Google detiene el primer ciberataque masivo desarrollado con IA: hackers crean exploits zero-day automatizados que burlan sistemas 2FA

Google ha confirmado la detección del primer exploit zero-day desarrollado con inteligencia artificial de la historia, marcando un punto de inflexión en la evolución de las amenazas cibernéticas. El ataque, interceptado por el Google Threat Intelligence Group (GTIG), utilizaba un script en Python diseñado para saltarse sistemas de autenticación de dos factores (2FA) de herramientas de administración web de código abierto.

Los investigadores identificaron que se trataba de código generado por IA tras detectar características típicas de modelos de lenguaje: alucinaciones como puntuaciones de riesgo CVSS inventadas, una estructura excesivamente académica con docstrings educativos, menús de ayuda detallados y un formato demasiado ordenado. Según el informe de GTIG, estas características no aparecen en código escrito por humanos con fines delictivos.

El exploit aprovechaba una suposición de confianza programada directamente en la lógica del sistema 2FA, un fallo que las herramientas tradicionales de seguridad no habían detectado. Google logró trabajar con el proveedor afectado para publicar un parche antes de que se ejecutara la campaña masiva planificada por los atacantes.

Cómo proteger tu empresa de ciberataques desarrollados con IA

Este caso revela que los atacantes llevan meses usando modelos de lenguaje para tareas que antes requerían expertise humano considerable. Grupos vinculados a China y Corea del Norte, como APT45 y UNC2814, están desplegando frameworks agénticos como Hexstrike y Strix que automatizan fases completas de reconocimiento y ataque con supervisión mínima.

Para defenderse de estas amenazas emergentes, las empresas deben implementar:

1. Sistemas de detección multicapa: Similar a GitHub que implementó arquitectura de seguridad multicapa para agentes de IA, combina herramientas tradicionales con IA defensiva para identificar patrones anómalos.

2. Auditorías de código automatizadas: Implementa sistemas como los que usa Mozilla para detectar vulnerabilidades en Firefox con IA Mythos, que identificó 271 fallos críticos.

3. Monitoreo continuo de comportamiento: Los atacantes usan "jailbreaking" mediante personas falsas, instruyendo a la IA que adopte roles de expertos en seguridad. Establece sistemas que detecten estos patrones de uso anómalo.

4. Respuesta automatizada: Google emplea sistemas propios como Big Sleep, un agente de IA que detecta errores de software antes que los atacantes, y CodeMender, que utiliza Gemini para corregir automáticamente fallos críticos.

El responsable de GTIG, John Hultquist, advierte que "la carrera por la vulnerabilidad de la IA ya ha comenzado" y que los ciberdelincuentes están usando esta tecnología para incrementar velocidad, escala y sofisticación de sus ataques.

La transformación no se limita a exploits técnicos: Los atacantes también usan IA para generar jerarquías detalladas de empresas objetivo, identificar hardware específico de empleados y crear señuelos de phishing personalizados. La operación prorrusa Operation Overload ha utilizado clonación de voz para suplantar periodistas reales en Estados Unidos, Ucrania y Francia.

Este primer caso documentado de exploit zero-day desarrollado con IA marca el inicio de una nueva era en ciberseguridad. Las empresas que no adapten sus defensas a esta realidad quedarán expuestas a ataques cada vez más sofisticados y automatizados. La pregunta no es si tu organización será objetivo, sino cuándo y qué tan preparada estará para responder.