Google atrapó al primer hacker que usó inteligencia artificial para romper una cerradura digital: hay miles más y no los vamos a ver venir

Durante años nos repetimos una idea tranquilizadora. Que la inteligencia artificial podía resumir contratos y armar presentaciones, pero que la ciberseguridad seguía siendo cosa de especialistas humanos. Que para descubrir una falla nueva en un software hacía falta un experto con años de oficio. Que el atacante promedio no tenía cómo competir contra una gran empresa de tecnología.

Esa idea acaba de caerse. El lunes, el equipo de inteligencia de amenazas de Google confirmó que, por primera vez, una banda criminal usó un modelo de inteligencia artificial para descubrir y armar una falla inédita en un software popular. Es lo que en la jerga se llama un zero-day: una vulnerabilidad desconocida hasta el momento del ataque, sin parche disponible, sin defensa preparada. La cerradura que nadie sabía que estaba rota.

El plan era ambicioso. Los atacantes preparaban una campaña masiva, contra todos los servidores del mundo que usaran esa herramienta de administración web. Google detectó la operación antes y trabajó con el fabricante para tapar el agujero. El nombre de la empresa afectada quedó bajo reserva.

La cerradura no tenía un defecto técnico: tenía un error de criterio

La falla no era un error de los que detectan los escáneres automáticos: era un error de razonamiento. Un programador había escrito una excepción de confianza en el código de autenticación de dos factores, esa segunda barrera que protege cuando alguien roba la contraseña. La excepción dejaba pasar a quien tuviera credenciales válidas, contradiciendo el resto de la lógica de seguridad. Las herramientas tradicionales nunca detectan eso, porque buscan errores de memoria y fallas de entrada, no contradicciones de criterio.

Un modelo de inteligencia artificial sí lo encontró. Leyó miles de líneas de código y entendió que el desarrollador había escrito una regla que se contradecía con otra. Vio la intención del programador y vio la trampa. Eso no es generación de texto. Eso es razonamiento sobre código humano.

Google lo descubrió por descuido del atacante. El código del ataque venía repleto de comentarios explicativos en formato de manual, una clasificación de gravedad inventada y un orden tan prolijo que delataba el origen. Era código escrito como lo escribe una máquina, no como lo escribe un criminal.

Google se cuidó de aclarar cuál modelo no fue: lo que importa es cuál sí

El reporte hace algo curioso. Aclara que el modelo utilizado por los atacantes no fue Gemini, el de Google, ni Mythos, el de la empresa Anthropic. Esa aclaración no es casualidad. Anthropic había retrasado el lanzamiento de Mythos precisamente por sus capacidades en ciberseguridad. OpenAI acaba de presentar un modelo, GPT-5.5-Cyber, con preocupaciones similares. Los grandes laboratorios saben que sus modelos más nuevos encuentran fallas mejor que la mayoría de los humanos y por eso restringen el acceso.

Pero existe un mercado gris activo de plataformas que piratean acceso a modelos premium. El propio reporte lo documenta. Servicios chinos como Claude Relay Service y CLI Proxy API agrupan cuentas robadas, prepagas o ficticias y revenden el acceso a desarrolladores que no podrían obtenerlo de otra forma. Hay scripts en GitHub que automatizan la creación de cuentas, el bypass de los códigos CAPTCHA y la verificación por mensaje de texto. Cuando una cuenta se bloquea, el sistema arma otra y sigue.

La pregunta no es qué modelo usaron los atacantes. La pregunta es cuál usarán mañana.

La punta del iceberg, según el propio jefe de inteligencia de Google

John Hultquist, jefe de análisis del Grupo de Inteligencia de Amenazas de Google, lo dijo sin rodeos al New York Times: este caso es “la punta del iceberg” y un anticipo de lo que viene. Probablemente ya haya más fallas similares descubiertas con asistencia de IA y en uso, dijo Hultquist, solo que todavía no las detectamos.

La conclusión incómoda El caso que Google hace público no es el primero ni el último: es el primero que se logró atribuir con seguridad a la inteligencia artificial. La detección depende de descuidos del atacante. Un grupo más cuidadoso puede borrar esas huellas y operar sin levantar sospechas.

El reporte describe además otros usos. Hackers norcoreanos del grupo APT45 mandando miles de pedidos automatizados a Gemini para revisar fallas conocidas y armar exploits en serie. Operadores chinos cargando un repositorio con 85 mil vulnerabilidades históricas para entrenar al modelo. Malware para Android que llama a Gemini en tiempo real para decidir qué botón apretar en la pantalla del teléfono infectado. En tres meses, el uso adversario de la IA pasó de experimentación a escala industrial.

Para el lector no técnico, la traducción es simple. Cualquier software con administración web tiene chances de tener una falla parecida a la que descubrieron estos atacantes. Routers, paneles de control, sistemas de gestión interna, cámaras conectadas, todo. La autenticación de dos factores sigue siendo útil, pero ya no es invulnerable: este zero-day saltaba precisamente esa barrera.

Hasta ahora, las empresas se preparaban para hackers humanos: pocos, caros, con tiempos largos. Ahora hay que prepararse para hackers asistidos por máquinas que trabajan veinticuatro horas, no se cansan y bajan el costo de cada intento a casi cero.

La cerradura digital de la que dependen los servicios que usamos todos los días ya no se rompe con palanca. Se rompe leyendo, con paciencia y con lógica. La primera vez que vimos a una máquina hacerlo, fue contra un objetivo que nadie eligió para hacerse famoso: una herramienta común, de un fabricante común, usada por miles de empresas comunes. La próxima máquina no va a dejar huellas tan prolijas.