Google ha pillado el primer exploit zero-day cocinado casi por completo con inteligencia artificial. No es una metáfora. El equipo de Threat Intelligence de la compañía ha interceptado un ataque que estaba listo para saltarse la autenticación en dos pasos de una herramienta de administración web de código abierto. Lo han frenado a tiempo, pero la constatación es firme: la IA ya no es solo una distracción, es una herramienta ofensiva con mayúsculas.
Un exploit que olía a TFG con matrícula de honor
El script, escrito en Python, tenía toda la pinta de haber sido generado por un modelo de lenguaje. Los investigadores de Google detectaron detectaron la trampa enseguida: el código venía repleto de docstrings casi educativos, menús de ayuda detallados y una estructura digna de un trabajo de fin de grado. Como si el autor quisiera sacar sobresaliente en ciberdelincuencia.
Además, la IA se inventó una puntuación CVSS de riesgo que no existía. Una alucinación clásica. El fallo explotable, en cambio, era muy real: una suposición de confianza en la lógica del sistema de doble factor que los análisis tradicionales no habían detectado. Los atacantes estaban a punto de lanzar una campaña masiva cuando Google y el proveedor afectado lograron parchear la brecha a contrarreloj.
La IA como becario de ciberdelincuencia
La imagen es casi cómica: un grupo de hackers pide a una IA que les diseñe un exploit y esta les devuelve un código con ínfulas pedagógicas. Pero el problema de fondo es serio. Según el informe de Google, los atacantes llevan meses usando modelos de lenguaje para tareas de reconocimiento ultraprecisas, como identificar el hardware de un empleado antes de atacarle o generar jerarquías enteras de empresas objetivo.
Para saltarse las barandillas éticas, basta con una instrucción del tipo «actúa como un experto en seguridad». Es así de simple. Una vez dentro, algunos grupos alimentan a la IA con repositorios completos de datos sobre vulnerabilidades para afinar la fiabilidad de los payloads. Los grupos vinculados a China y Corea del Norte ya despliegan frameworks multiagente como Hexstrike y Strix, capaces de automatizar fases enteras de un ataque con una supervisión humana mínima. Y lo que vimos esta semana es solo la muestra más pública de esa tendencia.
Del laboratorio a la trinchera: lo que se viene
Llevamos años oyendo el mantra del ciberataque potenciado por IA. Hasta ahora, las pruebas se limitaban a señuelos de phishing más creíbles o a scripts mediocres. Esto es otra cosa. Que un exploit zero-day llegue a estar a punto de explotarse masivamente y que lleve la firma inconfundible de un LLM cambia el tablero. El patrón, según los analistas de Google, apunta a que veremos muchos más casos en los próximos meses.
¿Lo inquietante? Que la propia pulcritud del código fue lo que delató a la inteligencia artificial. Cuando los atacantes aprendan a pedirle que sea más sucia, menos académica, la detección va a ser mucho más difícil. La carrera ya ha empezado.
Hype-O-Meter
Nivel de hype: 8,5/10. Un exploit zero-day generado casi íntegramente por IA y detenido in extremis merece toda la atención. La prueba de concepto es sólida. Que el guion parezca sacado de un episodio de Black Mirror — o de un manual de buenas prácticas mal aplicado — no le resta un ápice de gravedad.
El resumen para vagos (TL;DR)
- 🎯 ¿Qué ha pasado? Google interceptó un exploit zero-day creado casi al 100% por inteligencia artificial.
- 🔥 ¿Por qué importa? Es la primera vez que un ataque de este calibre se construye con IA, y la tendencia es imparable.
- 🤔 ¿Nos afecta o es solo un meme? Afecta y mucho. Si tu empresa depende de un doble factor de autenticación, esto es un toque de atención en toda la cara.
