Investigadores de Google confirmaron el hallazgo del primer exploit zero-day generado mediante inteligencia artificial. El ataque buscaba vulnerar sistemas de autenticación en dos pasos y abre un nuevo escenario en materia de ciberseguridad global.
La inteligencia artificial comenzó a ocupar un nuevo lugar dentro del mundo del cibercrimen. Investigadores de Google confirmaron haber detectado el primer exploit zero-day desarrollado mediante inteligencia artificial del que se tiene registro, un hallazgo que marca un cambio de escenario para la ciberseguridad global.
El descubrimiento fue realizado por el equipo de Google Threat Intelligence Group (GTIG), especializado en amenazas informáticas. Según detalló la compañía en un informe de seguridad, el ataque consistía en un script escrito en Python diseñado para vulnerar la autenticación en dos pasos (2FA) de una popular herramienta de administración web de código abierto.
El exploit buscaba eludir la segunda capa de seguridad utilizada para proteger cuentas y sistemas, permitiendo a los atacantes acceder incluso cuando las contraseñas eran correctas. Google indicó que logró coordinar rápidamente con el proveedor afectado para detener la campaña antes de que se produjera un ataque masivo.
La empresa explicó que identificó que el código había sido generado con inteligencia artificial debido a varias características poco habituales en malware tradicional. Entre ellas aparecieron errores y “alucinaciones” típicas de los modelos de lenguaje, como puntuaciones CVSS inventadas, estructuras excesivamente académicas y fragmentos de documentación demasiado ordenados.
Los investigadores también encontraron docstrings educativos, menús de ayuda detallados y patrones similares a los materiales con los que suelen entrenarse los modelos de IA. Según Google, este tipo de elementos no suele aparecer en herramientas desarrolladas manualmente por ciberdelincuentes.
Cómo detectaron el exploit generado con IA
Aunque la compañía no encontró evidencia de que se utilizara Gemini, su propia inteligencia artificial, el caso representa la primera vez que Google identifica un exploit de día cero desarrollado mediante modelos de lenguaje.
El informe también reveló que la inteligencia artificial ayudó a descubrir una vulnerabilidad que había pasado desapercibida para las herramientas tradicionales de seguridad. El problema estaba relacionado con una suposición de confianza integrada directamente en la lógica del sistema de autenticación de dos factores.
La aparición de este tipo de ataques confirma una tendencia que especialistas en ciberseguridad vienen observando desde hace meses. Según el GTIG, los hackers comenzaron a incorporar modelos de inteligencia artificial para acelerar procesos que antes requerían grandes cantidades de tiempo y trabajo humano.
Entre las capacidades detectadas por Google aparecen la identificación automática de vulnerabilidades, el análisis de infraestructuras empresariales y el desarrollo de ataques más precisos. Los investigadores también detectaron campañas de phishing personalizadas generadas mediante IA, análisis de hardware específico de potenciales víctimas y creación de perfiles detallados de empresas antes de ejecutar ataques.
Google además advirtió sobre el crecimiento de frameworks agénticos utilizados por grupos vinculados a China y Corea del Norte. Plataformas como Hexstrike y Strix emplean sistemas multiagente capaces de automatizar fases completas de una intrusión informática con una supervisión humana mínima.
El avance de la IA dentro del cibercrimen
Según explicó el informe, estos sistemas pueden coordinar tareas de reconocimiento, recopilación de datos y preparación de ataques de forma prácticamente autónoma. La inteligencia artificial no solo acelera el desarrollo del malware, sino que también permite crear amenazas más sofisticadas y difíciles de detectar.
Para superar las restricciones de seguridad de los modelos de lenguaje, muchos atacantes recurren al jailbreaking, una técnica que manipula las instrucciones de la inteligencia artificial para obtener respuestas prohibidas. Google indicó que algunos hackers utilizan identidades falsas o simulan ser investigadores de seguridad para convencer a los modelos de generar código malicioso o analizar vulnerabilidades.
En otros casos, los ciberdelincuentes alimentan a la inteligencia artificial con repositorios completos de fallos de seguridad y exploits anteriores para mejorar la precisión de los payloads antes de lanzarlos contra objetivos reales.
El informe concluyó que el uso ofensivo de la inteligencia artificial dejó de ser una práctica experimental y comenzó a convertirse en una metodología cada vez más sistemática dentro del mundo del cibercrimen.
Aunque Google logró frenar este exploit antes de que causara daños masivos, la compañía sostuvo que este caso representa apenas el inicio de una nueva etapa en la evolución de las amenazas digitales. Especialistas en ciberseguridad advirtieron que la combinación entre inteligencia artificial y ciberataques podría incrementar la velocidad, escala y complejidad de futuras operaciones maliciosas en internet.
