dinámicas potenciadas por Google Gemini (servicio en la nube). Un ejemplo es el backdoor Android conocido como PROMPTSPY, que puede manipular el teléfono móvil de la víctima de forma sigilosa. Este malware consigue capturar imágenes de la pantalla, analizar elementos de la interfaz y simular interacciones, incluso registrando patrones de acceso o bloqueando intentos de desinstalación.
La capacidad de añadir capas de ofuscación y alterar la lógica del ataque en vivo multiplica la dificultad para las soluciones de seguridad en su intento de contrarrestar estas amenazas. Las técnicas incluyen añadir código inútil como distracción o insertar múltiples niveles de indirección que enmascaran las verdaderas intenciones del programa malicioso.
Impacto en ataques de phishing y manipulación política
El informe de GTIG también detalla que los bots con IA son utilizados para generar ataques de phishing muy personalizados y sofisticados. Estos bots recopilan información real sobre organizaciones, desde sus organigramas hasta sus canales de comunicación pública, como LinkedIn o notas de prensa, para crear mensajes falsos altamente creíbles. La información centrada en departamentos sensibles, como finanzas o recursos humanos, se emplea para aumentar la efectividad del engaño.
Por último, la inteligencia artificial también está siendo una herramienta habitual en campañas de desinformación política. La creación de imágenes y vídeos falsos, generación de voces realistas y manipulación sutil de material audiovisual para insertar mensajes concretos se ha vuelto común, complicando la verificación y aumentando la difusión de contenido engañoso.
El hallazgo de este exploit zero-day desarrollado con IA subraya la creciente sofisticación de las amenazas digitales y el papel que las tecnologías avanzadas están jugando en ellas. Para la ciberseguridad, esto plantea la necesidad de desarrollar defensas igualmente dinámicas y basadas en inteligencia artificial para poder anticipar y neutralizar ataques de esta naturaleza.
