Google alerta de que la IA está creando virus informáticos que mutan en tiempo real para saltar las barreras de ciberseguridad
Inteligencia artificial que comanda ciberataques y envía órdenes a los virus que lo llevan a cabo, haciéndolos mutar en tiempo real para sortear las barreras de ciberseguridad. Es la alerta que el Grupo de Inteligencia de Amenazas de Google (GTIG) envió este miércoles, tras detectar que los ciberdelincuentes ya no solo utilizan esta tecnología como un asistente, sino como un cerebro autónomo que las potencia para hacerlas más dañinas e indetectables mientras el ataque se lleva a cabo.
Por primera vez, Google describe una nueva generación de virus (o malware, como se los denomina en el sector) que reescribe su propio código para adaptarse a las defensas, atacar sus puntos débiles y esconder los patrones que podrían disparar los sistemas de alerta, volviéndose más difíciles de detectar. Lo hace a través de una conexión directa con modelos de lenguaje como Gemini, la IA de la multinacional.
“Agentes que actúan respaldados por gobiernos y otros ciberdelincuentes están integrando IA y experimentando con ella en distintos sectores y a lo largo de todo el ciclo de vida de los ataques”, advierte.
El informe avisa que aunque todavía está en una etapa inicial, esto supone “un cambio de fase operacional” en el uso ofensivo de la IA. Los ciberdelincuentes y los grupos respaldados por estados —entre los que Google cita a China, Rusia, Irán y Corea del Norte— dejaron de recurrir a esta tecnología como un simple apoyo técnico. Algo que fue documentado poco después de la aparición de ChatGPT y permitió a los ciberdelincuentes desterrar errores que antes los delataban, como las faltas de ortografía o las malas traducciones, pero que ha escalado a un nuevo nivel.
Ahora, la IA pasó a ser una parte integral del ataque y multiplica su peligrosidad. “Estas herramientas son capaces de generar scripts maliciosos de forma dinámica, ofuscar su propio código para eludir la detección y hacer uso de modelos de IA para crear funciones maliciosas a demanda, en lugar de incluirlas en el código del malware”, destacan los investigadores.
Estos cambios dinámicos suponen un punto de inflexión también para el sector de la ciberseguridad. De manera similar a lo que ocurre con los virus biológicos, hasta ahora los investigadores analizaban el código del malware utilizado en los ataques para crear defensas específicas para bloquear sus ataques. Pero si esas modificaciones se dan en tiempo real, los antivirus no pueden adaptarse a ellas previamente.
La IA, ¿engañada?
Técnicamente, modelos como Gemini deberían negarse a satisfacer este tipo de requerimientos. Su programación les impide participar en actividades delictivas o dañinas para las personas. No obstante, Google detectó que los ciberdelincuentes han encontrado una manera de saltarse ese veto. “Están utilizando argumentos que recuerdan a la ingeniería social”, explica, haciendo referencia a las técnicas de manipulación psicológica que buscan engañar a personas para que revelen información o realicen acciones que comprometan su seguridad.
La clave es que esos engaños funcionan también con la inteligencia artificial. “Se han podido observar agentes que se hacen pasar por estudiantes que hacen ejercicios tipo 'captura la bandera' o por investigadores en ciberseguridad. En ambos casos, tratan de persuadir a Gemini para que les facilite una información que, en otras circunstancias, estaría bloqueada, y que necesitan para desarrollar determinadas herramientas”, reconoce el informe de Google.
La multinacional afirma que ya canceló las cuentas y proyectos asociados a este tipo de actividades y que está tomando medidas para intentar evitar este tipo de usos indebidos. “Google ha asumido el compromiso de desarrollar la IA de forma responsable y toma medidas preventivas para impedir la actividad maliciosa”, destaca. Como parte de ese compromiso, también ha divulgado estos hallazgos “para dar herramientas a los equipos de seguridad y para promover protecciones más sólidas en todo el ecosistema”.
Esto se considera una buena práctica clave en el sector de la ciberseguridad, ya que permite a los especialistas prepararse ante las nuevas técnicas de los atacantes.
Un mercado de la IA criminal
Al igual que la IA está avanzando por el resto de sectores económicos y sociales, también lo hace su uso para actividades delictivas. “A lo largo de este año, el mercado negro de herramientas de IA ilícitas ha madurado”, recoge el informe de Google. Su equipo ha identificado “ofertas de herramientas multifuncionales diseñadas para facilitar actividades de phishing, desarrollo de malware e investigación de vulnerabilidades” durante la investigación.
Un ejemplo reciente de este “mercado negro” de herramientas de IA ilícitas es el caso de Xanthorox, una inteligencia artificial sin restricciones diseñada explícitamente para ayudar a ciberdelincuentes novatos. Esta “IA para hackers”, que se vendía por 200 dólares, presumía de poder generar ransomware capaz de eludir antivirus y facilitar ataques complejos. Sin embargo, la vanidad de su creador, un estudiante de ingeniería bangladesí de 23 años, le llevó a cometer errores fatales de seguridad, como alojar los servidores en su propio domicilio. Investigadores de la firma de ciberseguridad española Zynap siguieron estas pistas hasta identificarlo, obligándole a retirar su creación de la circulación.
Se trata de “herramientas reducen las barreras de entrada para los agentes menos sofisticados”, destaca la multinacional. Una tendencia que se está percibiendo a nivel general, con cada vez más actores que se dedican específicamente a hacer que los ciberataques sean accesibles para bandas que hasta ahora no contaban con los conocimientos adecuados para llevarlos a cabo de manera exitosa. Recientemente, la Guardia Civil ha detenido a un hacker acusado de lucrarse con estas actividades, alquilando herramientas ofensivas que empaquetaba como “kits de estafa”.
0