Se ha observado a ciberdelincuentes utilizando IA para crear un
exploit Zero-Day funcional, en un caso que, según investigadores de
Google, es el primero de su tipo. Según una
nueva investigación del Grupo de Inteligencia de Amenazas de Google
(GTIG), un atacante planeaba desplegar el exploit en un ataque masivo,
pero su plan fue frustrado.
Los investigadores señalaron que el exploit en cuestión presenta
todas las características de haber sido generado por IA, principalmente debido
a que el script contenía una gran cantidad de cadenas de documentación
educativas y una puntuación CVSS ficticia.
Otras señales reveladoras, como un formato Python «de manual» característico
de los datos de entrenamiento de LLM, también delataron al atacante.
Este informe actualiza el análisis de enero de 2025,
«Uso indebido de la IA generativa por parte de adversarios», y detalla cómo los ciberdelincuentes y los actores maliciosos respaldados
por gobiernos están integrando y experimentando con la IA en todo el sector a
lo largo de todo el ciclo de vida del ataque.
John Hultquist, analista jefe de GTIG, afirmó que el descubrimiento marca un
hito importante en el uso de la IA con fines maliciosos.
«Existe la idea errónea de que la carrera por las vulnerabilidades de la IA
es inminente. La realidad es que ya ha comenzado».
Según GTIG, la vulnerabilidad se clasifica como una omisión de la
autenticación de dos factores (2FA). Sin embargo, los investigadores
señalaron que requiere credenciales de usuario válidas. Lo que hizo que la
falla destacara es que se origina en un
«fallo de lógica semántica de alto nivel donde el desarrollador codificó de
forma rígida una suposición de confianza».
En pocas palabras, este fallo en particular es del tipo que los grandes
modelos de lenguaje podrían identificar fácilmente, y los investigadores
dedujeron que las capacidades de razonamiento del modelo le permitieron
comprender la intención del desarrollador durante el desarrollo.
«Si bien las herramientas de fuzzing y análisis estático están optimizadas
para detectar fallos y bloqueos, los modelos de lenguaje de vanguardia
destacan en la identificación de este tipo de fallos de alto nivel y
anomalías estáticas codificadas», señalaron los investigadores.
La actividad de los estados nación se acelera
El descubrimiento de GTIG pone de relieve el creciente atractivo de las
herramientas basadas en IA para los grupos ciberdelincuentes y los actores de
amenazas respaldados por estados nación.
«Los actores de amenazas están aprovechando la IA para potenciar diversas
fases del ciclo de vida del ataque», afirmaron los investigadores.
Esto incluye apoyar el desarrollo de exploits de vulnerabilidades y
malware, facilitar la ejecución autónoma de comandos, permitir un
reconocimiento más específico y exhaustivo, y mejorar la eficacia de las
operaciones de ingeniería social y de información.
De hecho, el departamento de inteligencia de amenazas de Google afirmó que
grupos en China, Corea del Norte y Rusia, en particular, están recurriendo a
la IA para la investigación de vulnerabilidades y el desarrollo de exploits.
Se observó que un grupo de amenazas, identificado como UNC2814, utilizaba la
función de perfiles de usuario expertos en Gemini para investigar fallos de
ejecución remota de código en el firmware de los routers TP-Link y en las
implementaciones del Protocolo de Transferencia de Archivos Odette (OFTP).
Según los investigadores, otro grupo, APT45, enviaba miles de solicitudes
repetitivas para analizar diferentes CVE y validar exploits de prueba de
concepto (PoC).
Fuente:
Google