La inteligencia artificial como objetivo de los cibercriminales y herramienta para perfeccionar y lanzar los ataques

El informe del Google Threat Intelligence Group (GTIG) resalta que los ciberatacantes muestran preferencia por los modelos de inteligencia artificial ya desarrollados que por el diseño de sistemas personalizados, según reportó el medio original. Este análisis revela que las herramientas supuestamente hechas a medida en foros clandestinos, como el kit Xanthorox, dependen en realidad de integrar productos comerciales y opciones de terceros para ejecutar funciones como la generación autónoma de malware y el diseño automatizado de campañas de phishing.

De acuerdo con el artículo difundido por la fuente, el año pasado se documentó un aumento considerable en los denominados ataques de destilación. Estos consisten en intentos de extraer modelos de IA generativa para conocer su funcionamiento interno y así poder clonarlos. El objetivo fundamental de estas acciones es acceder a los procesos de razonamiento y a las cadenas de pensamiento que estructuran esos modelos inteligentes, permitiendo replicar sus capacidades para ser empleadas posteriormente en campañas ilegales.

Tal como subraya el informe 'AI Threat Tracker' de GTIG, los actores maliciosos han extendido el uso de inteligencia artificial a lo largo de todas las fases de un ataque informático. La IA se emplea desde la creación y perfeccionamiento de códigos y guiones hasta la recopilación de datos sobre víctimas potenciales, el análisis de vulnerabilidades conocidas y la facilitación de operaciones posteriores a la intrusión. El documento detalla casos como el de APT42, grupo vinculado a Irán, que utilizó IA generativa para buscar correos oficiales de entidades concretas y para realizar tareas de reconocimiento sobre contactos comerciales, lo que servía para fabricar contextos de ataque más verosímiles. Otro grupo señalado es UNC2970, relacionado con Corea del Norte, que utilizó el sistema Gemini de manera similar para procesar información obtenida de fuentes abiertas y así seleccionar objetivos de alto valor afectados por sus campañas.

La extensión de estas técnicas también alcanza el desarrollo experimental de malware. El medio consultado informa sobre el caso HONESTCUE, donde actores maliciosos emplearon la API de Gemini para delegar la creación de nuevas funcionalidades en el malware, con el fin de evadir los mecanismos de detección convencionales basados en la monitorización de redes y el análisis estático de archivos. En el ámbito del phishing, destaca el empleo de IA para acelerar la fabricación de kits como COINBAIT, que simulaba una plataforma de intercambio de criptomonedas con el propósito de robar credenciales a los usuarios.

Por otra parte, GTIG identificó un creciente comercio clandestino de servicios y herramientas de inteligencia artificial orientadas a respaldar actividades informáticas ilícitas. Según consignó la fuente, proliferan foros en inglés y ruso donde estos productos se promocionan y distribuyen, ofreciendo soluciones que van desde la automatización de campañas hasta la generación de código malicioso. Las investigaciones demuestran, no obstante, que el desarrollo de modelos completamente personalizados sigue siendo un desafío para los ciberatacantes, por lo que la demanda de soluciones maduras y ya disponibles permanece elevada.

La recopilación y estudio detallados por Google Threat Intelligence Group enfatizan que la inteligencia artificial ha evolucionado de ser un objetivo para el robo y la copia de tecnología a convertirse en un instrumento clave para potenciar la sofisticación y efectividad de las amenazas cibernéticas. Estos hallazgos son presentados en un contexto de expansión del mercado negro digital, donde la innovación técnica avanza a medida que los actores maliciosos buscan maximizar el impacto de sus campañas mediante el uso de herramientas automatizadas y servicios especializados en IA.