Google detuvo el primer zero-day desarrollado con AI
Google Threat Intelligence Group detectó el primer zero-day desarrollado por ciberdelincuentes con AI. La vulnerabilidad permitía eludir la autenticación de dos
Por primera vez en la historia, Google descubrió una vulnerabilidad zero-day desarrollada por ciberdelincuentes con ayuda de inteligencia artificial. La amenaza estaba destinada a un ataque cibernético coordinado a gran escala, que fue detenido antes de ejecutarse.
Amenaza para administradores
El Google Threat Intelligence Group (GTIG) identificó una amenaza seria de un grupo de ciberdelincuentes que planeaban usar una vulnerabilidad zero-day para eludir la autenticación de dos factores. El objetivo del ataque era una herramienta abierta de administración de sistemas web, ampliamente utilizada en el sector corporativo. La vulnerabilidad habría permitido acceso completo a los sistemas de administradores en numerosas organizaciones.
Los ciberdelincuentes estaban preparando un ataque coordinado que apuntaría a múltiples objetivos simultáneamente. No era simplemente el desarrollo de un único exploit, sino una operación completa dirigida a la explotación en masa. Según el plan de los atacantes, eludir la protección de dos factores abriría la puerta a todos los sistemas de administración en las organizaciones afectadas.
Tal escenario podría haber llevado al compromiso de miles de empresas.
Cómo descubrieron la participación de la IA
Los investigadores de Google encontraron señales explícitas en el código fuente del exploit indicando que fue creado con ayuda de una red neuronal. El análisis del script de Python reveló artefactos extraños típicos del contenido generado por LLM:
- Puntuaciones CVSS alucinadas — valores incorrectos y fabricados de severidad de vulnerabilidades que no corresponden al riesgo real
- Formato estructurado — el código fue formateado en estilo de libro de texto, con regularidad inusual para este tipo de exploit
- Estilo de escritura extraño — característico de grandes modelos de lenguaje en comentarios y nomenclatura de variables
- Lógica inusual — ciertos fragmentos del script contenían secuencias extrañas de operaciones que funcionan pero se ven poco naturales
Estas señales aparecen cuando los LLM generan código para tareas especializadas sin comprender completamente el contexto de seguridad y los requisitos de explotación. Las redes neurales pueden seguir la sintaxis, pero no siempre comprenden la semántica.
"Esto demuestra una evolución peligrosa en las ciberamenazas.
Si antes la IA ayudaba principalmente con ataques de phishing masivos, ahora ayuda a crear exploits serios y dirigidos," — señalan los investigadores de Google en su informe.
Peligro de la reducción de la barrera de entrada
Este es el primer caso documentado donde la IA generativa fue utilizada para desarrollar un exploit zero-day. Anteriormente, la inteligencia artificial se aplicaba en ciberataques, pero principalmente para automatizar campañas de phishing, crear perfiles falsos e ingeniería social. Un exploit zero-day es un nivel completamente diferente de peligro.
La principal consecuencia de este descubrimiento: la barrera de entrada para desarrollar ciberamenazas serias se reduce drásticamente. Ahora los ciberdelincuentes no necesitan contratar desarrolladores experimentados con conocimiento de arquitectura de aplicaciones web y vulnerabilidades. Pueden simplemente pedir a ChatGPT, Claude u otro gran modelo de lenguaje ayuda con código de exploit. Incluso si el código contiene errores (como aquellas puntuaciones CVSS alucinadas), el exploit seguirá siendo funcional y peligroso. Esto significa que el número de ciberamenazas podría aumentar drásticamente, ya que el desarrollo se vuelve más accesible.
Lo que esto significa para las empresas
El descubrimiento de Google apunta a una aceleración del ciclo completo de desarrollo de ciberamenazas. Las empresas ahora necesitan responder aún más rápidamente a nuevas vulnerabilidades y aplicar parches de nivel crítico. Posponer la aplicación de parches durante una semana puede ser peligroso. Para las grandes organizaciones, esto significa invertir no solo en seguridad del perímetro, sino también en monitoreo de anomalías, detección rápida de tráfico sospechoso dentro de la red y preparación para incidentes. Los exploits desarrollados por IA pueden ser menos sofisticados, pero habrá más de ellos, y surgirán más rápidamente.